内容 
Trend Vision One™ – クラウドポスチャ でサポートされるルールは?
クラウドポスチャ は、クラウドおよびセキュリティガバナンスのベストプラクティスに基づく [540][ルール] をサポートします。コンプライアンス基準。
クラウドポスチャのルールは、 6つのカテゴリセキュリティとガバナンスのベストプラクティス:
-
Cost Optimisation
-
オペレーショナルエクセレンス
-
信頼性
-
パフォーマンス効率
-
サステナビリティ
ルールは、クラウドアカウントのサービス、リソース、それらの設定、および構成に対して実行されます。
ルールの実行頻度
実行されるルール
参照クラウドポスチャ ナレッジベース クラウドポスチャでサポートされているすべてのルール用。
- [すべてのポートへのオープンアクセスを検索するルールはありますか?] ルール: EC2-001 (セキュリティグループのポート範囲)すべてのポートを含む、開いているポートの範囲を確認します。
- [AWS Configのすべてのルールが含まれていますか?] AWS Configのすべてのルールは、
config:DescribeConfigRulesAPI
新規アカウント
アカウントが初めて クラウドポスチャに追加されると、 クラウドポスチャ検索によって一連の初期設定ルールがアカウントに対して実行されます。
ルール設定
組織の状況やガバナンスのニーズに合わせてルールを設定できます。一部のルールには実行前に設定が必要です。すべてのルールには、重要度の調整や有効化/無効化などの設定オプションがあります。
参照ルール設定。
Rule settings
共通のルール設定 (新しいルールの動作やルールの設定など) は、Cloud Accountsレベル。
ルールの構造
概要を確認する
さまざまなチェックステータスの数を示します。参照モデル: チェック各ステータスの詳細については、
未得点
一部のルールは クラウドポスチャ によって文書化されていますが、クラウドインフラストラクチャに適用できないため、またはクラウドプロバイダから提供されるデータに制限があるため、クラウドインフラストラクチャに対してテストすることはできません。テストできないルールは、
[スコアなし]として識別されます。詳細については、次を参照してください。モデルチェック。
廃止されたルール
クラウドポスチャ によって削除対象としてマークされたルールは、 [廃止されたルール]として識別されます。
[ルールに非推奨のマークが付けられるのはなぜですか?]
[廃止されたルール] は、関連付けられた推奨事項が無効になったか、別の推奨事項によって置き換えられたか、または別のルールの推奨事項に組み込まれたため、今後削除する必要があります。
[ルールが廃止されたことを確認する方法]
ルールのタイトルと関連する [Knowledge Base] ページには、ルールが廃止されたかどうかが反映されます。非推奨とマークされたルールが設定されている場合は、アカウントの [ルール設定] と [プロファイル設定] に警告メッセージが表示されます。
[アカウントで廃止予定のルールを設定した場合はどうすればよいですか?]
[廃止されたルール] は初期設定のままにしておく必要があります。これは、ルールが後で削除されたときにアカウントが中断しないようにするために重要です。
廃止されたルールが [アカウントルールの設定]で設定されている場合、ダッシュボードから編集するには、次の手順を実行します。
手順
- アカウントをクリックし、 [設定]、 [Rule settings] の順に選択し、 [Update rule settings]をクリックします。
- 問題のあるルールを検索し、 [設定]をクリックします。
- ルール設定画面で、 [初期設定にリセット]をクリックします。
次に進む前に
[プロファイルで廃止予定のルールを設定している場合はどうすればよいですか?]
廃止されたルールが [プロファイル]で設定されている場合、ダッシュボードから編集するには、次の手順を実行します。
-
[プロファイル]
-
問題のあるルールを検索します
-
ルール設定を削除するには、 [リセット] ボタンをクリックします。
-
ルール設定を削除するかどうかを確認するメッセージが表示されたら、 [はい、削除します]をクリックします。
[プロファイル] JSONファイルが別の場所に保存されている場合は、非推奨ルールに関連するすべての設定を削除し、通常の [プロファイル] アップデートプロセスに従います。
[ルールの削除]
廃止されたルールは、システムから完全に削除されます。中断が発生しないように、ルールを初期設定のままにしておくことを忘れないでください。
リアルタイム監視でサポートされるルール
[AWS]
|
サービス
|
ルール
|
|
バックアップ
|
バックアップ-001
|
|
CloudFormation
|
CFM-001、CFM-002、CFM-004、CFM-005、CFM-006、CFM-007
|
|
CloudFront
|
CF-002、CF-003、CF-004、CF-005、CF-006、CF-007、CF-008、CF-009、CF-011
|
|
CloudTrail
|
CT-013
|
|
設定
|
Config-005
|
|
DynamoDB
|
DynamoDB-001、DynamoDB-003、DynamoDB-004、DynamoDB-005
|
|
EC2
|
EC2-001、EC2-002、EC2-003、EC2-004、EC2-005、EC2-006、EC2-007、EC2-008、EC2-014、EC2-015、EC2-016、EC2-017、EC2-
020、EC2-021、EC2-022、EC2-023、EC2-024、EC2-025、EC2-026、EC2-027、EC2-028、EC2-029、EC2-030、EC2-031、EC2-032、
EC2-033, EC2-034, EC2-035, EC2-036, EC2-038, EC2-039, EC2-040, EC2-041, EC2-042, EC2-043,
EC2-044, EC2-045, EC2- 046、EC2-047、EC2-053、EC2-055、EC2-056、EC2-058、EC2-059、EC2-061、EC2-063、EC2-064、EC2-065、EC2-066、EC2-069、
EC2-070、EC2-071、EC2-072、EC2-073、EC2-074、EC2-075
|
|
ECS
|
ECS-001
|
|
ELB
|
ELB-001、ELB-002、ELB-003、ELB-004、ELB-005、ELB-006、ELB-007、ELB-008、ELB-009、ELB-010、ELB-011、ELB-012、ELB-
013、ELB-014、ELB-015、ELB-016、ELB-017、ELB-018、ELB-021、ELB-022
|
|
GuardDuty
|
GD-003
|
|
IAM
|
IAM-001、IAM-002、IAM-003、IAM-004、IAM-005、IAM-006、IAM-007、IAM-008、IAM-009、IAM-010、IAM-011、IAM-012、IAM-
013, IAM-016, IAM-017, IAM-018, IAM-019, IAM-020, IAM-021, IAM-022, IAM-024, IAM-025,
IAM-026, IAM-027, IAM-028, IAM-029、IAM-033、IAM-038、IAM-044、IAM-045、IAM-049、IAM-050、IAM-051、IAM-052、IAM-053、IAM-054、IAM-056、IAM-
057、IAM-058、IAM-059、IAM-060、IAM-062、IAM-064、IAM-069、IAM-071、RTPM-001、RTPM-002、RTPM-003、RTPM-005、RTPM-008、
RTPM-010
|
|
KMS
|
KMS-007
|
|
Lambda
|
Lambda-001、Lambda-002、Lambda-003、Lambda-004、Lambda-005、Lambda-006、Lambda-007、Lambda-009
|
|
メイシー
|
Macie-002
|
|
その他
|
Misc-001、RTPM-011
|
|
組織
|
組織-003
|
|
RDS
|
RDS-001、RDS-002、RDS-003、RDS-004、RDS-005、RDS-006、RDS-007、RDS-008、RDS-009、RDS-010、RDS-011、RDS-012、RDS-
013、RDS-019、RDS-022、RDS-023、RDS-025、RDS-026、RDS-030、RDS-031、RDS-032、RDS-033、RDS-034、RDS-035、RDS-036、
RDS-037、RDS-038、RDS-039、RDS-040、RDS-041、RDS-042
|
|
Route53
|
Route53-009
|
|
Route53Domains
|
Route53Domains-001
|
|
S3
|
S3-001、S3-002、S3-003、S3-004、S3-005、S3-006、S3-007、S3-008、S3-009、S3-010、S3-011、S3-012、S3-
013, S3-014, S3-015, S3-016, S3-017, S3-018, S3-019, S3-020, S3-021, S3-022, S3-023,
S3-024, S3-025, S3-026、S3-028
|
|
SecurityHub
|
SecurityHub-001
|
|
SSM
|
SSM-003
|
|
VPC
|
VPC-001、VPC-004、VPC-005、VPC-006、VPC-010、VPC-011、VPC-012、VPC-013、VPC-014、VPC-015、VPC-016、RTPM-009
|
[Azure]
|
サービス
|
ルール
|
|
ネットワーク
|
ネットワーク-014
|
|
ポリシー
|
ポリシー-001
|
|
セキュリティセンター
|
SecurityCenter-026、SecurityCenter-027
|
|
Sql
|
Sql-016
|
[GCP]
|
サービス
|
ルール
|
|
CloudIAM
|
CloudIAM-014
|
|
CloudKMS
|
CloudKMS-003
|
|
CloudStorage
|
CloudStorage-004
|
|
ComputeEngine
|
ComputeEngine-012
|
|
CloudSQL
|
CloudSQL-029
|
|
CloudDNS
|
CloudDNS-004
|
|
CloudLoadBalancing
|
CloudLoadBalancing-003
|
|
GKE
|
GKE-003
|
|
ResourceManager
|
ResourceManager-004
|
|
CloudPubSub
|
CloudPubSub-001
|
クラウドポスチャ
|
サービス
|
ルール
|
|
ユーザのサインイン
|
RTPM-004、RTPM-006
|
よくある質問
手順
- ** クラウドポスチャ のWebインタフェースで、ルールに「新規」または「アップデート済み」と表示されます。どういう意味ですか?**アップデートされたルールと新しいルールは、リリースから10日間、「アップデート済み」および「新規」としてマークされます。アップデートには、ルールの動作の変更、バグの修正、改善、新しい設定、初期設定の変更、初期設定のリスクレベルの変更などが含まれます。
- **なぜAssumeRole処理によってブラックリストに登録されたリージョンルールのエラーがトリガーされるのですか?**ブラウザは前回のセッションからリージョンを取得することがあります。ユーザの前回の操作がus east 1で行われたとします。ユーザが次にログインするときは、通常はeu west 1にログインしていても、コンソールのログインがus east 1になることがあります。
- Is there a rule to check for S3 buckets with static website hosting option turned on? I created a bucket with static website hosting turned on, and it didn't trigger any **violations.**Refer to the link: S3 Buckets with Website Configuration Enabled
- [AWS Inspectorの結果のリスクレベルはどのように計算されますか?] AWS Inspectorの結果リスクレベルは次のように計算されます。Inspector.severity = High。 クラウドポスチャ リスクレベル= HIGHInspector.severity = Medium; クラウドポスチャ リスクレベル= MEDIUMInspector.severity = 低; クラウドポスチャ リスクレベル= 低それ以外の場合は クラウドポスチャ リスクレベルレベル = 低
- [GuardDutyの結果のリスクレベルはどのように計算されますか?] GuardDuty の調査結果リスク レベルは次の方法で計算されます:GuardDuty.level >=7.0;クラウドポスチャリスクレベル = HIGHGuardDuty.level >=4.0 & GuardDuty.level <=6.9;クラウドポスチャリスクレベル = MEDIUMそれ以外の場合クラウドポスチャリスクレベル = 低
- **Macie Alertsのリスクレベルは クラウドポスチャでどのように計算されますか?**Macie Alertsのリスクレベルは次のように計算されます。 クラウドポスチャ リスクレベル= EXTREMEMacie.severity = High; クラウドポスチャ リスクレベル= HIGHMacie.severity = Medium; クラウドポスチャ リスクレベル= MEDIUMMacie.severity = 低; クラウドポスチャ リスクレベル= LOWMacie.severity = 情報。 クラウドポスチャ リスクレベル= 低
- **複数の信頼済みアカウントを追加するには、非常に時間がかかります。より適切な方法はありますか?**複数の信頼済みアカウントを追加する場合は、 クラウドポスチャ APIを使用できます。信頼するアカウントは、クロスアカウントルールの一部です。ここの例 - https://www.cloudconformity.com/knowledge-base=96b226c5-530f-49eb-b89e-74625f50f5f0/aws/SQS/sqs-cross-account-access.htmlYou can use update rule setting endpoint - https://github.com/cloudconformity/documentation-api/blob/master/Accounts.md#update-rule-setting
- **最近、ACM証明書の有効期限が切れるという問題が発生しました。 クラウドポスチャ には、有効期限の7日前 (ACM-002)、30日前 (ACM-003)、および45日前 (ACM-004) のルールがあります。しかし、ダッシュボードにアクセスしてACMサービスでフィルタすると、ACM-004しか表示されません。 クラウドポスチャ アカウントがすべてのACM証明書の有効期限ルールを確認しているかどうかを確認したかっただけです。これらがチェックされている場合、ACMでフィルタしたときにそれらが表示されない理由を教えていただけますか?** ACM証明書の更新ルール - 2、3、4チェック重複を避けるため、 ACM-002証明書は7日以内に期限切れになりますb。 ACM-003証明書の有効期限は7~30日ですc。 ACM-004証明書の有効期間は30~45日ですACM-002、ACM-003、ACM-004のいずれかのチェックアウトを作成する理由危険度中ACM-004危険度低45~30日の間に危険度低のチェックを受け取ります。 30~7日以内に中リスクのチェックを受け取ります。最終的に、7日から有効期限までの間に、高リスクのチェックが実行されます。
- **CloudTrailがS3にログを記録するように設定されているかどうかを検出するルールはありますか? はい。 CloudTrail有効化ルールS3にログを記録するようにCloudTrailが設定されているかどうかを検出します。証跡の設定にはS3BucketNameが必要です。
- [ホワイトリストに登録されていないユーザからのログオンを確認することはできますか]ログインイベントルールは、IAMおよびフェデレーションユーザのサインインイベントを確認します。また、承認された国からAWSにサインインしたユーザルールにより、未承認の国からのユーザ認証セッションが検出されました。
- **RDSスナップショットが公開されているかどうかを検出できますか?**はい。 Amazon RDSのパブリックスナップショットルールによって、パブリックRDSスナップショットが検出されます。
- **CloudWatchログをEC2インスタンスからエクスポートしてアラートを生成できますか?**クラウドポスチャ はCloudWatchログにアクセスできないため、EC2インスタンスからアラートを生成できません。
- [Does RTPM-004 and RTPM-006 run for Trend users?]ルール。 RTPM-004 (クラウドポスチャ ユーザがMFAなしでサインインしている) およびRTPM-006 (承認された国から クラウドポスチャ にサインインしているユーザ) は、スタンドアロン クラウドポスチャ のみ実行され、 Trend Vision One ユーザに対しては実行されません。