Real Time Threat Monitoring Settings

Real-Time Threat Monitoring (RTM) 設定を使用すると、 Trend Micro Cloud One™– Conformity でライブ監視しているものをインストールまたはアップデートできます。このスタックが作成または変更されると、AWSでのイベントが発生します。アカウントはRTMイベントダッシュボードに登録されます。監視ダッシュボードを設定するためのPowershellスクリプトとBashスクリプトの両方が用意されています。

コンテンツ

• RTM for AWS
• RTM for Azure

ユーザアクセス

ユーザの役割	アクセス可能
Administrator
Power User
Custom - Full Access
Read Only
Custom - Read Only

RTM for AWS

要件の設定

• Linuxでは、インストーラスクリプトを使用してインストールできます。スクリプトにより、最新バージョンの Conformity Threat MonitoringがAWSアカウントにダウンロードされ、インストールされます。

• CloudTrailが有効になっていることを確認します。詳細については、「CloudTrail Enabled」を参照してください。

• 最新（または2.0.53以降）のAWS Command Line Interfaceバージョン2をインストールします。詳細については、「 AWS CLIのインストール」を参照してください。
• Access Key および Secret Access Keyをエクスポートします。詳細については、以下を参照してください： AWS CLIの設定

   export AWS_ACCESS_KEY_ID=YOUR_AWS_ACCESS_KEY_ID
   export AWS_SECRET_ACCESS_KEY=YOUR_AWS_SECRET_ACCESS_KEY

• または、AWSプロファイルを切り替えます。

export AWS_PROFILE=your-account-profile

RTMインストールおよびアンインストールスクリプトの実行に必要なAWSの最小権限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CCRTM",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:deleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplate",
                "cloudformation:UpdateStack",
                "cloudformation:ValidateTemplate",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "*"
        }
    ]
}

RTM for AWSを設定する

1. Conformity Threat Monitoring for AWSを作成またはアップデートするには、コマンドプロンプトを開き、専用に生成されたコマンドラインをコピーして、コマンドラインインタフェースで実行します。

   スクリプトを実行すると、現在使用していないAWSリージョンに AWS::Events::Rule が追加される場合があります。スクリプトを実行する前に、未使用の領域がないかどうかスクリプトを確認してください。

2. Conformity Threat Monitoringを作成またはアップデートするには、コマンドプロンプトを開き、専用に生成されたコマンドラインをコピーして、コマンドラインインタフェースで実行します。
   curl -L https://us-west-2.cloudconformity.com/v1/monitoring/event-bus-install.sh | bash -s

3. インストールが完了したら、CloudFromationコンソール（https://console.aws.amazon.com/cloudformation) ）を開き、アップデート時にCloudConformityMonitoringスタックのステータスが CREATE_COMPLETE または UPDATE_COMPLETE であることを確認します。
   スタックの作成が完了するまでに時間がかかることがあります。

4. 上記のスタックは、AWSアカウント内の変更を監視する一連の CloudWatch イベントルールを作成し、それらを Conformity に送信して取り込みます。 Conformity のアップデートは、 Conformity アカウントのリアルタイム監視ダッシュボードでほぼリアルタイムに確認できます。

RTMイベント Monitoring Dashboard

1. RTMイベント監視ダッシュボードは次の方法で設定できます。
2. Bashスクリプトを使用する
   
   
3. または Powershellスクリプトを使用する
   
   

RTM for Azure

要件の設定

1. Azureコマンドラインインタフェースをインストールします。詳細については、「 Install the Azure CLI」を参照してください。
2. Azure CLIでサインインします

RTM for Azureの設定

1. [ Event Source ] →[ Activity Logs]の順に選択します。

2. [ Generate deployment script ]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。

   インストールスクリプトは15分後に期限切れになります。配信を再実行する場合は、イベントソースを選択して配信スクリプトを再生成し、セットアップを再度実行する必要があります。

3. コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。
   
   
   

4. インストールが完了したら、次の手順を実行します。
   1. Resource groups （https://azure.microsoft.com/en-au/features/resource-manager/）を開き、'CloudOneConformityMonitoring’ が 'cloudone-conformity-monitoring-logic-app' で作成されていることを確認します。
   2. Monitor serviceを開き、 Alerts(https://docs.microsoft.com/en-us/azure/azure-monitor/alerts/alerts-overview)を選択します.
5. Manage alert rules をクリックし、次のルールが Enabledになっていることを確認します。Conformity RTM Dashboardに表示されるAzure RTMイベントを監視するために必要です。
   1. cloudone-conformity-monitoring-activity-log-alert-administrative
   2. cloudone-conformity-monitoring-activity-log-alert-autoscale
   3. cloudone-conformity-monitoring-activity-log-alert-policy
   4. Cloudone-conformity-monitoring-activity-log-alert-security

ルールを確認したら、RTMの設定を確認できます。