ビュー:

モニタリングダッシュボードについて

モニタリングダッシュボードは、AWS account内のすべてのイベントの詳細な記録を提供します。各イベントは、イベントの時間、イベントの詳細、イベントを実行したユーザの識別、イベントが発生したアカウントによって分類されます。また、TrendAI Vision One™™ – Cloud Risk Managementイベント、AWSイベント、リージョン、サービスに基づいて[filter events]することができます。このダッシュボードを使用して、セキュリティグループの変更、ユーザの権限レベルの増加、見慣れない国からのAWS accountへのアクセスなど、通常と異なる活動をモニタし、必要に応じて是正措置を講じてください。
filter-monitoring-utktfw=feaeea19-fc44-4942-af23-90578f7857a4.png
{.zoom}
RTPMイベントを確認する際、ルールを再設定したり、失敗したチェックを解決したり、詳細を確認してセキュリティの脆弱性を特定または軽減したりすることができます。イベントを展開すると、次のオプションが提供されます。
  1. イベント/チェックの詳細 - イベント、チェック、およびそれに関連するリソースタイプとサービスに関する情報
  2. ルールを設定 - 組織のニーズに合わせてルールの動作を調整
  3. 解決 - セキュリティの脆弱性を減らすための修復手順を実行する
monitoring-dashboard-xmu7d3=27d8e4e6-7795-43fc-9c0c-a496e68f5005.png

トラブルシューティング

誤検知

問題: ルール[RTPM-005 - Users signed in to AWS from an approved country]は誤検出を返します。
ソリューション: この問題が発生する理由の一つは、コンプライアンス検索がユーザのサインイン場所を実際の物理的な場所ではなく、IPアドレスに基づいて識別するためです。
例えば、ドイツを承認された国のリストに追加しましたが、コンプライアンス検索がユーザのサインイン場所をスイスと検出し、失敗 (誤検出) を返します。
インターネットIPアドレスの割り当て方法から生じる不一致です。
この問題を診断し解決するために次の手順に従ってください
  1. 以下のサイトを使用して、ユーザのIPアドレスに基づいて位置を確認してください。
    1. https://tools.keycdn.com/geo
    2. https://www.ip2location.com/demo
    3. https://dnschecker.org/ip-location.php
  2. IP位置がコンプライアンス検索で検出されたものと一致する場合、ルールは期待通りに機能しています。これは、企業VPNを使用して接続する際に、ユーザの実際のサインインIPアドレスと位置を隠す場合にも発生することがあります。
  3. IPの位置がコンプライアンス検索によって検出されたものと異なる場合は、問題をさらに調査できるカスタマーサクセスにお問い合わせください。

AWSイベントが見つかりません

Problem:組織のためにRTPMを有効にしましたが、一部のAWSイベントがアクティビティボットによって検出されていません。
ソリューション:
  1. eventBusをインストールして、RTPMがすべてのリージョンからイベントを取得できるようにしてください。
  2. 以下のRTPM対応イベントのリストを確認してください。
以下のリストにないAWSイベントはRTPMでサポートされていません。これは、スケジュールされたコンプライアンス検索実行で監視され、検索で検出された後、自動修復に送信されます。
イベントの種類
イベント
S3
  • バケットを作成
  • バケット削除
  • DeleteBucketCORS
  • DeleteBucketLifecycle
  • DeleteBucketPolicy
  • DeleteBucketReplication
  • DeleteBucketTagging
  • DeleteBucketWebsite
  • PutAccelerateConfiguration
  • PutAccountPublicAccessBlock
  • PutAnalyticsConfiguration
  • PutBucketAccelerateConfiguration
  • PutBucketAclPutBucketCORS
  • PutBucketEncryption
  • PutBucketLifecycle
  • PutBucketLifecycleConfiguration
  • PutBucketLogging
  • PutBucketNotification
  • PutBucketNotificationConfiguration
  • PutBucketPolicy
  • PutBucketPublicAccessBlock
  • PutBucketReplication
  • PutBucketRequestPayment
  • PutBucketTagging
  • PutBucketVersioning
  • PutBucketWebsite
  • 暗号化設定を配置
  • インベントリ構成を設定
  • PutLifecycleConfiguration
  • PutMetricsConfiguration
  • PutReplicationConfiguration
EC2
  • AcceptVpcEndpointConnections
  • Vpcピアリング接続を承認
  • アドレスを割り当てる
  • クライアントVPNターゲットネットワークへのセキュリティグループの適用
  • アドレスを関連付ける
  • ルートテーブルを関連付ける
  • AssociateSubnetCidrBlock
  • AssociateTransitGatewayRouteTable
  • AssociateVpcCidrBlock
  • インターネットゲートウェイをアタッチ
  • ネットワークインターフェイスを接続
  • AuthorizeSecurityGroupEgress
  • AuthorizeSecurityGroupIngress
  • CreateCustomerGateway
  • EgressOnlyインターネットゲートウェイを作成
  • インターネットゲートウェイを作成
  • CreateLocalGatewayRouteTableVpcAssociation
  • CreateNatGateway
  • ネットワークACLを作成
  • CreateNetworkAclEntry
  • CreateNetworkInterface
  • ネットワークインターフェイス権限を作成
  • ルート作成
  • ルートテーブルを作成
  • セキュリティグループを作成
  • CreateTransitGatewayRouteTable
  • ボリューム作成
  • CreateVpc
  • CreateVpcEndpoint
  • CreateVpcEndpointConnectionNotification
  • Vpcエンドポイントサービス構成を作成
  • CreateVpcPeeringConnection
  • DeleteCustomerGateway
  • DeleteEgressOnlyInternetGateway
  • インターネットゲートウェイを削除
  • DeleteLocalGatewayRouteTableVpcAssociation
  • DeleteNatGateway
  • ネットワークACLを削除
  • DeleteNetworkAclEntry
  • DeleteNetworkInterface
  • DeleteNetworkInterfacePermission
  • DeleteRoute
  • ルートテーブルを削除
  • DeleteSecurityGroup
  • DeleteTransitGatewayRoute
  • DeleteTransitGatewayRouteTable
  • ボリューム削除
  • DeleteVpcEndpointConnectionNotification
  • DeleteVpcEndpointServiceConfiguration
  • DeleteVpcEndpoints
  • Vpcピアリング接続を削除
  • インターネットゲートウェイのデタッチ
  • ネットワークインターフェイスの切断
  • トランジットゲートウェイルートテーブルの伝播を無効化
  • アドレスの関連付け解除
  • ルートテーブルの関連付け解除
  • DisassociateSubnetCidrBlock
  • DisassociateTransitGatewayRouteTable
  • DisassociateVpcCidrBlock
  • EnableTransitGatewayRouteTablePropagation
  • EnableVgwRoutePropagation
  • インスタンス属性の変更
  • ネットワークインターフェイス属性を変更
  • ModifyVpcAttribute
  • Vpcエンドポイントを変更
  • Vpcエンドポイント接続通知の変更
  • Vpcエンドポイントサービス構成の変更
  • Vpcエンドポイントサービスの許可を変更
  • Vpcピアリング接続オプションの変更
  • インスタンスを再起動
  • RejectVpcEndpointConnections
  • RejectVpcPeeringConnection
  • ReleaseAddress
  • ReplaceNetworkAclAssociation
  • ReplaceNetworkAclEntry
  • ReplaceRouteTableAssociation
  • トランジットゲートウェイルートの置換
  • ResetNetworkInterfaceAttribute
  • セキュリティグループの送信許可を取り消す
  • RevokeSecurityGroupIngress
  • RunInstances
  • StartInstances
  • インスタンスの停止
  • インスタンスを終了
Elasticloadbalancing
  • ヘルスチェックを構成する
  • ロードバランサーを作成
  • ロードバランサーを削除
  • ロードバランサーの可用性ゾーンを有効にする
  • ロードバランサー属性の変更
  • SetLoadBalancerListenerSSLCertificate
  • SetLoadBalancerPoliciesForBackendServer
  • SetLoadBalancerPoliciesOfListener
オートスケーリング
  • CreateAutoScalingGroup
  • CreateLaunchConfiguration
  • DeleteAutoScalingGroup
  • DeleteLaunchConfiguration
  • 通知設定を配置
  • プロセスを再開
  • プロセスを一時停止
  • UpdateAutoScalingGroup
CloudFormation
  • スタック作成
  • スタック削除
  • UpdateStack
IAM
  • AddUserToGroup
  • AttachGroupPolicy
  • AttachRolePolicy
  • AttachUserPolicy
  • パスワード変更
  • アクセスキーを作成
  • アカウントエイリアスを作成
  • グループ作成
  • CreateLoginProfile
  • CreateOpenID
  • ConnectProvider
  • ポリシー作成
  • ポリシーバージョンを作成
  • ロール作成
  • CreateSAMLProvider
  • サービスリンクロールの作成
  • サービス固有の資格情報を作成
  • ユーザー作成
  • 仮想MFAデバイスを作成
  • MFAデバイスを無効化
  • アクセスキーを削除
  • アカウントエイリアスを削除
  • アカウント削除パスワードポリシー
  • グループを削除
  • DeleteGroupPolicy
  • ログインプロファイルを削除
  • DeleteOpenIDConnectProvider
  • ポリシー削除
  • DeletePolicyVersion
  • ロール削除
  • DeleteRolePermissionsBoundary
  • DeleteRolePolicy
  • DeleteSAMLProvider
  • DeleteSSHPublicKey
  • DeleteServerCertificate
  • サービスリンクロールの削除
  • DeleteServiceSpecificCredential
  • 署名証明書の削除
  • ユーザーを削除
  • DeleteUserPermissionsBoundary
  • DeleteUserPolicy
  • DeleteVirtualMFADevice
  • グループポリシーのデタッチ
  • DetachRolePolicy
  • DetachUserPolicy
  • MFAデバイスを有効化
  • PutGroupPolicy
  • PutRolePermissionsBoundary
  • PutRolePolicy
  • PutUserPermissionsBoundary
  • PutUserPolicy
  • OpenIDConnectプロバイダーからClientIDを削除
  • グループからユーザーを削除
  • ResetServiceSpecificCredential
  • SetDefaultPolicyVersion
  • UpdateAccessKey
  • UpdateAccountPasswordPolicy
  • UpdateAssumeRolePolicy
  • 更新グループ
  • ログインプロファイルを更新
  • UpdateOpenIDConnectProviderThumbprint
  • UpdateRole
  • UpdateRoleDescription
  • UpdateSAMLProvider
  • UpdateSSHPublicKey
  • サーバー証明書を更新
  • UpdateServiceSpecificCredential
  • UpdateSigningCertificate
  • ユーザー更新
  • SSHPublicキーをアップロード
  • UploadServerCertificate
  • アップロード署名証明書
Dynamodb
  • テーブル作成
  • DeleteTable
  • TagResource
  • UntagResource
  • UpdateTable
RDS
  • CopyDBClusterSnapshot
  • CopyDBSnapshot
  • CreateDBCluster
  • CreateDBClusterSnapshot
  • CreateDBInstance
  • CreateDBSecurityGroup
  • CreateDBSnapshot
  • DeleteDBCluster
  • DeleteDBClusterSnapshot
  • DeleteDBInstance
  • DeleteDBSecurityGroup
  • DeleteDBSnapshot
  • DBクラスターを変更
  • ModifyDBInstance
  • リソースからタグを削除
  • スナップショットからDBクラスターを復元
  • RestoreDBClusterToPointInTime
  • DBスナップショットからDBインスタンスを復元
  • RestoreDBInstanceToPointInTime
ラムダ
  • CreateFunction20150331
  • DeleteFunction20150331
  • レプリケーションを有効にする20170630
  • PublishVersion20150331
CloudFront
  • 無効化を作成
  
Organizations
  • AcceptHandshake
  • ポリシーを添付
  • ハンドシェイクをキャンセル
  • アカウント作成
  • 組織を作成
  • 組織単位を作成
  • ポリシー作成
  • DeclineHandshake
  • 組織を削除
  • 組織単位を削除
  • ポリシー削除
  • ポリシーのデタッチ
  • DisableAWSServiceAccess
  • DisablePolicyType
  • EnableAWSServiceAccess
  • すべての機能を有効にする
  • ポリシータイプを有効にする
  • 組織へのアカウント招待
  • 組織を離れる
  • アカウントを移動
  • 組織からアカウントを削除
  • 組織単位を更新
  • ポリシー更新
Config
  • DeleteAggregationAuthorization
  • DeleteConfigRule
  • DeleteConfigurationAggregator
  • DeleteConfigurationRecorder
  • DeleteDeliveryChannel
  • 評価結果を削除
  • DeletePendingAggregationRequest
  • PutAggregationAuthorization
  • PutConfigRule
  • PutConfigurationAggregator
  • PutConfigurationRecorder
  • PutDeliveryChannel
  • StartConfigRulesEvaluation
  • StartConfigurationRecorder
  • StopConfigurationRecorder
GuardDuty
  • 招待を受け入れる
  • アーカイブ検索結果
  • CreateDetector
  • CreateIPSet
  • メンバーを作成
  • サンプル検出を作成
  • 脅威インテリジェンスセットを作成
  • 招待を辞退
  • DeleteDetector
  • IPセットを削除
  • 招待を削除
  • メンバーを削除
  • DeleteThreatIntelSet
  • マスターアカウントからの関連付け解除
  • メンバーの関連付け解除
  • メンバーを招待
  • StaRTPMonitoringMembers
  • メンバーの監視を停止
  • 検出結果のアーカイブ解除
  • アップデート検出器
  • フィードバックの更新を検出
  • UpdateIPSet
  • UpdateThreatIntelSet
CloudTrail
  • タグを追加
  • トレイルを作成
  • トレイルを削除
  • PutEventSelectors
  • タグを削除
  • ログ記録開始
  • ログ記録を停止
  • トレイルを更新
Route53domains
  • DeleteTagsForDomain
  • DisableDomainAutoRenew
  • ドメイン転送ロックを無効化
  • EnableDomainAutoRenew
  • ドメイン転送ロックを有効にする
  • ドメイン登録
  • RenewDomain
  • 連絡先到達可能性確認メールを再送信
  • ドメイン転送
  • UpdateDomainContact
  • UpdateDomainContactPrivacy
  • UpdateDomainNameservers
  • ドメインのタグを更新
KMS
  • キー削除のキャンセル
  • エイリアスを作成
  • CreateGrant
  • キーを作成
  • エイリアス削除
  • インポートされた鍵マテリアルを削除
  • 無効化キー
  • キー回転を無効化
  • キーを有効化
  • キーのローテーションを有効にする
  • ランダム生成
  • インポートキー素材
  • PutKeyPolicy
  • RetireGrant
  • RevokeGrant
  • キー削除のスケジュール
  • TagResource
  • UntagResource
  • エイリアスを更新
  • キーの説明を更新
Route53
  • AssociateVPCWithHostedZone
  • ChangeResourceRecordSets
  • リソースのタグを変更
  • ヘルスチェックを作成
  • ホストゾーンを作成
  • CreateQueryLoggingConfig
  • 再利用可能な委任セットを作成
  • トラフィックポリシーを作成
  • CreateTrafficPolicyInstance
  • CreateTrafficPolicyVersion
  • CreateVPCAssociationAuthorization
  • ヘルスチェックの削除
  • DeleteHostedZone
  • DeleteQueryLoggingConfig
  • DeleteReusableDelegationSet
  • トラフィックポリシーの削除
  • DeleteTrafficPolicyInstance
  • DeleteVPCAssociationAuthorization
  • DisassociateVPCFromHostedZone
  • UpdateHealthCheck
  • UpdateHostedZoneComment
  • UpdateTrafficPolicyComment
  • UpdateTrafficPolicyInstance
STS
  • AssumeRole
  • AssumeRoleWithSAML
  • WebIdentityでのロール引受