目次

Real Time Threat Monitoring Settings

場所

Main Dashboard > Select {Account} > Settings > Real-time monitoring settings > Update real-time settings

Real-Time Threat Monitoring (RTM) 設定を使用すると、 Trend Micro Cloud One™– Conformity でライブ監視しているものをインストールまたはアップデートできます。このスタックが作成または変更されると、AWSでのイベントが発生します。アカウントはRTMイベントダッシュボードに登録されます。監視ダッシュボードを設定するためのPowershellスクリプトとBashスクリプトの両方が用意されています。

コンテンツ

ユーザアクセス

ユーザの役割 アクセス可能
Administrator
Power User
Custom - Full Access
Read Only
Custom - Read Only

RTM for AWS

要件の設定

  • Linuxでは、インストーラスクリプトを使用してインストールできます。スクリプトにより、最新バージョンの Conformity Threat MonitoringがAWSアカウントにダウンロードされ、インストールされます。

  • CloudTrailが有効になっていることを確認します。詳細については、「CloudTrail Enabled」を参照してください。

  • 最新(または2.0.53以降)のAWS Command Line Interfaceバージョン2をインストールします。詳細については、「 AWS CLIのインストール」を参照してください。
  • Access Key および Secret Access Keyをエクスポートします。詳細については、以下を参照してください: AWS CLIの設定
   export AWS_ACCESS_KEY_ID=YOUR_AWS_ACCESS_KEY_ID
   export AWS_SECRET_ACCESS_KEY=YOUR_AWS_SECRET_ACCESS_KEY

使用するキーは、次の権限を持つユーザのものである必要があります。

1.AWS CloudFormation 2.AWS IAM Role 3.AWS Lambda 関数 4.AWS Events Rule 5. AWS Lambda 権限

  • または、AWSプロファイルを切り替えます。


export AWS_PROFILE=your-account-profile

RTMインストールおよびアンインストールスクリプトの実行に必要なAWSの最小権限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CCRTM",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:deleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplate",
                "cloudformation:UpdateStack",
                "cloudformation:ValidateTemplate",
                "events:DeleteRule",
                "events:DescribeRule",
                "events:PutRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "*"
        }
    ]
}

RTM for AWSを設定する

  1. Conformity Threat Monitoring for AWSを作成またはアップデートするには、コマンドプロンプトを開き、専用に生成されたコマンドラインをコピーして、コマンドラインインタフェースで実行します。

    スクリプトを実行すると、現在使用していないAWSリージョンに AWS::Events::Rule が追加される場合があります。スクリプトを実行する前に、未使用の領域がないかどうかスクリプトを確認してください。

  2. Conformity Threat Monitoringを作成またはアップデートするには、コマンドプロンプトを開き、専用に生成されたコマンドラインをコピーして、コマンドラインインタフェースで実行します。
    curl -L https://us-west-2.cloudconformity.com/v1/monitoring/event-bus-install.sh | bash -s

  3. インストールが完了したら、CloudFromationコンソール(https://console.aws.amazon.com/cloudformation) )を開き、アップデート時にCloudConformityMonitoringスタックのステータスが CREATE_COMPLETE または UPDATE_COMPLETE であることを確認します。
    スタックの作成が完了するまでに時間がかかることがあります。

  4. 上記のスタックは、AWSアカウント内の変更を監視する一連の CloudWatch イベントルールを作成し、それらを Conformity に送信して取り込みます。 Conformity のアップデートは、 Conformity アカウントのリアルタイム監視ダッシュボードでほぼリアルタイムに確認できます。
  • 同じコマンドを再実行してスタックをアップデートし、 Conformityから最新のアップデートを取得できます。
  • Conformity Threat Monitoringをアカウントから削除するには、コマンドプロンプトまたはシェルを開き、次のコマンドを実行します。

curl -L https://us-west-2.cloudconformity.com/v1/monitoring/uninstall.sh | bash -s

RTMイベント Monitoring Dashboard

  1. RTMイベント監視ダッシュボードは次の方法で設定できます。
  2. Bashスクリプトを使用する

  3. または Powershellスクリプトを使用する

RTM for Azure

要件の設定

  1. Azureコマンドラインインタフェースをインストールします。詳細については、「 Install the Azure CLI」を参照してください。
  2. Azure CLIでサインインします

インストールスクリプトを実行するには、ユーザに次の権限が必要です。

  • Microsoft.Insights/ActivityLogAlerts/[読み取り、書き込み、削除]
  • Microsoft.Insights/ActionGroups/[読み取り、書き込み、削除]
  • Microsoft.Logic/workflows/[読み取り、書き込み、削除]
  • Microsoft.Resources/subscriptions/resourceGroups/[読み取り、書き込み、削除]
  • Microsoft.Resources/subscriptions/resourceGroups/deployments/[読み取り、書き込み、削除]

RTM for Azureの設定

  1. [ Event Source ] →[ Activity Logs]の順に選択します。

  2. [ Generate deployment script ]ボタンをクリックします。ボタンの背景色が緑色になるまで待ちます。

    インストールスクリプトは15分後に期限切れになります。配信を再実行する場合は、イベントソースを選択して配信スクリプトを再生成し、セットアップを再度実行する必要があります。

  3. コマンドプロンプトまたはPowerShellを開きます。生成されたコマンドラインをコピーして、コマンドラインインタフェースまたはPowershellで実行します。


  4. インストールが完了したら、次の手順を実行します。
    1. Resource groupshttps://azure.microsoft.com/en-au/features/resource-manager/)を開き、'CloudOneConformityMonitoring’'cloudone-conformity-monitoring-logic-app' で作成されていることを確認します。
    2. Monitor serviceを開き、 Alerts(https://docs.microsoft.com/en-us/azure/azure-monitor/alerts/alerts-overview)を選択します.
  5. Manage alert rules をクリックし、次のルールが Enabledになっていることを確認します。Conformity RTM Dashboardに表示されるAzure RTMイベントを監視するために必要です。
    1. cloudone-conformity-monitoring-activity-log-alert-administrative
    2. cloudone-conformity-monitoring-activity-log-alert-autoscale
    3. cloudone-conformity-monitoring-activity-log-alert-policy
    4. Cloudone-conformity-monitoring-activity-log-alert-security

ルールを確認したら、RTMの設定を確認できます。