場所 Main Dashboard>選択 {Account} >設定>Real-time monitoring settings>Update real-time settings
Real-Time Threat Monitoring (RTM)の設定では、RTMに必要なリソースのインストール、更新、および削除が可能です。必要なリソースを作成すると、クラウドアカウントからのイベントがRTMイベントモニタリングダッシュボードに表示され、これらのイベントに基づいてルールのサブセットが更新され始めます。RTMのセットアップには、PowershellおよびBashスクリプトの両方を提供しています。
注意
注意
AWS RTMインストールスクリプトの最新バージョンは、 EventBridgeクロスアカウントIAMロールの要件を満たしています。新規インストールでは、 EventBridgeリソースに加えてIAMロールが自動的に作成されます。
AWS、既存のEventBridgeリソースを更新してIAMロールを追加する期限はありませんが、最新かつ安全な状態に保つために、インストールプロセスを再実行することをお勧めします。
AWSアカウント間でのAmazon EventBridgeイベントの送受信の詳細については、 AWSドキュメント

目次

[User Access]

AWSのRTM

要件の設定

  • CloudTrailが有効になっていることを確認します。ヘルプについては、ConformityRuleを参照してください。 CloudTrailの有効化
  • 最新バージョンのAWS Command Line Interfaceバージョン2を使用していることを確認します。詳細については、以下を参照してください。 AWS CLIのインストール
  • Access KeyとSecret Access Keyのエクスポート: 詳細については、以下を参照してください。 AWS CLIの設定
export AWS_ACCESS_KEY_ID=YOUR_AWS_ACCESS_KEY_ID
   export AWS_SECRET_ACCESS_KEY=YOUR_AWS_SECRET_ACCESS_KEY
  • または、 AWS CloudShell AWSコンソールにログインしているときに、またはCLI AWSProfile正しい資格情報を使用して既存のプロファイルに追加します。
export AWS_PROFILE=your-account-profile`
注意
注意
スクリプトを実行するユーザまたはロールには、次の権限が必要です。
  1. AWS CloudFormation
  2. AWS IAMロール
  3. AWS EventBridgeルール

RTMインストールおよびアンインストールスクリプトの実行に必要な最小のAWS権限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CCRTM",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:deleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplate",
                "cloudformation:UpdateStack",
                "cloudformation:ValidateTemplate",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CCRTMRole",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:PutRolePolicy",
                "iam:TagRole"
            ],
            "Resource": { "Fn::Sub": "arn:aws:iam::${AWS::AccountId}:role/CloudConformityMonitoringRole" }
        }
    ]
}

AWSのRTMイベント監視の設定

警告
警告
スクリプトはAWS:: CloudFormation::スタックサポートされている各リージョンで各スタックは、 AWS::イベント::Rule、およびスタックus-east-1また、必要なAWS::IAM::RoleConformityのクロスアカウントEventBridgeアクセス用。スクリプトを実行する前に、未使用の領域がないかスクリプトを確認してください。
  1. RTMイベント監視ダッシュボードは、次のいずれかを使用して設定できます。
    • [Bash script] :
    • または[Powershell script] :
  2. Conformity脅威監視を作成または更新するには
    • コマンドプロンプトを開き、
    • 生成されたコマンドをRTM設定ダッシュボードからコピーし、
    • コマンドラインインタフェースで実行します。
    • 例: curl -L https://us-west-2.cloudconformity.com/v1/monitoring/event-bus-install.sh | bash -s
    ヒント
    ヒント
    同じコマンドを再実行してスタックをアップデートし、 Conformityから最新のアップデートを取得できます。
  3. スクリプトは、サポートされている各リージョンにCloudFormationスタックを作成します。これにより、管理イベントデータをConformityに送信して取り込みと処理を行うEventBridgeRuleが作成されます。 us-east-1のスタックでは、クロスアカウントアクセスに必要なIAMロールも作成されます。
  4. インストールが完了したら、 CloudFormationコンソールを開きます (https://console.aws.amazon.com/cloudformation ) をクリックし、CloudConformityMonitoringスタックのステータスが[CREATE_COMPLETE]または[UPDATE_COMPLETE]アップデート時。スタックの作成が完了するまでに時間がかかることがあります。
  5. 完了すると、 ConformityはAWSアカウントから管理イベントデータの取り込みを開始します。 Conformityのアップデートは、 Conformityアカウントのリアルタイム監視ダッシュボードからほぼリアルタイムで確認できます。

RTM for AWSのアンインストール

  • Conformity脅威監視リソースをアカウントから削除するには、必要な権限でコマンドプロンプトまたはシェルを開き、次のコマンドを実行します。 curl -L https://us-west-2.cloudconformity.com/v1/monitoring/uninstall.sh | bash -s

AzureのRTM

要件の設定

  1. Azureコマンドラインインターフェイスのインストール: 詳細については、次を参照してください。 Azure CLIのインストール
  2. Azure CLIを使用してサインインする
注意
注意
展開スクリプトを実行するには、ユーザに次の権限が必要です。
  • Microsoft.Insights/ActivityLogAlerts/\[読み取り、書き込み、削除\]
  • Microsoft.Insights/ActionGroups/\[読み取り、書き込み、削除\]
  • Microsoft.Logic/workflows/\[読み取り、書き込み、削除\]
  • Microsoft.Resources/subscriptions/resourceGroups/\[読み取り、書き込み、削除\]
  • マイクロソフト。Resources/subscriptions/resourceGroups/deployments/\[読み取り、書き込み、削除\]

RTM for Azureの設定

  1. 選択[Install RTM]タブをクリックします。
    注意
    注意
    Azure RTMが有効になっていない場合、初期設定のページは[RTMのインストール]タブです。選択する必要はありません。
  2. 選択[Event Source]>[Activity Logs]
  3. をクリックします。[Generate deployment script]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。
    注意
    注意
    展開スクリプトの有効期限は15分です。展開を再実行する場合は、[event source]をクリックして展開スクリプトを再生成し、セットアップを再度実行します。
  4. コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。
  5. インストールが完了したら、次の手順を実行します。
    1. 開く[Resource groups] (https://azure.microsoft.com/en-au/features/resource-manager/ ) を確認し、[CloudOneConformityMonitoring’] '[cloudone-conformity-monitoring-logic-app’]
    2. 開く[Monitor]サービスと選択[Alerts] (https://docs.microsoft.com/en-us/azure/azure-monitor/alerts/alerts-overview )。
  6. クリック[Manage alert rules]次のルールが満たされていることを確認します。[Enabled.]これは、 Conformity RTMダッシュボードに表示されるAzure RTMイベントをモニタために必要です。
    1. cloudone-conformity-monitoring-activity-log-alert-administrative
    2. cloudone-conformity-monitoring-activity-log-alert-autoscale
    3. cloudone-conformity-monitoring-activity-log-alert-policy
    4. Cloudone-conformity-monitoring-activity-log-alert-security
ルールを確認すると、RTM設定を確認できます。

RTM for Azureのアンインストール

  1. 選択[Uninstall RTM]タブをクリックします。
  2. 選択[Event Source]>[Activity Logs]
  3. をクリックします。[Generate uninstall script]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。
    注意
    注意
    アンインストールスクリプトの有効期限は15分後です。有効な時間内に次の手順を完了してください。このボタンをクリックしている間はAPIキーが削除されるため、2回目はスクリプトを生成できません。次のスクリプトを時間内に完了しない場合は、Azureポータルで手順5に記載されているリソースグループを手動で削除することもできます。
  4. コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。
  5. アンインストールが完了したら、[開く][Resource groups] (https://azure.microsoft.com/en-au/features/resource-manager/ ) を確認し、['CloudOneConformityMonitoring']が削除されます。

GCPのRTM

  1. GCPコマンドラインインタフェースのインストール: 詳細については、次を参照してください。 gcloud CLIのインストール
  2. gcloud CLIでログイン
    • 実行gcloud config set account<PRINCIPAL>以下で説明する十分な権限を持つ目的のアカウントを使用します。
    • 実行gcloud config set project<PROJECT_ID> RTMのインストールに必要なGCPプロジェクトのプロジェクトIDを使用します。
    • 実行gcloud設定リストをクリックして、目的のアカウントとプロジェクトで認証されていることを確認します。

プリンシパルユーザ権限の前提条件

プリンシパル (gcloudで認証されたユーザまたはサービスアカウント) には、[Cloud Composer API Service Agent]ロール:展開スクリプトを実行するための次の権限
  • storage.buckets.create
  • storage.buckets.delete
  • storage.objects.list
  • storage.objects.get
  • storage.objects.create
  • storage.objects.delete
  • deploymentmanager.deployments.create
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.delete
  • deploymentmanager.operations.get
  • deploymentmanager.resources.list
  • deploymentmanager.manifests.get
プリンシパルの役割の権限を確認するには
  1. に移動[IAM & Admin][IAM][Permissions]で、このプロジェクトで付与された役割を識別するために前の手順で使用したプリンシパルを選択します。
  2. に移動[IAM & Admin][Roles]プリンシパルに付与されているすべてのロールをまとめて確認し、必要な権限を持っていることを確認します。

サービスアカウントのRoleの前提条件

プリンシパルに[Cloud Composer API Service Agent]ロールに上記のすべての権限が含まれる場合、展開スクリプトを実行するには、サービスアカウント [PROJECT_NUMBER]@cloudservices.gserviceaccount.comに次のロールが必要です。
  • 編集者
  • ロギングAdmin
  • Pub/SubAdmin
サービスアカウントに必要な役割を確認するには
  1. に移動[IAM & Admin][IAM][Permissions] ,
  2. オプションが[Include Google-provided role grants]が選択されました
  3. 「PROJECT_NUMBER@cloudservices.gserviceaccount」でフィルタし、スクリプトの実行に必要な役割がサービスアカウントに含まれていることを確認します。
注意
注意
ご注意ください[PROJECT_NUMBER]@cloudservices.gserviceaccount.com Compute Engine APIが有効になっていない場合は存在しない可能性があります。

APIを有効にする

前提条件に加えて、プロジェクトには以下のAPIが有効になっている必要があります:

GCPのRTMの設定

  1. [Event Source] > [Cloud Logging] を選択
  2. をクリックします。[Generate deployment script]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。
    注意
    注意
    展開スクリプトの有効期限は15分です。展開を再実行する場合は、[event source]をクリックして展開スクリプトを再生成し、セットアップを再度実行します。
  3. コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインターフェイスまたはPowerShellで実行します。
  4. インストールが完了したら、[Deployment Manager] (https://console.cloud.google.com/dm/deployments) を開き、次のリソースを使用して[cloudone-conformity-monitoring’]展開が作成されていることを確認してください。
    gcp-deployment=a4f39b81-0a68-4f30-a5d3-baace7780770.png