内容 
TrendAI Vision One™™ – Cloud Risk Managementはどのようなルールをサポートしていますか?
TrendAI Vision One™™は、AWS™、Microsoft® Azure、Alibaba Cloud、Google Cloud™環境向けの1100以上のクラウドインフラストラクチャ構成ベストプラクティスの拡大する公開ライブラリも備えています。
Cloud Risk Managementのルールは、セキュリティとガバナンスのベストプラクティスの6つのカテゴリーを網羅しています。
-
コスト最適化
-
運用の優秀度
-
信頼性
-
パフォーマンス効率
-
サステナビリティ
ルールは、クラウドアカウントのサービス、リソース、それらの設定および構成に対して実行されます。
ルールを実行する頻度はどのくらいですか?
どのルールが実行されますか?
Cloud Risk Managementナレッジベースを参照して、Cloud Risk Managementでサポートされているすべてのルールを確認してください。
- [Is there any rule that looks for open access to all ports?] ルール: EC2-001 (セキュリティグループポート範囲)は、すべてのポートを含む開いているポートの範囲をチェックします。
- [Are all the rules in AWS Config included?] AWS Configのルールは、
config:DescribeConfigRulesAPIを通じて利用可能になり次第、すべてサポートします
新しいアカウント
アカウントが初めてCloud Risk Managementに追加されると、コンプライアンス検索によってアカウントに対して一連のデフォルトルールが実行されます。
ルール設定
ルールは、組織の状況やガバナンスのニーズにより適した形で設定できます。一部のルールは実行前に設定が必要であり、すべてのルールには重大度の調整や有効化/無効化を含む設定オプションがあります。
ルール設定を参照してください。
ルール設定
一般的なルール設定 (新しいルールの動作やルールの構成など) はCloud Accountsレベルで管理できます。
ルールの構造
Cloud Risk ManagementルールはAWS (または他のクラウドプロバイダ) やCloud Risk Managementサービスに対して実行されます。例えば、Guard Duty、CloudTrail、Cloud Risk Managementです。サービスの完全なリストはナレッジベースで確認できます。
Cloud Risk Managementは、サービスおよびそのルールに属するサービスリソースに対して、各ルールのチェックを実行します。チェックは[失敗]または[succeed]することができ、Cloud Risk Managementの多数の報告ツールによって記録されます。
[メモ]: 新しいルールまたは更新されたルールは、リリース後10日間適切にマークされます。
要約を確認
異なるチェックステータスの数を提供します。各ステータスの詳細については、モデル: チェックを参照してください。
スコアなし
一部のルールはCloud Risk Managementによって文書化されていますが、クラウドインフラストラクチャに適用できないか、クラウドプロバイダによって提供されるデータの制限のためにテストできません。テストできないルールは[Not Scored]として識別されます。詳細についてはモデルチェックを参照してください。
非推奨ルール
Cloud Risk Managementによって削除対象としてマークされたルールは[Deprecated Rules]として識別されます。
Why are rules marked for deprecation?
将来削除される予定の[Deprecated Rule]が特定されました。これは、関連する推奨事項がもはや有効でないか、別の推奨事項に取って代わられたか、または別のルール推奨事項に組み込まれたためです。
How do I know a rule is deprecated?
ルールタイトルと関連する[サポートウェブ]ページは、ルールが廃止されているかどうかを反映します。廃止予定のルールが設定されている場合、警告メッセージがアカウントの[ルール設定]および[プロファイル設定]に表示されます。
What should I do if I have configured deprecated rules in an account?
[Deprecated Rules]はデフォルト設定のままにしておく必要があります。これは、後でルールが削除された際にアカウントの混乱を避けるために重要です。
[Account Rule Settings]で非推奨のルールが設定されている場合、ダッシュボードから編集するには:
手順
- アカウントをクリックし、[設定]、[ルール設定]に移動して[ルール設定を更新]をクリックしてください
- 問題のルールを検索して[設定]をクリックしてください
- ルール設定ウィンドウで、[初期設定にリセット]をクリックしてください
次のステップ
What should I do if I have configured deprecated rules in a Profile?
[プロファイル]で非推奨のルールが設定されている場合、ダッシュボードから編集するには:
-
[プロファイル]をクリックしてください
-
違反ルールを検索する
-
[リセット]ボタンをクリックして、ルール設定を削除します
-
ルール設定を削除してもよろしいか確認されたら、[はい、削除します]をクリックしてください
他に[プロファイル] JSONファイルが保存されている場合は、廃止されたルールに接続されているすべての構成を削除し、通常の[プロファイル]更新プロセスに従ってください。
Rule Removal
ルールがしばらくの間非推奨になった後、システムからルールを完全に削除します。中断がないようにするため、ルールをデフォルトの状態にしておくことを忘れないでください。
リアルタイムモニタリングでサポートされているルール
AWS
|
サービス
|
ルール
|
|
バックアップ
|
バックアップ-001
|
|
CloudFormation
|
CFM-001, CFM-002, CFM-004, CFM-005, CFM-006, CFM-007
|
|
CloudFront
|
CF-002, CF-003, CF-004, CF-005, CF-006, CF-007, CF-008, CF-009, CF-011
|
|
CloudTrail
|
CT-013
|
|
Config
|
Config-005
|
|
DynamoDB
|
DynamoDB-001, DynamoDB-003, DynamoDB-004, DynamoDB-005
|
|
EC2
|
EC2-001、EC2-002、EC2-003、EC2-004、EC2-005、EC2-006、EC2-007、EC2-008、EC2-014、EC2-015、EC2-016、EC2-017、EC2-020、EC2-021、EC2-022、EC2-023、EC2-024、EC2-025、EC2-026、EC2-027、EC2-028、EC2-029、EC2-030、EC2-031、EC2-032、EC2-033、EC2-034、EC2-035、EC2-036、EC2-038、EC2-039、EC2-040、EC2-041、EC2-042、EC2-043、EC2-044、EC2-045、EC2-046、EC2-047、EC2-055、EC2-056、EC2-058、EC2-059、EC2-061、EC2-063、EC2-064、EC2-065、EC2-066、EC2-069、EC2-070、EC2-071、EC2-072、EC2-073、EC2-074、EC2-075
|
|
ECS
|
ECS-001
|
|
ELB
|
ELB-001、ELB-002、ELB-003、ELB-004、ELB-005、ELB-006、ELB-007、ELB-008、ELB-009、ELB-010、ELB-011、ELB-012、ELB-015、ELB-016、ELB-017、ELB-018、ELB-021、ELB-022
|
|
GuardDuty
|
GD-003
|
|
IAM
|
IAM-001、IAM-002、IAM-003、IAM-004、IAM-005、IAM-006、IAM-007、IAM-008、IAM-009、IAM-010、IAM-011、IAM-012、IAM-013、IAM-016、IAM-017、IAM-018、IAM-019、IAM-020、IAM-021、IAM-022、IAM-024、IAM-025、IAM-026、IAM-027、IAM-028、IAM-029、IAM-033、IAM-038、IAM-044、IAM-045、IAM-049、IAM-050、IAM-051、IAM-052、IAM-053、IAM-054、IAM-056、IAM-057、IAM-058、IAM-059、IAM-060、IAM-062、IAM-064、IAM-069、IAM-071、RTPM-001、RTPM-002、RTPM-003、RTPM-005、RTPM-008、RTPM-010
|
|
KMS
|
KMS-007
|
|
ラムダ
|
Lambda-001、Lambda-002、Lambda-003、Lambda-004、Lambda-005、Lambda-006、Lambda-007、Lambda-009
|
|
Macie
|
Macie-002
|
|
その他
|
その他-001、RTPM-011
|
|
Organizations
|
組織-003
|
|
RDS
|
RDS-001、RDS-002、RDS-003、RDS-004、RDS-005、RDS-006、RDS-007、RDS-008、RDS-009、RDS-010、RDS-011、RDS-012、RDS-013、RDS-019、RDS-022、RDS-023、RDS-025、RDS-026、RDS-030、RDS-031、RDS-032、RDS-033、RDS-034、RDS-035、RDS-036、RDS-037、RDS-038、RDS-039、RDS-040、RDS-041、RDS-042
|
|
Route53
|
Route53-009
|
|
Route53Domains
|
Route53Domains-001
|
|
S3
|
S3-001、S3-002、S3-003、S3-004、S3-005、S3-006、S3-007、S3-008、S3-009、S3-010、S3-011、S3-012、S3-013、S3-014、S3-015、S3-016、S3-017、S3-018、S3-019、S3-020、S3-021、S3-022、S3-023、S3-024、S3-025、S3-026、S3-028
|
|
SecurityHub
|
SecurityHub-001
|
|
SSM
|
SSM-003
|
|
VPC
|
VPC-001, VPC-004, VPC-005, VPC-006, VPC-010, VPC-011, VPC-013, VPC-014, VPC-015, VPC-016,
RTPM-009
|
Azure
|
サービス
|
ルール
|
|
ネットワーク
|
ネットワーク-014
|
|
ポリシー
|
ポリシー-001
|
|
SecurityCenter
|
セキュリティセンター-026、セキュリティセンター-027
|
|
Sql
|
Sql-016
|
| AKS | AKS-003、AKS-004、AKS-005、AKS-007 |
GCP
|
サービス
|
ルール
|
|
CloudIAM
|
CloudIAM-014
|
|
CloudKMS
|
CloudKMS-003
|
|
クラウドストレージ
|
クラウドストレージ-004
|
|
ComputeEngine
|
ComputeEngine-012
|
|
CloudSQL
|
CloudSQL-029
|
|
CloudDNS
|
CloudDNS-004
|
|
CloudLoadBalancing
|
クラウドロードバランシング-003
|
|
GKE
|
GKE-003, GKE-001, GKE-004, GKE-005, GKE-006, GKE-007, GKE-008, GKE-009, GKE-010, GKE-011,
GKE-012, GKE-013, GKE-014, GKE-015, GKE-016, GKE-017, GKE-018, GKE-019, GKE-020, GKE-021,
GKE-022, GKE-023, GKE-024
|
|
リソースマネージャー
|
リソースマネージャー-004
|
|
CloudPubSub
|
CloudPubSub-001
|
Cloud Risk Management
|
サービス
|
ルール
|
|
ユーザサインイン
|
RTPM-004, RTPM-006
|
よくある質問
手順
- **ルールはCloud Risk Managementウェブインターフェース上で新規または更新済みとしてマークされています。それは何を意味しますか?**更新されたルールと新しいルールは、リリース後10日間更新済みと新規としてマークされます。更新には、ルールの動作変更、バグ修正、改善、新しい設定、デフォルト設定の変更、デフォルトのリスクレベルの変更などが含まれます。
- **[Why does an AssumeRole action trigger a failure for our blacklisted region rule?]**時々、ブラウザが前回のセッションからリージョンを取得することがあります。例えば、ユーザの最後の操作がus east 1だった場合、次回ユーザがログインすると、通常はeu west 1にログインする場合でも、コンソールログインがus east 1になることがあります。
- [Is there a rule to check for S3 buckets with static website hosting option turned on? I created a bucket with static website hosting turned on, and it didn't trigger any] **違反。**リンクを参照してください: ウェブサイト構成が有効なS3 Buckets
- [How are the AWS Inspector Findings risk levels calculated?]AWS Inspectorの所見のリスクレベルは次のように計算されます:Inspector.severity = 高; Cloud Risk Managementリスクレベル = 高Inspector.severity = 中; Cloud Risk Managementリスクレベル = 中Inspector.severity = 低; Cloud Risk Managementリスクレベル = 低それ以外の場合Cloud Risk Managementリスクレベル = 低
- [How are the GuardDuty Findings risk levels calculated?]GuardDuty Findingsのリスクレベルは次のように計算されます:GuardDuty.level >=7.0; Cloud Risk Managementリスクレベル = HIGHGuardDuty.level >=4.0 & GuardDuty.level <=6.9; Cloud Risk Managementリスクレベル = MEDIUMそれ以外の場合Cloud Risk Managementリスクレベル = 低
- **Macie AlertsのリスクレベルはCloud Risk Managementによってどのように計算されますか?**Macie Alertsのリスクレベルは次のように計算されます:Macie.severity = 重大; Cloud Risk Managementリスクレベル = 極端Macie.severity = 高; Cloud Risk Managementリスクレベル = 高Macie.severity = 中; Cloud Risk Managementリスクレベル = 中Macie.severity = 低; Cloud Risk Managementリスクレベル = 低Macie.severity = 情報提供; Cloud Risk Managementリスクレベル = 低
- **複数の信頼できるアカウントを追加するのは非常に時間がかかるプロセスです。より良い方法はありますか?**複数の信頼できるアカウントを追加する場合、Cloud Risk ManagementAPIを使用することができます。信頼できるアカウントはクロスアカウントルールの一部です。
- **最近、ACM証明書の有効期限切れに関する問題が発生しています。私の理解では、Cloud Risk Managementには有効期限の7日前 (ACM-002)、30日前 (ACM-003)、45日前 (ACM-004) のルールがあります。しかし、ダッシュボードにアクセスしてACMサービスでフィルタリングすると、ACM-004しか表示されません。Cloud Risk ManagementアカウントがすべてのACM証明書の有効期限ルールをチェックしているかどうか確認したいと思います。チェックされている場合、ACMでフィルタリングした際にそれらが表示されない理由を説明していただけますか。**ACM証明書更新ルールのうち、2、3、4のいずれか1つのみが、重複を避けるために任意の時点でチェックを生成します。a. ACM-002証明書は7日以内に有効期限が切れますb. ACM-003証明書は7日から30日の間に有効期限が切れますc. ACM-004証明書は30日から45日の間に有効期限が切れますACM-002、ACM-003、ACM-004のうち、任意の時点で1つのチェックを生成する理由は、重複を避けて信頼性のあるスコアを作成するためです:ACM-002は高リスクACM-003は中リスクACM-004は低リスク45日から30日の間は低リスクのチェックを受け取り、30日から7日の間は中リスクのチェックを受け取り、最終的に7日から有効期限までの間に高リスクのチェックを受け取ります。
- **CloudTrailがS3にログを記録するように設定されているかどうかを検出するルールはありますか?**はい。CloudTrail Enabledルールは、CloudTrailがS3にログを記録するように設定されているかどうかを検出します。トレイルを設定するには、S3BucketNameが必要です。
- [Is it possible to check for log ons from users that aren’t whitelisted]サインインイベントルールは、IAMおよびフェデレーテッドユーザのサインインイベントをチェックします。また、ユーザが承認された国からAWSにサインインしましたルールは、承認されていない国からのユーザ認証セッションを検出します。
- **RDSスナップショットが公開されているかどうかを検出することは可能ですか?**はい。Amazon RDS Public Snapshotsルールは、公開されているRDSスナップショットを検出します。
- **EC2インスタンスからCloudWatch Logsをエクスポートしてアラートを生成できますか?**Cloud Risk ManagementはCloudWatch Logsへのアクセス権がないため、EC2インスタンスからアラートを生成することはできません。
- [Does RTPM-004 and RTPM-006 run for Trend users?] ルール; RTPM-004 (Cloud Risk Management ユーザが多要素認証なしでサインイン) と RTPM-006 (ユーザが承認された国からCloud Risk Managementにサインイン) は、Standalone Cloud Risk Management のみで実行され、TrendAI Vision One™ ユーザには実行されません。