Monitoring Dashboard · Customer Self-Service

ビュー:

監視ダッシュボードについて
トラブルシューティング
- 誤検出
- AWSイベントが見つからない

監視ダッシュボードについて

監視ダッシュボードには、AWSアカウントのすべてのイベントの詳細な記録が表示されます。各イベントは、イベントの発生時刻、イベントの詳細、イベントを実行したユーザのID、およびイベントが発生したアカウントによって分類されます。 Trend Vision One™ – クラウドポスチャイベント、AWSイベント、リージョン、およびサービスに基づいて [イベントのフィルタ] を実行することもできます。このダッシュボードを使用して、セキュリティグループの変更、ユーザの権限レベルの引き上げ、見知らぬ国からのAWSアカウントへのアクセスなどの異常なアクティビティを監視し、必要に応じて是正措置を講じます。

filter-monitoring-utktfw=feaeea19-fc44-4942-af23-90578f7857a4.png

{.zoom}

RTPMイベントを確認するときは、ルールの再設定、失敗したチェックの解決、または詳細の確認を行って、セキュリティの脆弱性を特定または軽減することができます。イベントを展開すると、次のオプションが表示されます。

イベント/チェックの詳細 - イベント、チェック、および関連するリソースタイプとサービスに関する情報
ルールの設定- 組織のニーズに合わせてルールの動作を調整する
解決- セキュリティの脆弱性を軽減するための修復手順の実行

monitoring-dashboard-xmu7d3=27d8e4e6-7795-43fc-9c0c-a496e68f5005.png

トラブルシューティング

誤検出

[Problem]: ルール[RTPM-005 - Users signed in to AWS from an approved country]は誤検出を返します。

[解決方法]: この問題が発生する理由の1つは、クラウドポスチャ検索が実際の物理的な場所ではなくIPアドレスに基づいてユーザのサインイン場所を特定することです。

たとえば、承認済み国のリストにドイツを追加したが、クラウドポスチャ検索でユーザのサインイン場所がスイスとして検出され、失敗 (誤検出) が返されました。

この不一致は、インターネットIPアドレスの割り当て方法に起因します。

この問題を診断して解決するには、次の手順を実行します。

次のいずれかのサイトを使用して、IPアドレスに基づいてユーザの位置を確認します。
IPの場所がクラウドポスチャ検索で検出された場所と一致する場合、ルールは正常に機能しています。これは、ユーザの実際のサインインIPアドレスと場所が隠されている企業VPNを使用して接続する場合にも発生する可能性があります。
IPの場所がクラウドポスチャ検索で検出されたものと異なる場合は、カスタマーサクセスに問い合わせてください。

AWSイベントが見つからない

[Problem:]組織のRTPMを有効にしましたが、一部のAWSイベントがアクティビティボットによって選択されません。

[ソリューション:]

RTPMがすべてのリージョンからイベントを取得できるように、eventBusがインストールされていることを確認します。
以下のRTPMでサポートされるイベントのリストを確認してください。

以下のリストにないAWSイベントは、RTPMでサポートされていません。スケジュールされたクラウドポスチャ検索の実行で監視され、自動修復スキャンで検出された後。

イベントの種類	イベント
S3	バケットの作成バケットの削除 DeleteBucketCORS DeleteBucketLifecycle DeleteBucketPolicy DeleteBucketReplication バケットの削除タグ付け DeleteBucketWebサイト PutAccelerate設定 PutAccountPublicAccessBlock PutAnalytics設定 PutBucketAccelerate設定 PutBucketAclPutBucketCORS PutBucketEncryption PutBucketLifecycle PutBucketLifecycleConfiguration	PutBucketLogging PutBucketNotification PutBucketNotificationConfiguration PutBucketPolicy PutBucketPublicAccessBlock PutBucketReplication PutBucketRequestPayment PutBucketタグ付け PutBucketのバージョン管理 PutBucketWebサイト PutEncryptionConfiguration PutInventory設定 PutLifecycleConfiguration PutMetricsConfiguration PutReplication設定
EC2	AcceptVpcEndpointConnections AcceptVpcPeering接続 AllocateAddress ApplySecurityGroupsToClientVpnTargetNetwork アソシエイトアドレス AssociateRouteTable AssociateSubnetCidrBlock AssociateTransitGatewayRouteTable AssociateVpcCidrBlock アタッチインターネットゲートウェイ AttachNetworkInterface AuthorizeSecurityGroupEgress AuthorizeSecurityGroupIngress CreateCustomerGateway CreateEgressOnlyInternetGateway インターネットゲートウェイの作成 CreateLocalGatewayRouteTableVpcAssociation CreateNatGateway CreateNetworkAcl CreateNetworkAclEntry CreateNetworkInterface CreateNetworkInterfacePermission CreateRoute CreateRouteTable CreateSecurityGroup CreateTransitGatewayRouteTable CreateVolume CreateVpc CreateVpcEndpoint CreateVpcEndpointConnectionNotification CreateVpcEndpointServiceConfiguration CreateVpcPeeringConnection 顧客ゲートウェイの削除 DeleteEgressOnlyInternetGateway 削除インターネットゲートウェイ DeleteLocalGatewayRouteTableVpcAssociation DeleteNatGateway DeleteNetworkAcl DeleteNetworkAclEntry DeleteNetworkInterface DeleteNetworkInterfacePermission ルートの削除	DeleteRouteTable セキュリティグループの削除削除TransitGatewayRoute DeleteTransitGatewayRouteTable ボリュームの削除 DeleteVpcEndpointConnectionNotification DeleteVpcEndpointServiceConfiguration DeleteVpcEndpoints DeleteVpcPeeringConnection インターネットゲートウェイのデタッチ DetachNetworkInterface DisableTransitGatewayRouteTablePropagation DisassociateAddress DisassociateRouteTable DisassociateSubnetCidrBlock DisassociateTransitGatewayRouteTable DisassociateVpcCidrBlock EnableTransitGatewayRouteTablePropagation EnableVgwRoutePropagation ModifyInstanceAttribute ModifyNetworkInterfaceAttribute ModifyVpcAttribute ModifyVpcEndpoint ModifyVpcEndpointConnectionNotification ModifyVpcEndpointServiceConfiguration ModifyVpcEndpointServicePermission ModifyVpcPeeringConnectionOptions RebootInstances RejectVpcEndpointConnections RejectVpcPeering接続リリースアドレス ReplaceNetworkAclAssociation ReplaceNetworkAclEntry ReplaceRouteTableAssociation TransitGatewayRouteの置換 ResetNetworkInterfaceAttribute RevokeSecurityGroupEgress RevokeSecurityGroupIngress RunInstances StartInstances StopInstances TerminateInstances
Elasticloadbalancing	ConfigureHealthCheck CreateLoadBalancer DeleteLoadBalancer EnableAvailabilityZonesForLoadBalancer	ModifyLoadBalancerAttributes SetLoadBalancerListenerSSLCertificate SetLoadBalancerPoliciesForBackendServer SetLoadBalancerPoliciesOfListener
AutoScaling	CreateAutoScalingGroup CreateLaunchConfiguration DeleteAutoScalingGroup 起動設定の削除	PutNotificationConfiguration 再開プロセス SuspendProcesses UpdateAutoScalingGroup
CloudFormation	CreateStack スタックの削除	UpdateStack
IAM	AddUserToGroup AttachGroupPolicy AttachRolePolicy AttachUserPolicy パスワードの変更 CreateAccessKey CreateAccountAlias グループの作成 CreateLoginProfile CreateOpenID 接続プロバイダ CreatePolicy CreatePolicyVersion ロールの作成 CreateSAMLProvider CreateServiceLinkedRole CreateServiceSpecificCredential CreateUser CreateVirtualMFADevice 非アクティブ化MFAデバイスアクセスキーの削除 DeleteAccountAlias DeleteAccountPasswordPolicy グループの削除 DeleteGroupPolicy ログインプロファイルの削除 DeleteOpenIDConnectProvider DeletePolicy DeletePolicyVersion ロールの削除 DeleteRolePermissionsBoundary DeleteRolePolicy DeleteSAMLProvider 削除SSHPublicKey DeleteServerCertificate DeleteServiceLinkedRole	DeleteServiceSpecificCredential 署名証明書の削除ユーザの削除 DeleteUserPermissionsBoundary DeleteUserPolicy DeleteVirtualMFADevice DetachGroupPolicy DetachRolePolicy DetachUserPolicy 有効化MFAデバイス PutGroupPolicy PutRolePermissionsBoundary PutRolePolicy PutUserPermissionsBoundary PutUserPolicy RemoveClientIDFromOpenIDConnectProvider RemoveUserFromGroup ResetServiceSpecificCredential SetDefaultPolicyVersion UpdateAccessKey UpdateAccountPasswordPolicy UpdateAssumeRolePolicy UpdateGroup UpdateLoginProfile UpdateOpenIDConnectProviderThumbprint アップデートロール UpdateRoleDescription アップデートSAMLProvider UpdateSSHPublicKey UpdateServerCertificate UpdateServiceSpecificCredential UpdateSigningCertificate UpdateUser アップロードSSHPublicKey UploadServerCertificate UploadSigningCertificate
Dynamodb	CreateTable DeleteTable TagResource	UntagResource UpdateTable
RDS	CopyDBClusterSnapshot CopyDBSnapshot CreateDBCluster CreateDBClusterSnapshot CreateDBInstance CreateDBSecurityGroup CreateDBSnapshot DeleteDBCluster DeleteDBClusterSnapshot DeleteDBInstance	DeleteDBSecurityGroup DeleteDBSnapshot ModifyDBCluster ModifyDBInstance RemoveTagsFromResource RestoreDBClusterFromSnapshot RestoreDBClusterToPointInTime RestoreDBInstanceFromDBSnapshot RestoreDBInstanceToPointInTime
Lambda	CreateFunction20150331 DeleteFunction20150331	EnableReplication20170630 公開バージョン20150331
クラウドフロント	CreateInvalidation
組織	AcceptHandshake AttachPolicy CancelHandshake アカウントの作成 CreateOrganization CreateOrganizationalUnit CreatePolicy 拒否ハンドシェイク組織の削除 DeleteOrganizationalUnit DeletePolicy DetachPolicy	AWSServiceAccessを無効にする DisablePolicyType AWSServiceAccessを有効にするすべての機能を有効にする EnablePolicyType InviteAccountToOrganization 組織の脱退アカウントの移動 RemoveAccountFromOrganization UpdateOrganizationalUnit UpdatePolicy
設定	DeleteAggregationAuthorization 削除設定ルール DeleteConfigurationAggregator DeleteConfigurationRecorder 配信チャネルの削除 DeleteEvaluationResults DeletePendingAggregationRequest PutAggregationAuthorization	PutConfigRule PutConfigurationAggregator PutConfigurationRecorder PutDeliveryChannel StartConfigRulesEvaluation StartConfigurationRecorder StopConfigurationRecorder
GuardDuty	AcceptInvitation アーカイブ結果 CreateDetector CreateIPSet CreateMembers CreateSampleFindings CreateThreatIntelSet 招待の辞退 DeleteDetector IPセットの削除招待の削除メンバーの削除	DeleteThreatIntelSet DisassociateFromMasterAccount DisassociateMembers メンバーを招待 StaRTPMonitoringMembers StopMonitoringMembers 検索結果のアーカイブ解除 UpdateDetector UpdateFindingsFeedback UpdateIPSet UpdateThreatIntelSet
CloudTrail	タグの追加 CreateTrail 証跡の削除 PutEventSelectors	タグの削除開始ログログの停止 UpdateTrail
Route53ドメイン	DeleteTagsForDomain DisableDomainAutoRenew DisableDomainTransferLock ドメイン自動更新を有効にするドメイン転送ロックを有効にするドメインの登録ドメインの更新	ResendContactReachabilityEmail TransferDomain UpdateDomainContact UpdateDomainContactPrivacy UpdateDomainNameservers UpdateTagsForDomain
KMS	CancelKeyDeletion CreateAlias CreateGrant CreateKey エイリアスの削除 DeleteImportedKeyMaterial DisableKey DisableKeyRotation キーの有効化キーローテーションを有効にする GenerateRandom	ImportKeyMaterial PutKeyPolicy RetireGrant 権限の取り消し予約キー削除 TagResource UntagResource UpdateAlias UpdateKeyDescription
Route53	AssociateVPCWithHostedZone ChangeResourceRecordSet ChangeTagsForResource CreateHealthCheck CreateHostedZone CreateQueryLoggingConfig CreateReusableDelegationSet CreateTrafficPolicy CreateTrafficPolicyInstance CreateTrafficPolicyVersion CreateVPCAssociationAuthorization DeleteHealthCheck	DeleteHostedZone DeleteQueryLoggingConfig DeleteReusableDelegationSet DeleteTrafficPolicy DeleteTrafficPolicyInstance 削除VPCAssociationAuthorization VPCFromHostedZoneの関連付け解除 UpdateHealthCheck UpdateHostedZoneComment UpdateTrafficPolicyComment UpdateTrafficPolicyInstance
STS	役割を引き受ける AssumeRoleWithSAML	AssumeRoleWithWebIdentity