檢視次數:

TrendAI Vision One™™ – Cloud Risk Management 支援哪些規則? 上層主題

TrendAI Vision One™™ 也擁有一個不斷增長的公共資料庫,包含超過 1100 項雲端基礎設施配置最佳實踐,適用於您的 AWS™、Microsoft® Azure、Alibaba Cloud 和 Google Cloud™ 環境。
Cloud Risk Management 的規則涵蓋 6 個類別 的安全性和治理最佳實踐:
  • 成本優化
  • 卓越運營
  • 可靠性
  • 效能效率
  • 永續性
規則會針對您的雲端帳戶服務、資源、其設定和配置進行執行。

執行規則的頻率是多少? 上層主題

Cloud Risk Management 規則已執行:

步驟

  1. 定期在合規掃瞄新增帳戶上,或

後續步驟

執行了哪些規則? 上層主題

請參閱 Cloud Risk Management 常見問題集 以了解 Cloud Risk Management 支援的所有規則。
  • 「Is there any rule that looks for open access to all ports?」 規則:EC2-001(安全群組通訊埠範圍) 檢查任何開放通訊埠的範圍,包括所有通訊埠。
  • 「Are all the rules in AWS Config included?」 我們支援 AWS Config 中的每一個規則,並在它們透過 config:DescribeConfigRules API 可用時立即提供支援

新帳戶 上層主題

當帳戶首次新增至Cloud Risk Management時,合規掃瞄將在該帳戶上執行一組預設規則。

規則設定 上層主題

規則可以配置以更好地滿足您組織的情況和治理需求。有些規則需要在運行之前進行配置,所有規則都有配置選項,包括調整嚴重性和啟用/禁用。
請參閱規則配置

規則設定 上層主題

Cloud Accounts 層級可以管理常見的規則設定(例如新規則行為和規則配置)。

規則的結構 上層主題

一個 Cloud Risk Management 規則會針對 AWS(或其他雲端供應商)或 Cloud Risk Management 服務執行。例如 Guard Duty、CloudTrail、Cloud Risk Management。完整的服務列表可以在 常見問題集 中找到。
Cloud Risk Management 為每個規則執行 檢查,以針對服務及或規則所屬的服務資源進行檢查。檢查可以 「失敗」「succeed」,並由 Cloud Risk Management 的多種 報告工具捕捉。
「注意」:新規則或更新的規則在發布後的10天內將被相應標記。

檢查摘要 上層主題

提供不同檢查狀態的計數。請參閱 模型:檢查 以獲取每個狀態的更多資訊。

未評分 上層主題

某些規則已由Cloud Risk Management記錄,但由於不適用於雲端基礎設施或雲端提供者提供的資料限制,無法對您的雲端基礎設施進行測試。無法測試的規則被標識為「Not Scored」。如需詳細資訊,請參閱模型檢查

已停用的規則 上層主題

Cloud Risk Management標記為移除的規則被識別為「Deprecated Rules」
Why are rules marked for deprecation?
已識別出一個「Deprecated Rule」,將在未來移除,因為相關建議已不再有效、已被其他建議取代,或已納入其他規則建議中。
How do I know a rule is deprecated?
規則標題和相關的「常見問題集」頁面將顯示規則是否已被棄用。如果已配置標記為棄用的規則,則警告訊息將顯示在帳戶的「規則設定」「資料檔設定」中。
What should I do if I have configured deprecated rules in an account?
「Deprecated Rules」 應保持預設設定。這很重要,以避免在稍後移除規則時對您帳戶造成干擾。
如果在「Account Rule Settings」中配置了已棄用的規則,請透過資訊中心進行編輯:

步驟

  1. 點擊帳戶並導航至「設定」「Rule settings」,然後點擊「Update rule settings」
  2. 搜尋違規規則並點擊「設定」
  3. 在規則設定視窗中,點擊「Reset to default」

後續步驟

What should I do if I have configured deprecated rules in a Profile?
如果在「資料檔」中配置了已棄用的規則,請通過資訊中心進行編輯:
  1. 點擊「資料檔」
  2. 搜尋違規規則
  3. 點擊「重設」按鈕以移除任何規則設定
  4. 當被詢問是否確定要移除規則設定時,請點擊「Yes, remove it」
如果您在其他地方存有任何「資料檔」 JSON檔案,請移除所有與已棄用規則相關的配置,並按照正常的「資料檔」更新流程進行。
Rule Removal
當規則被棄用一段時間後,我們將完全從系統中移除該規則。為確保不會有中斷,請勿忘記將規則保持在預設狀態。

即時監控支援的規則 上層主題

AWS
服務
規則
備份
備份-001
CloudFormation
CFM-001, CFM-002, CFM-004, CFM-005, CFM-006, CFM-007
CloudFront
CF-002, CF-003, CF-004, CF-005, CF-006, CF-007, CF-008, CF-009, CF-011
CloudTrail
CT-013
設定
設定-005
DynamoDB
DynamoDB-001, DynamoDB-003, DynamoDB-004, DynamoDB-005
EC2
EC2-001, EC2-002, EC2-003, EC2-004, EC2-005, EC2-006, EC2-007, EC2-008, EC2-014, EC2-015, EC2-016, EC2-017, EC2-020, EC2-021, EC2-022, EC2-023, EC2-024, EC2-025, EC2-026, EC2-027, EC2-028, EC2-029, EC2-030, EC2-031, EC2-032, EC2-033, EC2-034, EC2-035, EC2-036, EC2-038, EC2-039, EC2-040, EC2-041, EC2-042, EC2-043, EC2-044, EC2-045, EC2-046, EC2-047, EC2-055, EC2-056, EC2-058, EC2-059, EC2-061, EC2-063, EC2-064, EC2-065, EC2-066, EC2-069, EC2-070, EC2-071, EC2-072, EC2-073, EC2-074, EC2-075
ECS
ECS-001
ELB
ELB-001, ELB-002, ELB-003, ELB-004, ELB-005, ELB-006, ELB-007, ELB-008, ELB-009, ELB-010, ELB-011, ELB-012, ELB-015, ELB-016, ELB-017, ELB-018, ELB-021, ELB-022
GuardDuty
GD-003
身份與存取管理
IAM-001, IAM-002, IAM-003, IAM-004, IAM-005, IAM-006, IAM-007, IAM-008, IAM-009, IAM-010, IAM-011, IAM-012, IAM-013, IAM-016, IAM-017, IAM-018, IAM-019, IAM-020, IAM-021, IAM-022, IAM-024, IAM-025, IAM-026, IAM-027, IAM-028, IAM-029, IAM-033, IAM-038, IAM-044, IAM-045, IAM-049, IAM-050, IAM-051, IAM-052, IAM-053, IAM-054, IAM-056, IAM-057, IAM-058, IAM-059, IAM-060, IAM-062, IAM-064, IAM-069, IAM-071, RTPM-001, RTPM-002, RTPM-003, RTPM-005, RTPM-008, RTPM-010
KMS
KMS-007
Lambda
Lambda-001, Lambda-002, Lambda-003, Lambda-004, Lambda-005, Lambda-006, Lambda-007, Lambda-009
Macie
Macie-002
其他
Misc-001, RTPM-011
組織
組織-003
RDS
RDS-001, RDS-002, RDS-003, RDS-004, RDS-005, RDS-006, RDS-007, RDS-008, RDS-009, RDS-010, RDS-011, RDS-012, RDS-013, RDS-019, RDS-022, RDS-023, RDS-025, RDS-026, RDS-030, RDS-031, RDS-032, RDS-033, RDS-034, RDS-035, RDS-036, RDS-037, RDS-038, RDS-039, RDS-040, RDS-041, RDS-042
Route53
Route53-009
Route53Domains
Route53Domains-001
S3
S3-001, S3-002, S3-003, S3-004, S3-005, S3-006, S3-007, S3-008, S3-009, S3-010, S3-011, S3-012, S3-013, S3-014, S3-015, S3-016, S3-017, S3-018, S3-019, S3-020, S3-021, S3-022, S3-023, S3-024, S3-025, S3-026, S3-028
安全中心
安全中心-001
SSM
SSM-003
VPC
VPC-001, VPC-004, VPC-005, VPC-006, VPC-010, VPC-011, VPC-013, VPC-014, VPC-015, VPC-016, RTPM-009
Azure
服務
規則
網路
網路-014
政策
政策-001
安全中心
安全中心-026, 安全中心-027
Sql
Sql-016
AKS AKS-003, AKS-004, AKS-005, AKS-007
GCP
服務
規則
CloudIAM
CloudIAM-014
CloudKMS
CloudKMS-003
雲端儲存
CloudStorage-004
計算引擎
ComputeEngine-012
CloudSQL
CloudSQL-029
CloudDNS
CloudDNS-004
雲端負載平衡
CloudLoadBalancing-003
GKE
GKE-003, GKE-001, GKE-004, GKE-005, GKE-006, GKE-007, GKE-008, GKE-009, GKE-010, GKE-011, GKE-012, GKE-013, GKE-014, GKE-015, GKE-016, GKE-017, GKE-018, GKE-019, GKE-020, GKE-021, GKE-022, GKE-023, GKE-024
資源管理器
資源管理器-004
CloudPubSub
CloudPubSub-001
Cloud Risk Management
服務
規則
使用者登入
RTPM-004, RTPM-006

常見問題 上層主題

步驟

  1. **在Cloud Risk Management網頁介面上,規則被標記為新或更新。這意味著什麼?**更新的規則和新規則在發布後的10天內會被標記為更新和新。更新包括規則行為的變更、錯誤修正、改進、新設定、預設設定的變更、預設風險等級的變更等。
  2. **Why does an AssumeRole action trigger a failure for our blacklisted region rule?**有時候,瀏覽器會從上一次的會話中選擇區域。例如,使用者上次的操作是在 us east 1。當使用者下次登入時,主控台登入可能仍是 us east 1,即使使用者通常登入的是 eu west 1。
  3. 「Is there a rule to check for S3 buckets with static website hosting option turned on? I created a bucket with static website hosting turned on, and it didn't trigger any」 **違規。**請參考連結:已啟動網站配置的S3儲存桶
  4. 「How are the AWS Inspector Findings risk levels calculated?」AWS Inspector Findings 風險等級的計算方式如下:Inspector.severity = High; Cloud Risk Management 風險等級 = 高Inspector.severity = Medium; Cloud Risk Management 風險等級 = 中Inspector.severity = Low; Cloud Risk Management 風險等級 = 低否則 Cloud Risk Management 風險等級 = 低
  5. 「How are the GuardDuty Findings risk levels calculated?」GuardDuty Findings 風險等級的計算方式如下:GuardDuty.level >=7.0; Cloud Risk Management 風險等級 = 高GuardDuty.level >=4.0 & GuardDuty.level <=6.9; Cloud Risk Management 風險等級 = 中否則 Cloud Risk Management 風險等級 = 低
  6. **Macie Alerts 風險等級如何由 Cloud Risk Management 計算?**Macie Alerts 風險等級的計算方式如下:Macie.severity = Critical; Cloud Risk Management 風險等級 = 極高Macie.severity = High; Cloud Risk Management 風險等級 = 高Macie.severity = Medium; Cloud Risk Management 風險等級 = 中Macie.severity = Low; Cloud Risk Management 風險等級 = 低Macie.severity = Informational; Cloud Risk Management 風險等級 = 低
  7. **添加多個受信任的帳戶是一個非常耗時的過程。有更好的方法嗎?**如果您正在添加多個受信任的帳戶,您可以考慮使用Cloud Risk Management API。受信任的帳戶是跨帳戶規則的一部分。
  8. **我們最近遇到了一些 ACM 憑證到期的問題。據我了解,Cloud Risk Management 有 7 天(ACM-002)、30 天(ACM-003)和 45 天(ACM-004)到期前的規則。然而,當我訪問我們的資訊中心並按 ACM 服務過濾時,我只能看到 ACM-004。我只是想確認 Cloud Risk Management 帳戶是否正在檢查所有 ACM 憑證到期規則。如果它們正在被檢查,您能否解釋為什麼我在按 ACM 過濾時看不到它們?**在任何給定時間,只有一個 ACM 憑證更新規則 - 2,3,4 會生成 檢查以避免重疊。ACM-002 憑證將在 7 天內到期b. ACM-003 憑證將在 7 到 30 天內到期c. ACM-004 憑證將在 30 到 45 天內到期在任何給定時間從 ACM-002、ACM-003 和 ACM-004 生成一個檢查的原因是為了避免重疊並創建可靠的評分:ACM-002 是高風險ACM-003 是中風險ACM-004 是低風險在 45 到 30 天之間,您會收到低風險檢查;在 30 到 7 天之間,您會收到中風險檢查;最終,在 7 天到到期之間,您會收到高風險檢查。
  9. **是否有規則可檢測 CloudTrail 是否已配置為記錄到 S3?**是的。CloudTrail 已啟動規則可檢測 CloudTrail 是否已配置為記錄到 S3。配置追蹤時需要 S3BucketName。
  10. 「Is it possible to check for log ons from users that aren’t whitelisted」登入事件規則檢查 IAM 和聯邦用戶的登入事件。此外,用戶從核准的國家登入 AWS規則檢測來自未核准國家的用戶驗證會話。
  11. **是否可以檢測 RDS 快照是否公開分享?**可以。Amazon RDS 公共快照規則可檢測任何公共 RDS 快照。
  12. **我們可以從 EC2 Instance 匯出 CloudWatch Logs 並生成警報嗎?**Cloud Risk Management 沒有 CloudWatch Logs 的存取權,因此我們無法從 EC2 Instance 生成警報。
  13. 「Does RTPM-004 and RTPM-006 run for Trend users?」 規則;RTPM-004 (Cloud Risk Management 使用者未使用 MFA 登入) 和 RTPM-006 (使用者從核准的國家登入 Cloud Risk Management) 僅適用於獨立 Cloud Risk Management,不適用於 TrendAI Vision One™ 使用者。