目次

Monitoring Dashboard

場所

Main Dashboard > Select {Account} or {All Accounts} > Threat monitoring > Open monitoring dashboard

Monitoring Dashboardについて

トラブルシューティング

Monitoring Dashboardについて

Monitoring Dashboard は、AWSアカウントのすべてのイベントの詳細なレコードを提供します。各イベントは、イベントの時間、イベントの詳細、イベントを実行したユーザのID、およびイベントが発生したアカウントによって分類されます。また、 Trend Micro Cloud One™– Conformity イベント、AWSイベント、リージョン、およびサービスに基づいてイベントをフィルタすることもます。このダッシュボードを使用して、セキュリティグループに対する変更、ユーザの権限レベルの増加、見知らぬ国からのAWSアカウントへのアクセスなど、異常なアクティビティを監視し、必要に応じて修復処理を実行します。



RTMイベントを確認するときは、ルールの再設定、Failureの解決、またはセキュリティの脆弱性を特定または軽減するための詳細の確認が必要になる場合があります。イベントを展開すると、次のオプションが表示されます。

  1. イベント/チェックの詳細 - イベント、チェック、および関連するリソースの種類とサービスに関する情報
  2. Configure rule - 組織のニーズに合わせてルールの動作を調整します。
  3. Resolve - セキュリティの脆弱性を軽減するための修復手順を実行します。



トラブルシューティング

誤検出

問題RTM-005 - Users signed in to AWS from an approved countryルールが誤検出を返します。

解決策:この問題が発生する理由の1つは、 Conformity Bot が、実際の物理的な場所ではなくIPアドレスに基づいてユーザのログオン場所を特定することです。

たとえば、ドイツを承認された国のリストに追加しましたが、 Conformity Bot が、ユーザのログオン場所をスイスと検出し、Failure(誤検出)を返しました。

この不一致は、インターネットIPアドレスの割り当て方法に起因します。

この問題を診断して解決するには、次の手順に従います。

  1. 次のいずれかのサイトを使用して、IPアドレスに基づいてユーザの位置を確認します。
    1. https://tools.keycdn.com/geo
    2. https://www.ip2location.com/demo
    3. https://dnschecker.org/ip-location.php
  2. IPの場所が Conformity Bot で検出された場所と一致する場合、ルールは正常に機能しています。この問題は、企業のVPNを使用して接続する場合にも発生し、ユーザの実際のサインインIPアドレスと場所が隠されます。
  3. IPの場所が Conformity Botで検出された場所と異なるものとして戻った場合は、問題をさらに調査できるサポートチームにお問い合わせください。

AWSイベントが見つかりません

問題:組織のRTMを有効化しましたが、アクティビティボットで一部のAWSイベントが選択されません。

解決策:

  1. RTMがすべてのリージョンからイベントを取得できるように、eventBusがインストールされていることを確認します。
  2. 以下のRTMでサポートされるイベントのリストを確認してください。

以下のリストにないAWSイベントはRTMでサポートされていません。Conformity Botの予約実行で監視され、検索で検出された後に Auto-Remediation に送信されます。

S3 CreateBucket
DeleteBucket
DeleteBucketCORS
DeleteBucketLifecycle
DeleteBucketPolicy
DeleteBucketReplication
DeleteBucketTagging
DeleteBucketWebsite
プットアクセラレート設定
PutAccountPublicAccessBlock
PutAnalyticsConfiguration
PutBucketAccelerateConfiguration
PutBucketAcl
PutBucketCORS
PutBucketEncryption
プットバケットライフサイクル
PutBucketLifecycleConfiguration
PutBucketLogging
PutBucketNotification
PutBucketNotificationConfiguration
PutBucketPolicy
PutBucketPublicAccessBlock
PutBucketReplication
PutBucketRequestPayment
PutBucketTagging
PutBucketVersioning
PutBucketWebsite
PutEncryptionConfiguration
PutInventoryConfiguration
プットライフサイクル設定
PutMetricsConfiguration
PutReplicationConfiguration
EC2 AcceptVpcEndpointConnections
AcceptVpcPeeringConnection
AllocateAddress
ApplySecurityGroupsToClientVpnTargetNetwork
住所
AssociateRouteTable
AssociateSubnetCidrBlock
AssociateTransitGatewayRouteTable
AssociateVpcCidrBlock
AttachInternetGateway
AttachNetworkInterface
AuthorizeSecurityGroupEgress
AuthorizeSecurityGroupIngress
CreateCustomerGateway
CreateEgressOnlyInternetGateway
CreateInternetGateway
CreateLocalGatewayRouteTableVpcAssociation
CreateNatGateway
CreateNetworkAcl
CreateNetworkAclEntry
CreateNetworkInterface
CreateNetworkInterfacePermission
CreateRoute
CreateRouteTable
CreateSecurityGroup
CreateTransitGatewayRouteTable
CreateVolume
CreateVpc
CreateVpcEndpoint
CreateVpcEndpointConnectionNotification
CreateVpcEndpointServiceConfiguration
CreateVpcPeeringConnection
DeleteCustomerGateway
DeleteEgressOnlyInternetGateway
DeleteInternetGateway
DeleteLocalGatewayRouteTableVpcAssociation
DeleteNatGateway
DeleteNetworkAcl
DeleteNetworkAclEntry
DeleteNetworkInterface
DeleteNetworkInterfacePermission
DeleteRoute
DeleteRouteTable
DeleteSecurityGroup
DeleteTransitGatewayRoute
DeleteTransitGatewayRouteTable
DeleteVolumeDeleteVpcEndpointConnectionNotification
DeleteVpcEndpointServiceConfiguration
DeleteVpcEndpoints
DeleteVpcPeeringConnection
DetachInternetGateway
DetachNetworkInterface
DisableTransitGatewayRouteTablePropagation
DisassociateAddress
DisassociateRouteTable
DisassociateSubnetCidrBlock
DisassociateTransitGatewayRouteTable
DisassociateVpcCidrBlock
EnableTransitGatewayRouteTablePropagation
EnableVgwRoutePropagation
ModifyInstanceAttribute
ModifyNetworkInterfaceAttribute
ModifyVpcAttribute
ModifyVpcEndpoint
ModifyVpcEndpointConnectionNotification
ModifyVpcEndpointServiceConfiguration
ModifyVpcEndpointServicePermission
ModifyVpcPeeringConnectionOptions
RebootInstances
RejectVpcEndpointConnections
RejectVpcPeeringConnection
ReleaseAddress
ReplaceNetworkAclAssociation
ReplaceNetworkAclEntry
ReplaceRouteTableAssociation
ReplaceTransitGatewayRoute
ResetNetworkInterfaceAttribute
RevokeSecurityGroupEgress
RevokeSecurityGroupIngress
RunInstances
StartInstances
StopInstances
TerminateInstances
Elasticloadbalancing ConfigureHealthCheck
CreateLoadBalancer
DeleteLoadBalancer
EnableAvailabilityZonesForLoadBalancer
ModifyLoadBalancerAttributes
SetLoadBalancerListenerSSLCertificate
SetLoadBalancerPoliciesForBackendServer
SetLoadBalancerPoliciesOfListener
AutoScaling CreateAutoScalingGroup
CreateLaunchConfiguration
DeleteAutoScalingGroup
DeleteLaunchConfiguration
PutNotificationConfiguration
ResumeProcesses
SuspendProcesses
UpdateAutoScalingGroup
CloudFormation CreateStack
DeleteStack
UpdateStack
IAM AddUserToGroup
AttachGroupPolicy
AttachRolePolicy
AttachUserPolicy
ChangePassword
CreateAccessKey
CreateAccountAlias
CreateGroup
CreateLoginProfile
CreateOpenIDConnectProvider
CreatePolicy
CreatePolicyVersion
CreateRole
CreateSAMLProvider
CreateServiceLinkedRole
CreateServiceSpecificCredential
CreateUser
CreateVirtualMFADevice
DeactivateMFADevice
DeleteAccessKey
DeleteAccountAlias
DeleteAccountPasswordPolicy
DeleteGroup
DeleteGroupPolicy
DeleteLoginProfile
DeleteOpenIDConnectProvider
DeletePolicy
DeletePolicyVersion
DeleteRole
DeleteRolePermissionsBoundary
DeleteRolePolicy
DeleteSAMLProvider
DeleteSSHPublicKey
DeleteServerCertificate
DeleteServiceLinkedRole
DeleteServiceSpecificCredential
DeleteSigningCertificate
DeleteUser
DeleteUserPermissionsBoundary
DeleteUserPolicy
DeleteVirtualMFADevice
DetachGroupPolicy
DetachRolePolicy
DetachUserPolicy
EnableMFADevice
PutGroupPolicy
PutRolePermissionsBoundary
PutRolePolicy
PutUserPermissionsBoundary
PutUserPolicy
RemoveClientIDFromOpenIDConnectProvider
RemoveUserFromGroup
ResetServiceSpecificCredential
SetDefaultPolicyVersion
UpdateAccessKey
UpdateAccountPasswordPolicy
UpdateAssumeRolePolicy
UpdateGroup
UpdateLoginProfile
UpdateOpenIDConnectProviderThumbprint
UpdateRole
UpdateRoleDescription
UpdateSAMLProvider
UpdateSSHPublicKey
UpdateServerCertificate
UpdateServiceSpecificCredential
UpdateSigningCertificate
UpdateUser
UploadSSHPublicKey
UploadServerCertificate
UploadSigningCertificate
Dynamodb CreateTable
DeleteTable
TagResource
UntagResource
UpdateTable
RDS CopyDBClusterSnapshot
CopyDBSnapshot
CreateDBCluster
CreateDBClusterSnapshot
CreateDBInstance
CreateDBSecurityGroup
CreateDBSnapshot
DeleteDBCluster
DeleteDBClusterSnapshot
DeleteDBInstance
DeleteDBSecurityGroup
DeleteDBSnapshot
ModifyDBCluster
ModifyDBInstance
RemoveTagsFromResource
RestoreDBClusterFromSnapshot
RestoreDBClusterToPointInTime
RestoreDBInstanceFromDBSnapshot
RestoreDBInstanceToPointInTime
Lambda CreateFunction20150331
DeleteFunction20150331
EnableReplication20170630
PublishVersion20150331
Cloudfront CreateInvalidation
Organizations AcceptHandshake
AttachPolicy
CancelHandshake
CreateAccount
CreateOrganization
CreateOrganizationalUnit
CreatePolicy
DeclineHandshake
DeleteOrganization
DeleteOrganizationalUnit
DeletePolicy
DetachPolicy
DisableAWSServiceAccess
DisablePolicyType
EnableAWSServiceAccess
EnableAllFeatures
EnablePolicyType
InviteAccountToOrganization
LeaveOrganization
MoveAccount
RemoveAccountFromOrganization
UpdateOrganizationalUnit
UpdatePolicy
Config DeleteAggregationAuthorization
DeleteConfigRule
DeleteConfigurationAggregator
DeleteConfigurationRecorder
DeleteDeliveryChannel
DeleteEvaluationResults
DeletePendingAggregationRequest
PutAggregationAuthorization
PutConfigRule
PutConfigurationAggregator
PutConfigurationRecorder
PutDeliveryChannel
StartConfigRulesEvaluation
StartConfigurationRecorder
StopConfigurationRecorder
GuardDuty AcceptInvitation
ArchiveFindings
CreateDetector
CreateIPSet
CreateMembers
CreateSampleFindings
CreateThreatIntelSet
DeclineInvitations
DeleteDetector
DeleteIPSet
DeleteInvitations
DeleteMembers
DeleteThreatIntelSet
DisassociateFromMasterAccount
DisassociateMembers
InviteMembers
StartMonitoringMembers
StopMonitoringMembers
UnarchiveFindings
UpdateDetector
UpdateFindingsFeedback
UpdateIPSet
UpdateThreatIntelSet
CloudTrail AddTags
CreateTrail
DeleteTrail
PutEventSelectors
RemoveTags
StartLogging
StopLogging
UpdateTrail
Route53domains DeleteTagsForDomain
DisableDomainAutoRenew
DisableDomainTransferLock
EnableDomainAutoRenew
EnableDomainTransferLock
RegisterDomain
RenewDomain
ResendContactReachabilityEmail
TransferDomain
UpdateDomainContact
UpdateDomainContactPrivacy
UpdateDomainNameservers
UpdateTagsForDomain
KMS CancelKeyDeletion
CreateAlias
CreateGrant
CreateKey
DeleteAlias
DeleteImportedKeyMaterial
DisableKey
DisableKeyRotation
EnableKey
EnableKeyRotation
GenerateRandom
ImportKeyMaterial
PutKeyPolicy
RetireGrant
RevokeGrant
ScheduleKeyDeletion
TagResource
UntagResource
UpdateAlias
UpdateKeyDescription
Route53 AssociateVPCWithHostedZone
ChangeResourceRecordSets
ChangeTagsForResource
CreateHealthCheck
CreateHostedZone
CreateQueryLoggingConfig
CreateReusableDelegationSet
CreateTrafficPolicy
CreateTrafficPolicyInstance
CreateTrafficPolicyVersion
CreateVPCAssociationAuthorization
DeleteHealthCheck
DeleteHostedZone
DeleteQueryLoggingConfig
DeleteReusableDelegationSet
DeleteTrafficPolicy
DeleteTrafficPolicyInstance
DeleteVPCAssociationAuthorization
DisassociateVPCFromHostedZone
UpdateHealthCheck
UpdateHostedZoneComment
UpdateTrafficPolicyComment
UpdateTrafficPolicyInstance
STS AssumeRole
AssumeRoleWithSAML
AssumeRoleWithWebIdentity