監控資訊中心 | Trend Micro Service Central

檢視次數:

關於監控資訊中心
疑難排解
- 誤報
- 缺少 AWS 事件

關於監控資訊中心

監控資訊中心提供 AWS 帳戶中所有事件的詳細記錄。每個事件按事件時間、事件詳情、執行事件的使用者身份以及事件發生的帳戶進行分類。您還可以根據 Trend Vision One™ – 雲端狀態事件、AWS 事件、區域和服務來 filter events。使用此資訊中心來監控任何異常活動，例如對安全群組的更改、使用者權限級別的提升、從不熟悉的國家訪問您的 AWS 帳戶等，並在必要時採取補救措施。

filter-monitoring-utktfw=feaeea19-fc44-4942-af23-90578f7857a4.png

{.縮放}

在檢查 RTPM 事件時，您可能需要重新配置規則、解決失敗的檢查，或查看詳細信息以識別或減少安全弱點。展開事件時，您將獲得以下選項：

事件 / 檢查詳情 - 有關事件、檢查及其相關資源類型和服務的資訊
配置規則 - 調整規則的行為以滿足您組織的需求
解決 - 採取補救措施以減少安全弱點

monitoring-dashboard-xmu7d3=27d8e4e6-7795-43fc-9c0c-a496e68f5005.png

疑難排解

誤報

Problem：規則RTPM-005 - Users signed in to AWS from an approved country返回誤報。

Solution：您可能遇到此問題的原因之一是雲端狀態掃瞄根據使用者的IP位址來識別其登入位置，而非實際的物理位置。

例如，您已將德國添加到批准國家列表中，但雲端狀態掃瞄檢測到用戶的登入位置為瑞士，返回失敗（誤報）。

差異來自於網路 IP 位址的分配方式。

請按照以下步驟診斷並解決此問題

使用以下任一網站根據使用者的 IP 位址檢查其位置資訊：
如果 IP 位置資訊與雲端狀態掃瞄檢測到的相符，則表示規則正常運作。這也可能發生在使用企業 VPN 連接時，該 VPN 會隱藏使用者實際的登入 IP 位址和位置資訊。
如果 IP 位置資訊與雲端狀態掃瞄檢測到的位置不同，請聯繫客戶成功部門以進一步調查問題。

缺少 AWS 事件

Problem:我已為我的組織啟用了 RTPM，但某些 AWS 事件未被活動機器人捕捉到。

Solution:

確保您已安裝 eventBus，以便 RTPM 可以從每個區域接收事件。
檢查下方支援的 RTPM 事件清單。

下列清單中缺少的任何 AWS 事件均不受 RTPM 支援，這些事件將在您排定的雲端狀態掃瞄執行時進行監控，並在掃瞄中被檢測到後發送至自動修復。

事件類型	事件
S3	CreateBucket 刪除儲存桶刪除儲存桶CORS 刪除儲存桶生命週期刪除儲存桶政策刪除儲存桶複製刪除儲存桶標籤刪除儲存桶網站 PutAccelerateConfiguration PutAccountPublicAccessBlock PutAnalyticsConfiguration PutBucketAccelerateConfiguration PutBucketAclPutBucketCORS PutBucketEncryption PutBucketLifecycle PutBucketLifecycleConfiguration	PutBucketLogging PutBucketNotification PutBucketNotificationConfiguration PutBucketPolicy PutBucketPublicAccessBlock PutBucketReplication PutBucketRequestPayment PutBucketTagging PutBucketVersioning PutBucketWebsite PutEncryptionConfiguration PutInventoryConfiguration PutLifecycleConfiguration PutMetricsConfiguration PutReplicationConfiguration
EC2	接受 VPC 端點連線接受 VPC 對等連接分配地址將安全性群組應用於用戶端 VPN 目標網路關聯地址關聯路由表關聯子網CIDR區塊關聯傳輸閘道路由表關聯VpcCidrBlock 附加網際網路閘道附加網路介面授權安全群組出口規則授權安全群組入站規則建立客戶閘道創建僅出口的網際網路閘道建立網際網路閘道 CreateLocalGatewayRouteTableVpcAssociation 建立NatGateway CreateNetworkAcl CreateNetworkAclEntry CreateNetworkInterface CreateNetworkInterfacePermission 建立路由建立路由表建立安全群組建立傳輸閘道路由表建立磁碟區 CreateVpc 建立Vpc端點 CreateVpcEndpointConnectionNotification 創建Vpc端點服務配置 CreateVpcPeeringConnection 刪除客戶閘道刪除僅限出口的網際網路閘道刪除網際網路閘道刪除本地網關路由表 VPC 關聯刪除NatGateway 刪除網路ACL 刪除網路ACL條目刪除網路介面刪除網路介面權限刪除路由	刪除路由表刪除安全群組刪除傳輸閘道路由刪除傳輸閘道路由表刪除磁碟區刪除VpcEndpointConnectionNotification 刪除Vpc端點服務配置刪除Vpc端點刪除 VPC 對等連接分離網際網路閘道分離網路介面停用轉送閘道路由表傳播解除關聯地址解除關聯路由表解除子網路 CIDR 區塊關聯解除關聯轉接閘道路由表解除關聯 VPC Cidr 區塊啟用傳輸閘道路由表傳播啟用Vgw路由傳播修改實例屬性修改網路介面屬性修改 VPC 屬性修改VpcEndpoint 修改 VPC 端點連線通知修改 Vpc 端點服務配置修改 Vpc 端點服務權限修改 VPC 對等連線選項重新啟動實例拒絕 VPC 端點連線拒絕 VPC 對等連線釋放位址替換網路ACL關聯替換網路ACL條目替換路由表關聯替換轉送閘道路由重置網路介面屬性撤銷安全群組出口規則撤銷安全群組入站規則執行實例啟動實例停止實例終止實例
彈性負載平衡	配置健康檢查建立負載平衡器刪除負載平衡器啟用負載平衡器的可用區域	修改負載平衡器屬性設置負載均衡器監聽器SSL證書為後端伺服器設置負載平衡器策略設置負載均衡器的監聽器策略
自動調整規模	建立自動調整群組建立啟動配置刪除自動調整群組刪除啟動配置	PutNotificationConfiguration 恢復程序暫停進程更新自動調整群組
CloudFormation	建立堆疊刪除堆疊	更新堆疊
身份與存取管理	將使用者新增至群組附加群組原則附加角色策略附加使用者政策更改密碼建立存取金鑰建立帳戶別名建立群組建立登入檔案建立OpenID 連接提供者建立政策建立政策版本建立角色 CreateSAMLProvider CreateServiceLinkedRole 建立服務特定憑證建立使用者創建虛擬MFA設備停用多重身份驗證裝置刪除存取金鑰刪除帳戶別名刪除帳戶密碼政策刪除群組刪除群組原則刪除登入檔案刪除OpenIDConnect提供者刪除政策刪除政策版本刪除角色刪除角色權限邊界刪除角色政策刪除SAML提供者刪除SSHPublicKey 刪除伺服器憑證刪除服務連結角色	刪除服務特定憑證刪除簽署憑證刪除使用者刪除使用者權限邊界刪除使用者政策刪除虛擬多因素驗證裝置分離群組原則分離角色政策分離使用者政策啟用MFA裝置 PutGroupPolicy 設置角色權限邊界 PutRolePolicy PutUserPermissionsBoundary PutUserPolicy 從OpenID Connect提供者中移除Client ID 從群組中移除使用者重置服務特定憑證設置預設政策版本更新存取金鑰更新帳戶密碼政策更新假設角色政策更新群組更新登入檔案更新OpenIDConnectProvider指紋更新角色更新角色描述更新SAML提供者更新SSHPublicKey 更新伺服器憑證更新服務特定憑證更新簽署憑證更新使用者上傳SSH公鑰上傳伺服器憑證上傳簽署憑證
Dynamodb	CreateTable 刪除表格標記資源	取消標記資源更新表
RDS	複製資料庫集群快照複製資料庫快照 CreateDBCluster CreateDBClusterSnapshot CreateDBInstance CreateDBSecurityGroup CreateDBSnapshot 刪除資料庫叢集刪除資料庫叢集快照刪除DB實例	刪除DB安全群組刪除DB快照修改資料庫叢集修改DB實例從資源移除標籤從快照還原資料庫叢集將資料庫叢集還原到指定時間點從資料庫快照還原資料庫實例將資料庫實例還原到指定時間點
Lambda	CreateFunction20150331 刪除功能20150331	啟用複製20170630 發布版本20150331
Cloudfront	建立無效化
組織	接受握手附加政策取消握手建立帳戶建立組織建立組織單位建立政策拒絕握手刪除組織刪除組織單位刪除政策分離政策	停用AWS服務存取禁用政策類型啟用AWS服務存取啟用所有功能啟用政策類型邀請帳戶加入組織離開組織移動帳戶從組織中移除帳戶更新組織單位更新政策
設定	刪除彙總授權刪除配置規則刪除配置聚合器刪除配置記錄器刪除傳遞通道刪除評估結果刪除待處理的聚合請求 PutAggregationAuthorization	PutConfigRule PutConfigurationAggregator PutConfigurationRecorder PutDeliveryChannel 開始配置規則評估開始配置記錄器停止配置記錄器
GuardDuty	接受邀請封存檢測結果建立偵測器 CreateIPSet 建立成員建立範例檢測結果 CreateThreatIntelSet 拒絕邀請刪除偵測器刪除IP集刪除邀請刪除成員	刪除威脅情報集解除與主帳戶的關聯解除成員關聯邀請成員 StaRTPMonitoringMembers 停止監控成員取消封存檢測結果更新偵測器更新發現反饋更新IP集更新威脅情報集
CloudTrail	新增標籤建立追蹤刪除追蹤 PutEventSelectors	移除標籤開始記錄停止記錄更新追蹤
Route53domains	刪除網域標籤停用網域自動續訂停用網域轉移鎖啟用網域自動續訂啟用網域轉移鎖註冊網域續訂網域	重新發送聯絡人可達性電子郵件轉移網域更新網域聯絡人更新網域聯絡人隱私更新網域名稱伺服器更新網域標籤
KMS	取消金鑰刪除建立別名 CreateGrant 建立金鑰刪除別名刪除匯入的金鑰材料停用金鑰停用金鑰輪替啟用金鑰啟用金鑰輪替生成隨機	匯入金鑰材料 PutKeyPolicy 退休授權撤銷授權排程金鑰刪除標記資源取消標記資源更新別名更新金鑰描述
Route53	AssociateVPCWithHostedZone 變更資源記錄集更改資源標籤建立健康檢查建立託管區域建立查詢日誌配置 CreateReusableDelegationSet 建立流量策略建立流量策略實例建立流量策略版本 CreateVPCAssociationAuthorization 刪除健康檢查	刪除託管區刪除查詢記錄配置刪除可重複使用的委派集刪除流量策略刪除流量策略實例刪除VPC關聯授權將VPC與託管區分離更新健康檢查更新託管區域評論更新流量策略評論更新流量策略實例
STS	假設角色 AssumeRoleWithSAML	AssumeRoleWithWebIdentity

事件類型	事件
S3	CreateBucket 刪除儲存桶刪除儲存桶CORS 刪除儲存桶生命週期刪除儲存桶政策刪除儲存桶複製刪除儲存桶標籤刪除儲存桶網站 PutAccelerateConfiguration PutAccountPublicAccessBlock PutAnalyticsConfiguration PutBucketAccelerateConfiguration PutBucketAclPutBucketCORS PutBucketEncryption PutBucketLifecycle PutBucketLifecycleConfiguration	PutBucketLogging PutBucketNotification PutBucketNotificationConfiguration PutBucketPolicy PutBucketPublicAccessBlock PutBucketReplication PutBucketRequestPayment PutBucketTagging PutBucketVersioning PutBucketWebsite PutEncryptionConfiguration PutInventoryConfiguration PutLifecycleConfiguration PutMetricsConfiguration PutReplicationConfiguration
EC2	接受 VPC 端點連線接受 VPC 對等連接分配地址將安全性群組應用於用戶端 VPN 目標網路關聯地址關聯路由表關聯子網CIDR區塊關聯傳輸閘道路由表關聯VpcCidrBlock 附加網際網路閘道附加網路介面授權安全群組出口規則授權安全群組入站規則建立客戶閘道創建僅出口的網際網路閘道建立網際網路閘道 CreateLocalGatewayRouteTableVpcAssociation 建立NatGateway CreateNetworkAcl CreateNetworkAclEntry CreateNetworkInterface CreateNetworkInterfacePermission 建立路由建立路由表建立安全群組建立傳輸閘道路由表建立磁碟區 CreateVpc 建立Vpc端點 CreateVpcEndpointConnectionNotification 創建Vpc端點服務配置 CreateVpcPeeringConnection 刪除客戶閘道刪除僅限出口的網際網路閘道刪除網際網路閘道刪除本地網關路由表 VPC 關聯刪除NatGateway 刪除網路ACL 刪除網路ACL條目刪除網路介面刪除網路介面權限刪除路由	刪除路由表刪除安全群組刪除傳輸閘道路由刪除傳輸閘道路由表刪除磁碟區刪除VpcEndpointConnectionNotification 刪除Vpc端點服務配置刪除Vpc端點刪除 VPC 對等連接分離網際網路閘道分離網路介面停用轉送閘道路由表傳播解除關聯地址解除關聯路由表解除子網路 CIDR 區塊關聯解除關聯轉接閘道路由表解除關聯 VPC Cidr 區塊啟用傳輸閘道路由表傳播啟用Vgw路由傳播修改實例屬性修改網路介面屬性修改 VPC 屬性修改VpcEndpoint 修改 VPC 端點連線通知修改 Vpc 端點服務配置修改 Vpc 端點服務權限修改 VPC 對等連線選項重新啟動實例拒絕 VPC 端點連線拒絕 VPC 對等連線釋放位址替換網路ACL關聯替換網路ACL條目替換路由表關聯替換轉送閘道路由重置網路介面屬性撤銷安全群組出口規則撤銷安全群組入站規則執行實例啟動實例停止實例終止實例
彈性負載平衡	配置健康檢查建立負載平衡器刪除負載平衡器啟用負載平衡器的可用區域	修改負載平衡器屬性設置負載均衡器監聽器SSL證書為後端伺服器設置負載平衡器策略設置負載均衡器的監聽器策略
自動調整規模	建立自動調整群組建立啟動配置刪除自動調整群組刪除啟動配置	PutNotificationConfiguration 恢復程序暫停進程更新自動調整群組
CloudFormation	建立堆疊刪除堆疊	更新堆疊
身份與存取管理	將使用者新增至群組附加群組原則附加角色策略附加使用者政策更改密碼建立存取金鑰建立帳戶別名建立群組建立登入檔案建立OpenID 連接提供者建立政策建立政策版本建立角色 CreateSAMLProvider CreateServiceLinkedRole 建立服務特定憑證建立使用者創建虛擬MFA設備停用多重身份驗證裝置刪除存取金鑰刪除帳戶別名刪除帳戶密碼政策刪除群組刪除群組原則刪除登入檔案刪除OpenIDConnect提供者刪除政策刪除政策版本刪除角色刪除角色權限邊界刪除角色政策刪除SAML提供者刪除SSHPublicKey 刪除伺服器憑證刪除服務連結角色	刪除服務特定憑證刪除簽署憑證刪除使用者刪除使用者權限邊界刪除使用者政策刪除虛擬多因素驗證裝置分離群組原則分離角色政策分離使用者政策啟用MFA裝置 PutGroupPolicy 設置角色權限邊界 PutRolePolicy PutUserPermissionsBoundary PutUserPolicy 從OpenID Connect提供者中移除Client ID 從群組中移除使用者重置服務特定憑證設置預設政策版本更新存取金鑰更新帳戶密碼政策更新假設角色政策更新群組更新登入檔案更新OpenIDConnectProvider指紋更新角色更新角色描述更新SAML提供者更新SSHPublicKey 更新伺服器憑證更新服務特定憑證更新簽署憑證更新使用者上傳SSH公鑰上傳伺服器憑證上傳簽署憑證
Dynamodb	CreateTable 刪除表格標記資源	取消標記資源更新表
RDS	複製資料庫集群快照複製資料庫快照 CreateDBCluster CreateDBClusterSnapshot CreateDBInstance CreateDBSecurityGroup CreateDBSnapshot 刪除資料庫叢集刪除資料庫叢集快照刪除DB實例	刪除DB安全群組刪除DB快照修改資料庫叢集修改DB實例從資源移除標籤從快照還原資料庫叢集將資料庫叢集還原到指定時間點從資料庫快照還原資料庫實例將資料庫實例還原到指定時間點
Lambda	CreateFunction20150331 刪除功能20150331	啟用複製20170630 發布版本20150331
Cloudfront	建立無效化
組織	接受握手附加政策取消握手建立帳戶建立組織建立組織單位建立政策拒絕握手刪除組織刪除組織單位刪除政策分離政策	停用AWS服務存取禁用政策類型啟用AWS服務存取啟用所有功能啟用政策類型邀請帳戶加入組織離開組織移動帳戶從組織中移除帳戶更新組織單位更新政策
設定	刪除彙總授權刪除配置規則刪除配置聚合器刪除配置記錄器刪除傳遞通道刪除評估結果刪除待處理的聚合請求 PutAggregationAuthorization	PutConfigRule PutConfigurationAggregator PutConfigurationRecorder PutDeliveryChannel 開始配置規則評估開始配置記錄器停止配置記錄器
GuardDuty	接受邀請封存檢測結果建立偵測器 CreateIPSet 建立成員建立範例檢測結果 CreateThreatIntelSet 拒絕邀請刪除偵測器刪除IP集刪除邀請刪除成員	刪除威脅情報集解除與主帳戶的關聯解除成員關聯邀請成員 StaRTPMonitoringMembers 停止監控成員取消封存檢測結果更新偵測器更新發現反饋更新IP集更新威脅情報集
CloudTrail	新增標籤建立追蹤刪除追蹤 PutEventSelectors	移除標籤開始記錄停止記錄更新追蹤
Route53domains	刪除網域標籤停用網域自動續訂停用網域轉移鎖啟用網域自動續訂啟用網域轉移鎖註冊網域續訂網域	重新發送聯絡人可達性電子郵件轉移網域更新網域聯絡人更新網域聯絡人隱私更新網域名稱伺服器更新網域標籤
KMS	取消金鑰刪除建立別名 CreateGrant 建立金鑰刪除別名刪除匯入的金鑰材料停用金鑰停用金鑰輪替啟用金鑰啟用金鑰輪替生成隨機	匯入金鑰材料 PutKeyPolicy 退休授權撤銷授權排程金鑰刪除標記資源取消標記資源更新別名更新金鑰描述
Route53	AssociateVPCWithHostedZone 變更資源記錄集更改資源標籤建立健康檢查建立託管區域建立查詢日誌配置 CreateReusableDelegationSet 建立流量策略建立流量策略實例建立流量策略版本 CreateVPCAssociationAuthorization 刪除健康檢查	刪除託管區刪除查詢記錄配置刪除可重複使用的委派集刪除流量策略刪除流量策略實例刪除VPC關聯授權將VPC與託管區分離更新健康檢查更新託管區域評論更新流量策略評論更新流量策略實例
STS	假設角色 AssumeRoleWithSAML	AssumeRoleWithWebIdentity