このページのトピック
Real Time Threat Monitoring Settings
場所 | Main Dashboard > Select {Account} > Settings > Real-time monitoring settings > Update real-time settings |
Real-Time Threat Monitoring (RTM) の設定では、RTMに必要なリソースをインストール、アップデート、および削除できます。必要なリソースを作成すると、クラウドアカウントからのイベントが RTM イベント監視ダッシュボードに表示され、ルールのサブセットこれらのイベントに基づいて更新を開始します。RTMを設定するためのPowershellスクリプトとBashスクリプトの両方が用意されています。
AWS RTMインストールスクリプトの最新バージョンは、EventBridgeクロスアカウントIAMロールの要件を満たしています。新規インストールでは、EventBridgeリソースに加えてIAMロールが自動的に作成されます。
AWSでは、既存のEventBridgeリソースを更新してIAMロールを追加する期限はありませんが、最新かつ安全な状態に保つために、インストールプロセスを再実行することをお勧めします。
AWSアカウント間でのAmazon EventBridgeイベントの送受信の詳細については、 AWSのドキュメントを参照してください。
コンテンツ
ユーザアクセス
ユーザの役割 | アクセス可能 |
---|---|
Administrator | ![]() |
Power User | ![]() |
Custom - Full Access | ![]() |
Read Only | ![]() |
Custom - Read Only | ![]() |
RTM for AWS
要件の設定
- CloudTrailが有効になっていることを確認します。詳細については、Conformity Rule CloudTrail Enabledを参照してください。
- 最新バージョンのAWS Command Line Interfaceバージョン2を使用していることを確認します。詳細については、AWS CLIのインストールを参照してください。
- Access KeyとSecret Access Keyのエクスポート: 詳細については、AWS CLIの設定を参照してください。
export AWS_ACCESS_KEY_ID=YOUR_AWS_ACCESS_KEY_ID
export AWS_SECRET_ACCESS_KEY=YOUR_AWS_SECRET_ACCESS_KEY
- または、AWSコンソールにログインしているときに AWS CloudShell を使用するか、 CLI AWSProfile を正しい認証情報を持つ既存のプロファイルに切り替えます。
export AWS_PROFILE=your-account-profile`
スクリプトを実行するユーザまたはロールには、次の権限が必要です。
1.AWS CloudFormation 2.AWS IAMロール 3.AWS EventBridgeルール
RTMインストールおよびアンインストールスクリプトの実行に必要なAWSの最小権限
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CCRTM",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResources",
"cloudformation:deleteStack",
"cloudformation:DescribeStacks",
"cloudformation:GetTemplate",
"cloudformation:UpdateStack",
"cloudformation:ValidateTemplate",
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "*"
},
{
"Sid": "CCRTMRole",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:PutRolePolicy",
"iam:TagRole"
],
"Resource": { "Fn::Sub": "arn:aws:iam::${AWS::AccountId}:role/CloudConformityMonitoringRole" }
}
]
}
AWSのRTMイベント監視の設定
このスクリプトは、サポートされている各リージョンに AWS::CloudFormation::Stack
をデプロイすることに注意してください。各スタックはAWS::Events::Rule
、およびスタックus-east-1
必要なものも作成しますAWS::IAM::Role
ためにConformityのクロスアカウント EventBridge アクセス。スクリプトを実行する前に、未使用の領域がないかどうかスクリプトを確認してください。
-
RTMイベント監視ダッシュボードは、次のいずれかを使用して設定できます。
-
Bashスクリプト:
-
または、 Powershellスクリプト:
-
-
Conformity Threat Monitoringを作成またはアップデートするには
- コマンドプロンプトを開き、
- 生成されたコマンドをRTM設定ダッシュボードからコピーし、
- コマンドラインインタフェースで実行します。
- たとえば、次のとおりです。
curl -L https://us-west-2.cloudconformity.com/v1/monitoring/event-bus-install.sh | bash -s
同じコマンドを再実行してスタックをアップデートし、 Conformityから最新のアップデートを取得できます。
-
このスクリプトは、サポートされている各リージョンにCloudFormationスタックを作成します。これにより、管理イベントデータを Conformity に送信して取り込みと処理を行うEventBridge Rule が作成されます。us-east-1 のスタックでは、クロスアカウントアクセスに必要なIAMロールも作成されます。
-
インストールが完了したら、CloudFormationコンソール (https://console.aws.amazon.com/cloudformation) を開き、アップデート時のCloudConformityMonitoringスタックのステータスが CREATE_COMPLETE または UPDATE_COMPLETE であることを確認します。
スタックの作成が完了するまでに時間がかかることがあります。 -
完了すると、 Conformity はAWSアカウントからの管理イベントデータの取り込みを開始します。Conformity アカウントのリアルタイム監視ダッシュボードから、 Conformity のアップデートをほぼリアルタイムで確認できます。
RTM for AWSのアンインストール
- アカウントから Conformity Threat Monitoringリソースを削除するには、必要な権限でコマンドプロンプトまたはシェルを開き、次のコマンドを実行します。
curl -L https://us-west-2.cloudconformity.com/v1/monitoring/uninstall.sh | bash -s
RTM for Azure
要件の設定
- Azureコマンドラインインタフェースをインストールします。詳細については、「 Install the Azure CLI」を参照してください。
- Azure CLIでサインインします
インストールスクリプトを実行するには、ユーザに次の権限が必要です。
- Microsoft.Insights/ActivityLogAlerts/[読み取り、書き込み、削除]
- Microsoft.Insights/ActionGroups/[読み取り、書き込み、削除]
- Microsoft.Logic/workflows/[読み取り、書き込み、削除]
- Microsoft.Resources/subscriptions/resourceGroups/[読み取り、書き込み、削除]
- Microsoft.Resources/subscriptions/resourceGroups/deployments/[読み取り、書き込み、削除]
RTM for Azureの設定
- [ Install RTM ]タブを選択します。
Azure RTMが有効になっていない場合、初期設定のページは[RTMのインストール]タブです。選択する必要はありません。
-
[ Event Source ] → [ Activity Logs ]の順に選択します。
-
[ Generate deployment script ]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。
インストールスクリプトは15分後に期限切れになります。配信を再実行する場合は、イベントソースを選択して配信スクリプトを再生成し、セットアップを再度実行する必要があります。
-
コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。
- インストールが完了したら、次の手順を実行します。
- Resource groups (https://azure.microsoft.com/en-au/features/resource-manager/) を開き、'CloudOneConformityMonitoring’ が 'cloudone-conformity-monitoring-logic-app' で作成されていることを確認します。
- Monitor serviceを開き、 Alerts(https://docs.microsoft.com/en-us/azure/azure-monitor/alerts/alerts-overview)を選択します.
- Manage alert rules をクリックし、次のルールが Enabledになっていることを確認します。Conformity RTM Dashboardに表示されるAzure RTMイベントを監視するために必要です。
- cloudone-conformity-monitoring-activity-log-alert-administrative
- cloudone-conformity-monitoring-activity-log-alert-autoscale
- cloudone-conformity-monitoring-activity-log-alert-policy
- Cloudone-conformity-monitoring-activity-log-alert-security
ルールを確認したら、RTMの設定を確認できます。
RTM for Azureのアンインストール
- [ Uninstall RTM ]タブを選択します。
- [ Event Source ] → [ Activity Logs ]を選択します。
-
[ Generate uninstall script ]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。
アンインストールスクリプトは15分後に期限切れになります。有効な時間内に次の手順を完了してください。このボタンをクリックするとAPIキーが削除されるため、スクリプトを再度生成することはできません。次のスクリプトの処理が間に合わない場合は、手順5でリストしたリソースグループをAzureポータルで手動で削除することもできます。
-
コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。
- アンインストールが完了したら、 Resource groups (https://azure.microsoft.com/en-au/features/resource-manager/) を開き、 'CloudOneConformityMonitoring' が削除されていることを確認します。
RTM for GCP
- GCPコマンドラインインタフェースをインストールします。詳細については、gcloud CLIをインストールするを参照してください。
- gcloud CLIでログイン
展開スクリプトを実行するには、ユーザに次の権限が必要です。
- storage.buckets.create
- storage.buckets.delete
- storage.objects.list
- storage.objects.get
- storage.objects.create
- storage.objects.delete
- deploymentmanager.deployments.create
配信スクリプトを実行するには、サービスアカウント [PROJECT_NUMBER]@cloudservices.gserviceaccount.com に次の役割が必要です。
- Editor
- Logging Admin
- Pub/SubAdmin
GCPのRTMの設定
- [ Event Source ] →[ Activity Logs] を選択します。
- [ Generate deployment script ] ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。
展開スクリプトの有効期限は15分です。配信を再実行する場合は、event sourceを選択して配信スクリプトを再生成し、セットアップをやり直す必要があります。
- コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。
- インストールが完了したら、[Deployment Manager] (https://console.cloud.google.com/dm/deployments) を開き、次のリソースを使用して「cloudone-conformity-monitoring」 の展開が作成されていることを確認します。