Real Time Threat Monitoring Settings
このページのトピック
| 場所 | Main Dashboard > Select {Account} > Settings > Real-time monitoring settings > Update real-time settings |
Real-Time Threat Monitoring (RTM) の設定では、RTMに必要なリソースをインストール、アップデート、および削除できます。必要なリソースを作成すると、クラウドアカウントのイベントがRTMイベント監視ダッシュボードに表示され、これらのイベントに基づいてルールのサブセット のアップデートが開始されます。 RTMを設定するためのPowershellスクリプトとBashスクリプトの両方が用意されています。
AWS RTMインストールスクリプトの最新バージョンは、EventBridgeクロスアカウントIAMロールの要件を満たしています。新規インストールでは、EventBridgeリソースに加えてIAMロールが自動的に作成されます。
AWSでは、既存のEventBridgeリソースを更新してIAMロールを追加する期限はありませんが、最新かつ安全な状態に保つために、インストールプロセスを再実行することをお勧めします。
AWSアカウント間でのAmazon EventBridgeイベントの送受信の詳細については、 AWSのドキュメントを参照してください。
コンテンツ
ユーザアクセス
| ユーザの役割 | アクセス可能 |
|---|---|
| Administrator |  |
| Power User | |
| Custom - Full Access | |
| Read Only |  |
| Custom - Read Only | |
RTM for AWS
要件の設定
- CloudTrailが有効になっていることを確認します。詳細については、Conformity Rule CloudTrail Enabledを参照してください。
- 最新バージョンのAWS Command Line Interfaceバージョン2を使用していることを確認します。詳細については、AWS CLIのインストールを参照してください。
- Access KeyとSecret Access Keyのエクスポート: 詳細については、AWS CLIの設定を参照してください。
export AWS_ACCESS_KEY_ID=YOUR_AWS_ACCESS_KEY_ID
export AWS_SECRET_ACCESS_KEY=YOUR_AWS_SECRET_ACCESS_KEY- または、AWSコンソールにログインしているときに AWS CloudShell を使用するか、 CLI AWSProfile を正しい認証情報を持つ既存のプロファイルに切り替えます。
export AWS_PROFILE=your-account-profile`スクリプトを実行するユーザまたはロールには、次の権限が必要です。
1.AWS CloudFormation 2.AWS IAMロール 3.AWS EventBridgeルール
RTMインストールおよびアンインストールスクリプトの実行に必要なAWSの最小権限
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CCRTM",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResources",
"cloudformation:deleteStack",
"cloudformation:DescribeStacks",
"cloudformation:GetTemplate",
"cloudformation:UpdateStack",
"cloudformation:ValidateTemplate",
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "*"
},
{
"Sid": "CCRTMRole",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:PutRolePolicy",
"iam:TagRole"
],
"Resource": { "Fn::Sub": "arn:aws:iam::${AWS::AccountId}:role/CloudConformityMonitoringRole" }
}
]
}
AWSのRTMイベント監視の設定
このスクリプトは、サポートされている各リージョンに AWS::CloudFormation::Stack をデプロイすることに注意してください。各スタックはAWS::Events::Rule、およびスタックus-east-1必要なものも作成しますAWS::IAM::RoleためにConformityのクロスアカウント EventBridge アクセス。スクリプトを実行する前に、未使用の領域がないかどうかスクリプトを確認してください。
-
RTMイベント監視ダッシュボードは、次のいずれかを使用して設定できます。
-
Bashスクリプト:
-
または、 Powershellスクリプト:
-
-
Conformity Threat Monitoringを作成またはアップデートするには
- コマンドプロンプトを開き、
- 生成されたコマンドをRTM設定ダッシュボードからコピーし、
- コマンドラインインタフェースで実行します。
- たとえば、次のとおりです。
curl -L https://us-west-2.cloudconformity.com/v1/monitoring/event-bus-install.sh | bash -s
同じコマンドを再実行してスタックをアップデートし、 Conformityから最新のアップデートを取得できます。 {: .tip }
-
このスクリプトは、サポートされている各リージョンにCloudFormationスタックを作成します。これにより、管理イベントデータを Conformity に送信して取り込みと処理を行うEventBridge Rule が作成されます。us-east-1 のスタックでは、クロスアカウントアクセスに必要なIAMロールも作成されます。
-
インストールが完了したら、CloudFormationコンソール (https://console.aws.amazon.com/cloudformation) を開き、アップデート時のCloudConformityMonitoringスタックのステータスが CREATE_COMPLETE または UPDATE_COMPLETE であることを確認します。
スタックの作成が完了するまでに時間がかかることがあります。 -
完了すると、 Conformity はAWSアカウントからの管理イベントデータの取り込みを開始します。Conformity アカウントのリアルタイム監視ダッシュボードから、 Conformity のアップデートをほぼリアルタイムで確認できます。
RTM for AWSのアンインストール
- アカウントから Conformity Threat Monitoringリソースを削除するには、必要な権限でコマンドプロンプトまたはシェルを開き、次のコマンドを実行します。
curl -L https://us-west-2.cloudconformity.com/v1/monitoring/uninstall.sh | bash -s
RTM for Azure
要件の設定
- Azureコマンドラインインタフェースをインストールします。詳細については、「 Install the Azure CLI」を参照してください。
- Azure CLIでサインインします
インストールスクリプトを実行するには、ユーザに次の権限が必要です。
- Microsoft.Insights/ActivityLogAlerts/[読み取り、書き込み、削除]
- Microsoft.Insights/ActionGroups/[読み取り、書き込み、削除]
- Microsoft.Logic/workflows/[読み取り、書き込み、削除]
- Microsoft.Resources/subscriptions/resourceGroups/[読み取り、書き込み、削除]
- Microsoft.Resources/subscriptions/resourceGroups/deployments/[読み取り、書き込み、削除]
RTM for Azureの設定
- [ Install RTM ]タブを選択します。
Azure RTMが有効になっていない場合、初期設定のページは[RTMのインストール]タブです。選択する必要はありません。
-
[ Event Source ] → [ Activity Logs ]の順に選択します。
-
[ Generate deployment script ]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。
インストールスクリプトは15分後に期限切れになります。配信を再実行する場合は、イベントソースを選択して配信スクリプトを再生成し、セットアップを再度実行する必要があります。
-
コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。
- インストールが完了したら、次の手順を実行します。
- Resource groups (https://azure.microsoft.com/en-au/features/resource-manager/) を開き、'CloudOneConformityMonitoring’ が 'cloudone-conformity-monitoring-logic-app' で作成されていることを確認します。
- Monitor serviceを開き、 Alerts(https://docs.microsoft.com/en-us/azure/azure-monitor/alerts/alerts-overview)を選択します.
- Manage alert rules をクリックし、次のルールが Enabledになっていることを確認します。Conformity RTM Dashboardに表示されるAzure RTMイベントを監視するために必要です。
- cloudone-conformity-monitoring-activity-log-alert-administrative
- cloudone-conformity-monitoring-activity-log-alert-autoscale
- cloudone-conformity-monitoring-activity-log-alert-policy
- Cloudone-conformity-monitoring-activity-log-alert-security
ルールを確認したら、RTMの設定を確認できます。
RTM for Azureのアンインストール
- [ Uninstall RTM ]タブを選択します。
- [ Event Source ] → [ Activity Logs ]を選択します。
-
[ Generate uninstall script ]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。
アンインストールスクリプトは15分後に期限切れになります。有効な時間内に次の手順を完了してください。このボタンをクリックするとAPIキーが削除されるため、スクリプトを再度生成することはできません。次のスクリプトの処理が間に合わない場合は、手順5でリストしたリソースグループをAzureポータルで手動で削除することもできます。
-
コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。
- アンインストールが完了したら、 Resource groups (https://azure.microsoft.com/en-au/features/resource-manager/) を開き、 'CloudOneConformityMonitoring' が削除されていることを確認します。
RTM for GCP
- GCPコマンドラインインタフェースをインストールします。詳細については、gcloud CLIをインストールするを参照してください。
- gcloud CLIでログイン
- 以下で説明する十分な権限を持つ目的のアカウントを使用して、
gcloud config set account <PRINCIPAL>を実行します。 - RTMのインストールに必要なGCPプロジェクトのプロジェクトIDを使用して、
gcloud config set project <PROJECT_ID>を実行します。 gcloud config listを実行して、目的のアカウントとプロジェクトで認証されていることを確認します。
- 以下で説明する十分な権限を持つ目的のアカウントを使用して、
プリンシパルユーザ権限の前提条件
プリンシパル (gcloudで認証されたユーザまたはサービスアカウント) には、配置スクリプトを実行するための次の権限を持つ Cloud Composer API Service Agent の役割が必要です。
* storage.buckets.create
* storage.buckets.delete
* storage.objects.list
* storage.objects.get
* storage.objects.create
* storage.objects.delete
* deploymentmanager.deployments.create
* deploymentmanager.deployments.get
* deploymentmanager.deployments.delete
* deploymentmanager.operations.get
* deploymentmanager.resources.list
* deploymentmanager.manifests.get
プリンシパルの役割の権限を確認するには
- [ Permissions] で [ IAM & Admin ]→[IAM ]の順に選択し、前の手順で使用したプリンシパルを選択して、このプロジェクトで付与された役割を識別します。
- [IAM & Admin]→[Roles] の順に選択して、プリンシパルに付与されているすべての役割をまとめて確認し、必要な権限を持っていることを確認します。
サービスアカウントのRoleの前提条件
前述のすべての権限を含む役割であるCloud Composer API Service Agentがプリンシパルに付与されていることを確認するには、サービスアカウントの[PROJECT_NUMBER]@cloudservices.gserviceaccount.comに次の役割を割り当てて、展開スクリプトを実行する必要があります。
* Editor
* Logging Admin
* Pub/SubAdmin
サービスアカウントに必要な役割を確認するには
- [ Permissions] で [ IAM & Admin ]→[IAM ]の順に選択します。
- [ Include Google-provided role grants ] オプションが選択されていることを確認します。
- 「PROJECT_NUMBER@cloudservices.gserviceaccount」でフィルタし、サービスアカウントにスクリプトの実行に必要な役割が含まれていることを確認します。
Compute Engine APIが有効になっていない場合、[PROJECT_NUMBER]@cloudservices.gserviceaccount.com が表示されないことがあります。 {.note}
APIを有効にする
前提条件 に加えて、プロジェクトで次のAPIを有効にする必要があります。
GCPのRTMの設定
- Event Source > Cloud Logging を選択
- [ Generate deployment script ] ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。
展開スクリプトの有効期限は15分です。配信を再実行する場合は、event sourceを選択して配信スクリプトを再生成し、セットアップをやり直す必要があります。
- コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーし、コマンドラインインタフェースまたはPowershellで実行します。
- インストールが完了したら、[Deployment Manager] (https://console.cloud.google.com/dm/deployments) を開き、次のリソースを使用して「cloudone-conformity-monitoring」 の展開が作成されていることを確認します。
