目次
このページのトピック
コンテンツ
RTM for AWS
要件の設定
RTMインストールおよびアンインストールスクリプトの実行に必要なAWSの最小権限
AWSのRTMイベント監視の設定
RTM for AWSのアンインストール
RTM for Azure
要件の設定
RTM for Azureの設定
RTM for Azureのアンインストール
RTM for GCP
GCPのRTMの設定

Real Time Threat Monitoring Settings

場所

Main Dashboard > Select {Account} > Settings > Real-time monitoring settings > Update real-time settings

Real-Time Threat Monitoring (RTM) の設定では、RTMに必要なリソースをインストール、アップデート、および削除できます。必要なリソースを作成すると、クラウドアカウントからのイベントが RTM イベント監視ダッシュボードに表示され、ルールのサブセットこれらのイベントに基づいて更新を開始します。RTMを設定するためのPowershellスクリプトとBashスクリプトの両方が用意されています。

AWS RTMインストールスクリプトの最新バージョンは、EventBridgeクロスアカウントIAMロールの要件を満たしています。新規インストールでは、EventBridgeリソースに加えてIAMロールが自動的に作成されます。

AWSでは、既存のEventBridgeリソースを更新してIAMロールを追加する期限はありませんが、最新かつ安全な状態に保つために、インストールプロセスを再実行することをお勧めします。

AWSアカウント間でのAmazon EventBridgeイベントの送受信の詳細については、 AWSのドキュメントを参照してください。

コンテンツ

ユーザアクセス

ユーザの役割 アクセス可能
Administrator
Power User
Custom - Full Access
Read Only
Custom - Read Only

RTM for AWS

要件の設定

  • CloudTrailが有効になっていることを確認します。詳細については、Conformity Rule CloudTrail Enabledを参照してください。
  • 最新バージョンのAWS Command Line Interfaceバージョン2を使用していることを確認します。詳細については、AWS CLIのインストールを参照してください。
  • Access KeyとSecret Access Keyのエクスポート: 詳細については、AWS CLIの設定を参照してください。
   export AWS_ACCESS_KEY_ID=YOUR_AWS_ACCESS_KEY_ID
   export AWS_SECRET_ACCESS_KEY=YOUR_AWS_SECRET_ACCESS_KEY
  • または、AWSコンソールにログインしているときに AWS CloudShell を使用するか、 CLI AWSProfile を正しい認証情報を持つ既存のプロファイルに切り替えます。 
    export AWS_PROFILE=your-account-profile`

スクリプトを実行するユーザまたはロールには、次の権限が必要です。

1.AWS CloudFormation 2.AWS IAMロール 3.AWS EventBridgeルール

RTMインストールおよびアンインストールスクリプトの実行に必要なAWSの最小権限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CCRTM",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:deleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplate",
                "cloudformation:UpdateStack",
                "cloudformation:ValidateTemplate",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CCRTMRole",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:PutRolePolicy",
                "iam:TagRole"
            ],
            "Resource": { "Fn::Sub": "arn:aws:iam::${AWS::AccountId}:role/CloudConformityMonitoringRole" }
        }
    ]
}

AWSのRTMイベント監視の設定

このスクリプトは、サポートされている各リージョンに AWS::CloudFormation::Stack をデプロイすることに注意してください。各スタックはAWS::Events::Rule、およびスタックus-east-1必要なものも作成しますAWS::IAM::RoleためにConformityのクロスアカウント EventBridge アクセス。スクリプトを実行する前に、未使用の領域がないかどうかスクリプトを確認してください。

  1. RTMイベント監視ダッシュボードは、次のいずれかを使用して設定できます。

    • Bashスクリプト:

    • または、 Powershellスクリプト:

  2. Conformity Threat Monitoringを作成またはアップデートするには

    • コマンドプロンプトを開き、
    • 生成されたコマンドをRTM設定ダッシュボードからコピーし、
    • コマンドラインインタフェースで実行します。
    • たとえば、次のとおりです。
      curl -L https://us-west-2.cloudconformity.com/v1/monitoring/event-bus-install.sh | bash -s

    同じコマンドを再実行してスタックをアップデートし、 Conformityから最新のアップデートを取得できます。

  3. このスクリプトは、サポートされている各リージョンにCloudFormationスタックを作成します。これにより、管理イベントデータを Conformity に送信して取り込みと処理を行うEventBridge Rule が作成されます。us-east-1 のスタックでは、クロスアカウントアクセスに必要なIAMロールも作成されます。

  4. インストールが完了したら、CloudFormationコンソール (https://console.aws.amazon.com/cloudformation) を開き、アップデート時のCloudConformityMonitoringスタックのステータスが CREATE_COMPLETE または UPDATE_COMPLETE であることを確認します。
    スタックの作成が完了するまでに時間がかかることがあります。

  5. 完了すると、 Conformity はAWSアカウントからの管理イベントデータの取り込みを開始します。Conformity アカウントのリアルタイム監視ダッシュボードから、 Conformity のアップデートをほぼリアルタイムで確認できます。

RTM for AWSのアンインストール

  • アカウントから Conformity Threat Monitoringリソースを削除するには、必要な権限でコマンドプロンプトまたはシェルを開き、次のコマンドを実行します。 curl -L https://us-west-2.cloudconformity.com/v1/monitoring/uninstall.sh | bash -s

RTM for Azure

要件の設定

  1. Azureコマンドラインインタフェースをインストールします。詳細については、「 Install the Azure CLI」を参照してください。
  2. Azure CLIでサインインします

インストールスクリプトを実行するには、ユーザに次の権限が必要です。

  • Microsoft.Insights/ActivityLogAlerts/[読み取り、書き込み、削除]
  • Microsoft.Insights/ActionGroups/[読み取り、書き込み、削除]
  • Microsoft.Logic/workflows/[読み取り、書き込み、削除]
  • Microsoft.Resources/subscriptions/resourceGroups/[読み取り、書き込み、削除]
  • Microsoft.Resources/subscriptions/resourceGroups/deployments/[読み取り、書き込み、削除]

RTM for Azureの設定

  1. [ Install RTM ]タブを選択します。

    Azure RTMが有効になっていない場合、初期設定のページは[RTMのインストール]タブです。選択する必要はありません。

  2. [ Event Source ] → [ Activity Logs ]の順に選択します。

  3. [ Generate deployment script ]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。

    インストールスクリプトは15分後に期限切れになります。配信を再実行する場合は、イベントソースを選択して配信スクリプトを再生成し、セットアップを再度実行する必要があります。

  4. コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。

  5. インストールが完了したら、次の手順を実行します。
    1. Resource groups (https://azure.microsoft.com/en-au/features/resource-manager/) を開き、'CloudOneConformityMonitoring’'cloudone-conformity-monitoring-logic-app' で作成されていることを確認します。
    2. Monitor serviceを開き、 Alerts(https://docs.microsoft.com/en-us/azure/azure-monitor/alerts/alerts-overview)を選択します.
  6. Manage alert rules をクリックし、次のルールが Enabledになっていることを確認します。Conformity RTM Dashboardに表示されるAzure RTMイベントを監視するために必要です。
    1. cloudone-conformity-monitoring-activity-log-alert-administrative
    2. cloudone-conformity-monitoring-activity-log-alert-autoscale
    3. cloudone-conformity-monitoring-activity-log-alert-policy
    4. Cloudone-conformity-monitoring-activity-log-alert-security

ルールを確認したら、RTMの設定を確認できます。

RTM for Azureのアンインストール

  1. [ Uninstall RTM ]タブを選択します。
  2. [ Event Source ] → [ Activity Logs ]を選択します。

  3. [ Generate uninstall script ]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。

    アンインストールスクリプトは15分後に期限切れになります。有効な時間内に次の手順を完了してください。このボタンをクリックするとAPIキーが削除されるため、スクリプトを再度生成することはできません。次のスクリプトの処理が間に合わない場合は、手順5でリストしたリソースグループをAzureポータルで手動で削除することもできます。

  4. コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。

  5. アンインストールが完了したら、 Resource groups (https://azure.microsoft.com/en-au/features/resource-manager/) を開き、 'CloudOneConformityMonitoring' が削除されていることを確認します。

RTM for GCP

  1. GCPコマンドラインインタフェースをインストールします。詳細については、gcloud CLIをインストールするを参照してください。
  2. gcloud CLIでログイン

展開スクリプトを実行するには、ユーザに次の権限が必要です。

  • storage.buckets.create
  • storage.buckets.delete
  • storage.objects.list
  • storage.objects.get
  • storage.objects.create
  • storage.objects.delete
  • deploymentmanager.deployments.create

配信スクリプトを実行するには、サービスアカウント [PROJECT_NUMBER]@cloudservices.gserviceaccount.com に次の役割が必要です。

  • Editor
  • Logging Admin
  • Pub/SubAdmin

GCPのRTMの設定

  1. [ Event Source ] →[ Activity Logs] を選択します。
  2. [ Generate deployment script ] ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。

    展開スクリプトの有効期限は15分です。配信を再実行する場合は、event sourceを選択して配信スクリプトを再生成し、セットアップをやり直す必要があります。

  3. コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。
  4. インストールが完了したら、[Deployment Manager] (https://console.cloud.google.com/dm/deployments) を開き、次のリソースを使用して「cloudone-conformity-monitoring」 の展開が作成されていることを確認します。