目次

Conformity ルールの概要

コンテンツ

Conformity はどのようなルールをサポートしていますか?

ルールの実行頻度

実行されるルール

新しいアカウント

ルール設定

ルール設定

ルールの構造

Checkの概要

スコアなし

非推奨のルール

リアルタイム監視でサポートされるルール

よくある質問

Trend Micro Cloud One™– Conformity はどのようなルールをサポートしていますか?

Conformity は、クラウドおよびセキュリティガバナンスのベストプラクティスに基づいた 540 ルール 、および コンプライアンス標準をサポートします。

Conformityのルールは、セキュリティおよび管理のベストプラクティスの 6カテゴリ を対象としています。

  1. セキュリティ
  2. Cost Optimisation
  3. 優れた運用性
  4. 信頼性
  5. パフォーマンスの効率
  6. 持続可能性

ルールは、クラウドアカウントサービス、リソース、それらの設定、および 設定に対して実行されます。

ルールの実行頻度

Conformity ルールは次のように実行されます。

  1. 追加されたアカウントに定期的に、Conformity Botによって、または
  2. リアルタイム監視サブスクリプションアカウントでオンになっている場合は、選択したルールについてリアルタイムで。

実行されるルール

Conformityでサポートされるすべてのルールについては、 Conformity Knowledge Base を参照してください。

  • すべてのポートへのオープンアクセスを検索するルールはありますか? Rule: EC2-001(セキュリティ Group ポート範囲) は、すべてのポートを含むオープンポートの範囲をチェックします。
  • AWS Config のすべてのルールが Conformityに含まれていますか? AWS Config のすべてのルールは、 config:DescribeConfigRules APIを介して利用可能になった時点でサポートされます。

Conformity が必要なルールをサポートしていない場合は、 AWS Config サービスを使用して カスタムルール を作成することもできます。

新しいアカウント

Conformityにアカウントが最初に追加されると、 Conformity Botによって一連の初期設定ルールがアカウントに対して実行されます。

ルール設定

組織の状況や管理ニーズに合わせてルールを設定できます。一部のルールは実行前に設定が必要で、すべてのルールには重要度の調整や有効化/無効化などの設定オプションがあります。

Rule Configurationを参照してください。

ルール設定

Cloud Accounts レベルで管理できる共通のルール設定(新しいルールの動作やルール設定など)があります。 Rule settingsを参照してください。

ルールの構造

Conformity ルールがAWS(またはその他のクラウドプロバイダ)または Conformity サービスに対して実行されます。たとえば、Guard Duty、CloudTrail、CloudConformityなどです。サービスの完全なリストについては、 Knowledge Baseを参照してください。

Conformityは、Ruleが属しているサービスおよび/またはサービスリソースに対して、RuleごとにChecksを実行します。Checkは、失敗または 成功し、Conformityの多数の レポートツールによって取得されます。


注意:新しいルールまたはアップデートされたルールには、リリース後10日間のマークが付けられます。

Checksの概要

さまざまなチェックステータスをカウントします。各ステータスの詳細については、「 モデルのCheck」を参照してください。


スコアなし

Conformity によって文書化されているルールもありますが、クラウドインフラストラクチャに適用できないため、またはクラウドプロバイダによって提供されるデータの制限により、クラウドインフラストラクチャに対してテストできません。テストできないルールは、 スコア未評価として識別されます。詳細については、「 モデルのCheck」を参照してください。


非推奨のルール

Conformity によって削除対象としてマークされたルールは、「非推奨のルール」として識別されます。 Profile およびアカウントの Rule 設定で、廃止されたルールが通知されます。また、ルールの廃止に関する詳細情報(手順など)をメールでお送りします。

Profile 通知


アカウント通知


リアルタイム監視でサポートされるルール

AWS

サービス ルール
Backup Backup-001
CloudFormation CFM-001, CFM-002, CFM-004, CFM-005, CFM-006, CFM-007
CloudFront CF-002, CF-003, CF-004, CF-005, CF-006, CF-007, CF-008, CF-009, CF-011
CloudTrail CT-013
Config Config-005
DynamoDB DynamoDB-001, DynamoDB-003, DynamoDB-004, DynamoDB-005
EC2 EC2-001, EC2-002, EC2-003, EC2-004, EC2-005, EC2-006, EC2-007, EC2-008, EC2-014, EC2-015, EC2-016, EC2-017, EC2-020, EC2-021, EC2-022, EC2-023, EC2-024, EC2-025, EC2-026, EC2-027, EC2-028, EC2-029, EC2-030, EC2-031, EC2-032, EC2-033, EC2-034, EC2-035, EC2-036, EC2-038, EC2-039, EC2-040, EC2-041, EC2-042, EC2-043, EC2-044, EC2-045, EC2-046, EC2-047, EC2-053, EC2-055, EC2-056, EC2-058, EC2-059, EC2-061, EC2-063, EC2-064, EC2-065, EC2-066, EC2-069, EC2-070, EC2-071, EC2-072, EC2-073, EC2-074, EC2-075
ECS ECS-001
ELB ELB-001, ELB-002, ELB-003, ELB-004, ELB-005, ELB-006, ELB-007, ELB-008, ELB-009, ELB-010, ELB-011, ELB-012, ELB-013, ELB-014, ELB-015, ELB-016, ELB-017, ELB-018, ELB-021, ELB-022
GuardDuty GD-003
IAM IAM-001, IAM-002, IAM-003, IAM-004, IAM-005, IAM-006, IAM-007, IAM-008, IAM-009, IAM-010, IAM-011, IAM-012, IAM-013, IAM-016, IAM-017, IAM-018, IAM-019, IAM-020, IAM-021, IAM-022, IAM-024, IAM-025, IAM-026, IAM-027, IAM-028, IAM-029, IAM-033, IAM-038, IAM-044, IAM-045, IAM-049, IAM-050, IAM-051, IAM-052, IAM-053, IAM-054, IAM-056, IAM-057, IAM-058, IAM-059, IAM-060, IAM-062, IAM-064, IAM-069, IAM-071, RTM-001, RTM-002, RTM-003, RTM-005, RTM-008, RTM-010
KMS KMS-007
Lambda Lambda-001, Lambda-002, Lambda-003, Lambda-004, Lambda-005, Lambda-006, Lambda-007, Lambda-009
Macie Macie-002
Miscellaneous Misc-001, RTM-011
Organizations Organizations-003
RDS RDS-001, RDS-002, RDS-003, RDS-004, RDS-005, RDS-006, RDS-007, RDS-008, RDS-009, RDS-010, RDS-011, RDS-012, RDS-013, RDS-019, RDS-022, RDS-023, RDS-025, RDS-026, RDS-030, RDS-031, RDS-032, RDS-033, RDS-034, RDS-035, RDS-036, RDS-037, RDS-038, RDS-039, RDS-040, RDS-041, RDS-042
Route53 Route53-009
Route53Domains Route53Domains-001
S3 S3-001, S3-002, S3-003, S3-004, S3-005, S3-006, S3-007, S3-008, S3-009, S3-010, S3-011, S3-012, S3-013, S3-014, S3-015, S3-016, S3-017, S3-018, S3-019, S3-020, S3-021, S3-022, S3-023, S3-024, S3-025, S3-026, S3-028
SecurityHub SecurityHub-001
SSM SSM-003
VPC VPC-001, VPC-004, VPC-005, VPC-006, VPC-010, VPC-011, VPC-012, VPC-013, VPC-014, VPC-015, VPC-016, RTM-009

Azure

サービス ルール
Network Network-014
Policy Policy-001
SecurityCenter SecurityCenter-026, SecurityCenter-027
Sql Sql-016

Conformity

サービス ルール
ユーザサインイン RTM-004, RTM-006

よくある質問

  1. Conformity Webインタフェースで、ルールが「New」または「Updated」としてマークされています。どういう意味ですか?
    アップデートされたルールと新しいルールは、リリース後10日間は「アップデート済み」および「新規」としてマークされます。アップデートには、ルールの動作の変更、バグ修正、改善、新しい設定、初期設定の変更、初期設定のリスクレベルの変更などが含まれます。
  2. 拒否リストに登録されたリージョンのルールでAssumeRole処理がFailureをトリガするのはなぜですか?
    前回のセッションでブラウザがリージョンを取得する場合があります。ユーザの最後の処理がus east 1だったとします。ユーザが次回にログインしたとき、ユーザが通常はeu west 1にログインしていても、コンソールログインがus east 1になることがあります。
  3. 静的WebサイトホスティングオプションがオンになっているS3バケットを確認するルールはありますか?静的なWebサイトホスティングを有効にした状態で バケット を作成しましたが、違反がトリガされませんでした。
    次のリンクを参照してください: Webサイト設定が有効なS3バケット
  4. AWS Inspector Findingsのリスクレベルは、 Conformityでどのように計算されますか?
    AWS Inspector Findings のリスクレベルは次のように計算されます。
    Inspector.severity = High; Conformity リスクレベル= HIGH
    Inspector.severity = Medium; Conformity リスクレベル= MEDIUM
    Inspector.severity = Low; Conformity リスクレベル= LOW
    それ以外の場合、 Conformity リスクレベル= LOW
  5. ConformityによるGuardDutyの検出結果のリスクレベルの計算方法
    GuardDuty Findings のリスクレベルは次のように計算されます。
    GuardDuty.level >=7.0; Conformity リスクレベル= HIGH
    GuardDuty.level>=4.0&GuardDuty.level<= 6.9; Conformity リスクレベル= MEDIUM
    それ以外の場合、 Conformity リスクレベル= LOW
  6. ConformityによるMacieアラートのリスクレベルの計算方法
    Macieアラートのリスクレベルは次のように計算されます。
    Macie.severity = Critical; Conformity リスクレベル= EXTREME
    Macie.severity = High; Conformity リスクレベル= HIGH
    Macie.severity = Medium; Cloud Conformity リスクレベル= MEDIUM
    Macie.severity = Low; Cloud Conformity リスクレベル= LOW
    Macie.severity = Informational; Cloud Conformity リスクレベル= LOW
  7. 信頼するアカウントを複数追加する処理は、非常に時間がかかります。より良い方法はありますか?
    複数の信頼済みアカウントを追加する場合は、 Conformity APIを使用できます。信頼するアカウントは、クロスアカウントルールの一部です。例 https://www.cloudconformity.com/knowledge-base/aws/SQS/sqs-cross-account-access.html アップデートルール設定エンドポイントを使用できます。https://github.com/cloudconformity/documentation-api/blob/master/Accounts.md#update-rule-setting
  8. 最近有効期限が切れたACM証明書に関する問題が発生しました。 Conformity には、有効期限までの7日間(ACM-002)、30日間(ACM-003)、および45日間(ACM-004)のルールがあることがわかっています。しかし、ダッシュボードにアクセスしてACMサービスでフィルタすると、ACM-004しか表示されません。Cloud Conformity アカウントがすべてのACM証明書の有効期限ルールをチェックしているかどうかを確認したいだけです。チェックされている場合、ACMでフィルタしたときに表示されない理由を説明してください。
    ACM 証明書更新ルールの1つのみ-重複を避けるために、2,3,4で任意の時点で Check を生成します。
    a. ACM-002 証明書の有効期限は7日以内です
    b. ACM-003 証明書の有効期限は7〜30日です
    c. ACM-004 証明書の有効期限は30〜45日です

    ACM-002、ACM-003、ACM-004から1つのCheck outを常に生成するのは、重複を回避して信頼性の高い適合スコアを作成するためです。
    ACM-002はリスク高
    ACM-003のリスクは中
    ACM-004のリスクは低い
    45〜30日でリスクの低いチェックを受け取ります。 30〜7日でリスクチェックが中程度。最終的には、7日から有効期限までの間にリスクの高いチェックが実行されます。
  9. CloudTrailがS3にログ記録するように設定されているかどうかを検出するルールはありますか?
    はい。CloudTrail有効化ルール は、CloudTrailがS3にログ記録するように設定されているかどうかを検出します。トレイルの設定にはS3BucketNameが必要です。
  10. 許可リストに登録されていないユーザからのログオンを確認することはできますか
    サインインイベント ルールは、IAMおよびフェデレーションユーザのサインインイベントをチェックします。また、 ユーザが承認済みの国からAWSにサインイン ルールでは、承認されていない国のユーザ認証セッションが検出されます。
  11. RDSスナップショットが公開されているかどうかを検出することはできますか?
    はい。Amazon RDS Public Snapshots ルールがパブリックRDSスナップショットを検出します。
  12. EC2インスタンスからcloudwatchログをエクスポートしてアラートを生成できますか?
    Conformity は CloudWatch ログにアクセスできないため、アラートを生成できません。