即時姿勢監控設定

內容

• 適用於 AWS 的 RTPM
• Azure 的 RTPM
• GCP 的 RTPM

透過帳號管理的 AWS 實時威脅防護

設定需求

• 確保您已啟動 CloudTrail。如需幫助，請參閱 雲端狀態 規則 已啟動 CloudTrail。
• 針對現有雲端姿態用戶：請確保您已經卸載舊版雲端姿態的RTPM，如果尚未卸載：
• 1. 開啟命令提示字元或 Shell
  2. 執行以下命令：

     curl -L https://us-west-2.cloudconformity.com/v1/monitoring/uninstall.sh | bash
           -s 

正在為 AWS 安裝 RTPM

1. 前往 服務管理 > Cloud accounts.
2. 在AWS標籤下，點選新增帳戶。
3. 在所有功能下，切換Real-Time Posture Monitoring並選擇區域。
4. 點選啟動堆疊並按照螢幕上的指示操作。

1. 前往Service Management > Cloud accounts。
2. 在AWS標籤下，點選新增帳戶。
3. 在所有功能下，切換Real-Time Posture Monitoring並選擇區域。
4. 點選啟動堆疊並按照螢幕上的指示進行操作。

1. 前往 服務管理 > Cloud accounts。
2. 點選您希望安裝即時姿勢監控的 AWS 帳號
3. 從 Cloud Accounts Settings > 點選 堆疊更新 標籤
4. 從 Select Features 切換 Real-Time Posture Monitoring
5. 請按照更新 CloudFormation 模板下的指示進行。

正在卸載 AWS 的 RTPM

1. 登入 Vision One 主控台，前往 服務管理 > Cloud accounts。
2. 點選您希望安裝Real-Time Posture Monitoring的帳號。
3. 從 Cloud Accounts Settings > 點選 Stack Update 標籤。
4. 從 Select Features 取消選取 Real-Time Posture Monitoring
5. 請遵循Update CloudFormation Template.下的指示

RTPM for Azure

設定需求

1. 安裝 Azure 命令列介面：如需詳細資訊，請參閱 安裝 Azure CLI
2. 使用 Azure CLI 登入

注意 使用者應具有以下權限才能執行部署程式檔：

  - Microsoft.Insights/ActivityLogAlerts/\[Read, Write, Delete\]

  - Microsoft.Insights/ActionGroups/\[Read, Write, Delete\]

  - Microsoft.Logic/workflows/\[Read, Write, Delete\]

  - Microsoft.Resources/subscriptions/resourceGroups/\[Read, Write, Delete\]

  - Microsoft.Resources/subscriptions/resourceGroups/deployments/\[Read, Write, Delete\]

為 Azure 設定 RTPM

1. 選擇 Install RTPM 標籤。

   注意 如果 Azure RTPM 未已啟動，預設頁面是安裝 RTPM標籤。無需選擇。

2. 選擇 事件來源 > Activity Logs。
3. 點選Generate deployment script按鈕。等待按鈕背景顏色變成綠色。

   注意 部署程式檔將在 15 分鐘後過期。如果您想重新執行部署，您需要選擇 event source 來重新生成部署程式檔並再次進行設定。

4. 打開命令提示字元或PowerShell。複製生成的命令行並在您的命令行介面或PowerShell上運行。
5. 安裝完成後：
   1. 打開 Resource groups (https://azure.microsoft.com/en-au/features/resource-manager/) 並確認‘CloudOneConformityMonitoring’已使用‘cloudone-conformity-monitoring-logic-app’創建。
   2. 打開Monitor服務並選擇Alerts(https://docs.microsoft.com/en-us/azure/azure-monitor/alerts/alerts-overview)。
6. 點選 Manage alert rules 並確認以下規則是 Enabled. 這是監控將出現在 雲端狀態 RTPM 資訊中心的 Azure RTPM 事件所需的：
   1. cloudone-conformity-monitoring-activity-log-alert-administrative
   2. cloudone-conformity-monitoring-activity-log-alert-autoscale
   3. cloudone-conformity-monitoring-activity-log-alert-policy
   4. Cloudone-conformity-monitoring-activity-log-alert-security

正在卸載 Azure 的 RTPM

1. 選擇 Uninstall RTPM 標籤。
2. 選擇 事件來源 > Activity Logs。
3. 點選Generate uninstall script按鈕。等待按鈕背景顏色變成綠色。

   注意 卸載腳本將在 15 分鐘內過期，請在有效時間內完成以下步驟。我們會在您點選此按鈕時移除您的 API 金鑰，因此無法再次生成腳本。如果您未能及時完成以下腳本，您也可以在 Azure 入口網站中手動刪除步驟 5 中列出的資源群組。

4. 打開命令提示字元或PowerShell。複製生成的命令行並在您的命令行介面或PowerShell上運行。
5. 一旦解除安裝完成，打開 Resource groups (https://azure.microsoft.com/en-au/features/resource-manager/) 並確保 'CloudOneConformityMonitoring' 已被刪除。

RTPM for Google 雲端

1. 安裝 Google 雲端指令介面：詳情請參閱 安裝 gcloud CLI
2. 使用 gcloud CLI 登入

注意 使用者應具有以下權限才能執行部署程式檔：

  storage.buckets.create

  storage.buckets.delete

  storage.objects.list

  storage.objects.get

  storage.objects.create

  storage.objects.delete

  deploymentmanager.deployments.create

  The service account [PROJECT_NUMBER]@cloudservices.gserviceaccount.com should have the following roles to run the deployment script:
  
  Editor

  Logging Admin
  
  Pub/Sub Admin

為 GCP 設定 RTPM

1. 選擇 事件來源 > Activity Logs
2. 點選Generate deployment script按鈕。等待按鈕背景顏色變成綠色。

   注意 部署程式檔將在 15 分鐘後過期。如果您想重新執行部署，您需要選擇 event source 來重新生成部署程式檔並再次進行設定。

3. 打開命令提示字元或PowerShell。複製生成的命令行並在您的命令行介面或PowerShell上運行。
4. 安裝完成後，打開Deployment Manager (https://console.cloud.google.com/dm/deployments) 並確認已使用以下資源創建了‘cloudone-conformity-monitoring’ 部署：