場所 Main Dashboard > {Account}または{All Accounts}を選択 > Threat monitoring > Open monitoring dashboard
Monitoring Dashboardについて
トラブルシューティング

Monitoring Dashboardについて

Monitoring Dashboardは、AWSアカウント内のすべてのイベントの詳細な記録を提供します。各イベントは、イベントの発生時刻、イベントの詳細、イベントを実行したユーザの識別情報、およびイベントが発生したアカウントによって分類されます。また、Trend Micro Cloud One™ – Conformityイベント、AWSイベント、リージョン、およびサービスに基づいて[filter events]こともできます。このダッシュボードを使用して、セキュリティグループの変更、ユーザの権限レベルの上昇、見慣れない国からのAWSアカウントへのアクセスなどの異常な活動をモニタし、必要に応じて是正措置を講じてください。
filter-monitoring-utktfw=8103eddf-47b2-4304-8300-138740a7effa.png
RTMイベントを確認する際に、Ruleを再構成したり、失敗したチェックを解決したり、詳細を確認してセキュリティの脆弱性を特定または軽減したりすることができます。イベントを展開すると、次のオプションが表示されます。
  1. イベント/チェックの詳細 - イベント、チェック、およびそれに関連するリソースタイプとサービスに関する情報
  2. ルールを構成する - 組織のニーズに合わせてルールの動作を調整する
  3. 解決 - セキュリティ脆弱性を減らすための修復手順を実行する
monitoring-dashboard-xmu7d3=bea81a78-3c2f-4b33-9101-dbb4b7aacabe.png

トラブルシューティング

誤検知

[Problem]: ルール[RTM-005 - Users signed in to AWS from an approved country]が誤検出を返します。
[Solution]: この問題が発生する理由の一つは、Conformity Botがユーザのサインイン場所を実際の物理的な場所ではなくIPアドレスに基づいて識別するためです。
例えば、承認された国のリストにドイツを追加しましたが、Conformity Botがユーザのサインイン場所をスイスと検出し、失敗 (偽陽性) を返します。
この不一致は、インターネットIPアドレスの割り当て方法に起因します。
この問題を診断して解決するために、次の手順に従ってください
  1. 次のいずれかのサイトを使用して、ユーザのIPアドレスに基づいてユーザの位置を確認してください。
    1. https://tools.keycdn.com/geo
    2. https://www.ip2location.com/demo
    3. https://dnschecker.org/ip-location.php
  2. IPロケーションがConformity Botで検出されたものと一致する場合、Ruleは期待通りに機能しています。これは、ユーザの実際のサインインIPアドレスと場所を隠す企業VPNを使用して接続する場合にも発生する可能性があります。
  3. IPの場所がConformity Botによって検出されたものと異なる場合は、問題をさらに調査できるCustomer Successに連絡してください。

AWSイベントが見つかりません

[Problem:]OrganizationのためにRTMを有効にしましたが、一部のAWSイベントがアクティビティボットに拾われていません。
[Solution:]
  1. RTMがすべての地域からイベントを取得できるように、eventBusをインストールしたことを確認してください。
  2. 以下のRTM対応イベントのリストを確認してください。
以下のリストにないAWSイベントはRTMでサポートされていませんが、スケジュールされたConformity Botの実行で監視され、スキャンで検出された後に自動修復のために送信されます。
S3
  • バケットを作成
  • DeleteBucket
  • DeleteBucketCORS
  • DeleteBucketLifecycle
  • DeleteBucketPolicy
  • DeleteBucketReplication
  • DeleteBucketTagging
  • DeleteBucketWebsite
  • PutAccelerateConfiguration
  • PutAccountPublicAccessBlock
  • PutAnalyticsConfiguration
  • PutBucketAccelerateConfiguration
  • PutBucketAclPutBucketCORS
  • PutBucketEncryptionPutBucketLifecycle
  • PutBucketLifecycleConfiguration
  • PutBucketLogging
  • PutBucketNotification
  • PutBucketNotificationConfiguration
  • PutBucketPolicy
  • PutBucketPublicAccessBlock
  • PutBucketReplication
  • PutBucketRequestPayment
  • PutBucketTagging
  • PutBucketVersioning
  • PutBucketWebsite
  • 暗号化設定の配置
  • インベントリ構成を設定
  • ライフサイクル構成を設定
  • メトリクス構成を設定
  • レプリケーション構成を設定
EC2
  • Vpcエンドポイント接続を承認
  • Vpcピアリング接続を承認
  • アドレスを割り当てる
  • クライアントVPNターゲットネットワークにセキュリティグループを適用
  • アドレスを関連付ける
  • AssociateRouteTable
  • AssociateSubnetCidrBlock
  • AssociateTransitGatewayRouteTable
  • AssociateVpcCidrBlock
  • アタッチインターネットゲートウェイ
  • ネットワークインターフェイスを接続
  • AuthorizeSecurityGroupEgress
  • AuthorizeSecurityGroupIngress
  • CreateCustomerGateway
  • CreateEgressOnlyInternetGateway
  • インターネットゲートウェイを作成
  • CreateLocalGatewayRouteTableVpcAssociation
  • CreateNatGateway
  • CreateNetworkAcl
  • CreateNetworkAclEntry
  • CreateNetworkInterface
  • CreateNetworkInterfacePermission
  • CreateRoute
  • CreateRouteTable
  • セキュリティグループを作成
  • CreateTransitGatewayRouteTable
  • CreateVolumeCreateVpc
  • CreateVpcEndpoint
  • Vpcエンドポイント接続通知を作成
  • Vpcエンドポイントサービス構成の作成
  • Vpcピアリング接続を作成
  • DeleteCustomerGateway
  • EgressOnlyInternetGatewayを削除
  • インターネットゲートウェイを削除
  • DeleteLocalGatewayRouteTableVpcAssociation
  • DeleteNatGateway
  • ネットワークACLを削除
  • ネットワークACLエントリを削除
  • ネットワークインターフェイスを削除
  • DeleteNetworkInterfacePermission
  • DeleteRoute
  • DeleteRouteTable
  • セキュリティグループを削除
  • DeleteTransitGatewayRoute
  • DeleteTransitGatewayRouteTable
  • ボリュームを削除
  • VpcEndpointConnectionNotificationを削除
  • VpcEndpointServiceConfigurationを削除
  • Vpcエンドポイントを削除
  • Vpcピアリング接続を削除
  • インターネットゲートウェイのデタッチ
  • ネットワークインターフェイスをデタッチ
  • トランジットゲートウェイルートテーブルの伝播を無効にする
  • DisassociateAddress
  • ルートテーブルの関連付けを解除
  • サブネットCIDRブロックの関連付け解除
  • トランジットゲートウェイルートテーブルの関連付け解除
  • DisassociateVpcCidrBlock
  • トランジットゲートウェイルートテーブルの伝播を有効にする
  • Vgwルート伝播を有効にする
  • ModifyInstanceAttribute
  • ModifyNetworkInterfaceAttribute
  • ModifyVpcAttribute
  • ModifyVpcEndpoint
  • Vpcエンドポイント接続通知の変更
  • Vpcエンドポイントサービス構成の変更
  • Vpcエンドポイントサービスの権限を変更
  • Vpcピアリング接続オプションの変更
  • インスタンスの再起動
  • RejectVpcEndpointConnections
  • RejectVpcPeeringConnection
  • アドレスを解放
  • ReplaceNetworkAclAssociation
  • ReplaceNetworkAclEntry
  • ReplaceRouteTableAssociation
  • ReplaceTransitGatewayRoute
  • ResetNetworkInterfaceAttribute
  • RevokeSecurityGroupEgress
  • RevokeSecurityGroupIngress
  • RunInstances
  • StartInstances
  • StopInstances
  • TerminateInstances
Elasticloadbalancing
  • ヘルスチェックの構成
  • ロードバランサーを作成
  • ロードバランサーを削除
  • ロードバランサーの可用性ゾーンを有効にする
  • ロードバランサー属性の変更
  • SetLoadBalancerListenerSSLCertificate
  • バックエンドサーバーのロードバランサーポリシーを設定
  • SetLoadBalancerPoliciesOfListener
AutoScaling
  • CreateAutoScalingGroup
  • CreateLaunchConfiguration
  • DeleteAutoScalingGroup
  • DeleteLaunchConfiguration
  • PutNotificationConfiguration
  • プロセスを再開
  • プロセスを一時停止
  • UpdateAutoScalingGroup
CloudFormation
  • スタックを作成
  • スタックを削除
  • UpdateStack
IAM
  • AddUserToGroup
  • グループポリシーを添付
  • AttachRolePolicy
  • AttachUserPolicy
  • パスワード変更
  • CreateAccessKey
  • CreateAccountAlias
  • グループを作成
  • CreateLoginProfile
  • CreateOpenIDConnectProvider
  • ポリシーを作成
  • ポリシーバージョンを作成
  • ロール作成
  • CreateSAMLProvider
  • CreateServiceLinkedRole
  • サービス固有の資格情報を作成
  • CreateUser
  • CreateVirtualMFADevice
  • MFAデバイスを無効化
  • アクセスキーの削除
  • アカウントエイリアスを削除
  • DeleteAccountPasswordPolicy
  • グループを削除
  • DeleteGroupPolicy
  • DeleteLoginProfile
  • DeleteOpenIDConnectProvider
  • DeletePolicy
  • DeletePolicyVersion
  • ロールを削除
  • ロール権限境界の削除
  • DeleteRolePolicy
  • DeleteSAMLProvider
  • DeleteSSHPublicKey
  • DeleteServerCertificate
  • DeleteServiceLinkedRole
  • DeleteServiceSpecificCredential
  • 署名証明書の削除
  • ユーザーを削除
  • DeleteUserPermissionsBoundary
  • DeleteUserPolicy
  • DeleteVirtualMFADevice
  • グループポリシーのデタッチ
  • DetachRolePolicy
  • DetachUserPolicy
  • MFAデバイスを有効にする
  • PutGroupPolicy
  • PutRolePermissionsBoundary
  • PutRolePolicy
  • PutUserPermissionsBoundary
  • PutUserPolicy
  • OpenIDConnectプロバイダーからClientIDを削除
  • グループからユーザーを削除
  • サービス固有の資格情報をリセット
  • デフォルトポリシーバージョンを設定
  • アクセスキーを更新
  • アカウントパスワードポリシーを更新
  • UpdateAssumeRolePolicy
  • UpdateGroup
  • UpdateLoginProfile
  • UpdateOpenIDConnectProviderThumbprint
  • ロールの更新ロールの更新説明
  • UpdateSAMLProvider
  • UpdateSSHPublicKey
  • サーバー証明書を更新
  • UpdateServiceSpecificCredential
  • 署名証明書の更新
  • ユーザーを更新
  • SSHPublicキーをアップロード
  • サーバー証明書をアップロード
  • アップロード署名証明書
Dynamodb
  • CreateTable
  • DeleteTable
  • TagResource
  • UntagResource
  • UpdateTable
RDS
  • CopyDBClusterSnapshot
  • CopyDBSnapshot
  • CreateDBCluster
  • CreateDBClusterSnapshot
  • CreateDBInstance
  • CreateDBSecurityGroup
  • CreateDBSnapshot
  • DeleteDBCluster
  • DeleteDBClusterSnapshot
  • DeleteDBInstance
  • DeleteDBSecurityGroup
  • DeleteDBSnapshot
  • ModifyDBCluster
  • ModifyDBInstance
  • RemoveTagsFromResource
  • スナップショットからDBクラスターを復元
  • ポイントインタイムでDBクラスターを復元
  • DBスナップショットからDBインスタンスを復元
  • RestoreDBInstanceToPointInTime
Lambda
  • CreateFunction20150331
  • DeleteFunction20150331
  • レプリケーションを有効にする20170630
  • PublishVersion20150331
Cloudfront
  • CreateInvalidation
Organizations
  • AcceptHandshake
  • AttachPolicy
  • ハンドシェイクをキャンセル
  • アカウント作成
  • 組織を作成
  • 組織単位の作成
  • ポリシーを作成
  • ハンドシェイクを拒否
  • DeleteOrganization
  • 組織単位の削除
  • DeletePolicy
  • ポリシーのデタッチ
  • DisableAWSServiceAccess
  • DisablePolicyType
  • AWSサービスアクセスを有効にする
  • すべての機能を有効にする
  • ポリシータイプを有効にする
  • 組織にアカウントを招待
  • 組織を離れる
  • アカウントを移動
  • アカウントを組織から削除
  • 組織単位の更新
  • UpdatePolicy
Config
  • DeleteAggregationAuthorization
  • DeleteConfigRule
  • DeleteConfigurationAggregator
  • DeleteConfigurationRecorder
  • DeleteDeliveryChannel
  • DeleteEvaluationResults
  • 保留中の集約リクエストを削除
  • PutAggregationAuthorization
  • PutConfigRule
  • 構成アグリゲーターを設定
  • PutConfigurationRecorder
  • PutDeliveryChannel
  • StartConfigRulesEvaluation
  • StartConfigurationRecorder
  • 構成レコーダーの停止
GuardDuty
  • 招待を受け入れる
  • アーカイブの検出結果
  • 検出器を作成
  • CreateIPSet
  • メンバーを作成
  • サンプル検出の作成
  • CreateThreatIntelSet
  • 招待を辞退
  • DeleteDetector
  • IPセットを削除
  • 招待を削除
  • メンバーを削除
  • DeleteThreatIntelSet
  • マスターアカウントからの関連付け解除
  • メンバーの関連付けを解除
  • メンバーを招待
  • メンバーの監視を開始
  • メンバーの監視を停止
  • アーカイブ解除された検出結果
  • UpdateDetector
  • フィードバックの更新結果
  • UpdateIPSet
  • UpdateThreatIntelSet
CloudTrail
  • タグを追加
  • CreateTrail
  • DeleteTrail
  • PutEventSelectors
  • タグを削除
  • ログの開始
  • ログ記録を停止
  • UpdateTrail
Route53domains
  • DeleteTagsForDomain
  • DisableDomainAutoRenew
  • ドメイン転送ロックを無効にする
  • ドメイン自動更新を有効にする
  • ドメイン転送ロックを有効にする
  • ドメインを登録
  • ドメインの更新
  • 連絡先到達可能性確認メールを再送
  • TransferDomain
  • ドメイン連絡先の更新
  • ドメイン連絡先プライバシーの更新
  • UpdateDomainNameservers
  • UpdateTagsForDomain
KMS
  • キー削除のキャンセル
  • エイリアスを作成
  • CreateGrant
  • CreateKey
  • エイリアスを削除
  • DeleteImportedKeyMaterial
  • キーを無効化
  • キーのローテーションを無効にする
  • キーを有効にする
  • キーのローテーションを有効にする
  • ランダム生成
  • ImportKeyMaterial
  • PutKeyPolicy
  • RetireGrant
  • RevokeGrant
  • スケジュールキー削除
  • TagResource
  • UntagResource
  • エイリアスを更新
  • 更新キーの説明
Route53
  • AssociateVPCWithHostedZone
  • ChangeResourceRecordSets
  • リソースのタグを変更
  • CreateHealthCheck
  • CreateHostedZone
  • CreateQueryLoggingConfig
  • CreateReusableDelegationSet
  • トラフィックポリシーを作成
  • CreateTrafficPolicyInstance
  • CreateTrafficPolicyVersion
  • CreateVPCAssociationAuthorization
  • DeleteHealthCheck
  • DeleteHostedZone
  • DeleteQueryLoggingConfig
  • 再利用可能な委任セットを削除
  • トラフィックポリシーを削除
  • DeleteTrafficPolicyInstance
  • DeleteVPCAssociationAuthorization
  • ホストゾーンからVPCを切り離す
  • UpdateHealthCheck
  • UpdateHostedZoneComment
  • UpdateTrafficPolicyComment
  • トラフィックポリシーインスタンスの更新
STS
  • AssumeRole
  • AssumeRoleWithSAML
  • AssumeRoleWithWebIdentity