ビュー:

[クラウドのセキュリティ状態]のサポートに関するよくある質問への回答を示します。

関連情報

Cloud Risk Management FAQs

GCPのエージェントレスによる脆弱性と脅威の検出に関連するルールの失敗をどのように管理しますか?

エージェントレスによる脆弱性と脅威の検出 (AVTD) for GCP機能は、クラウド構成のベストプラクティスを満たすために、セキュリティおよびパフォーマンスを含む徹底的なテストが行われました。以下のルールの結果はトレンドマイクロチームによってレビューされ、安全に無視することができます。
  1. CloudVPC-006: すべてのVPCネットワークでCloud DNSログ記録が有効になっていることを確認してください: AVTDはVPCネットワークを安全に展開します。監視にはCloud DNSログ記録は必要ありません。
  2. CloudVPC-003: VPCサブネットのVPCフローログを有効にする: AVTDはVPCサブネットネットワークを安全に展開します。監視にはVPCフローログは必要ありません。
  3. CloudStorage-005: バケットウェブサイト構成のインデックスページサフィックスとエラーページを定義します: クラウドストレージは、ウェブサイト構成が適用されないウェブサイトホスティングを目的としていません。
  4. CloudStorage-003:バケットロックで保持ポリシーを構成する: AVTDはクラウドストレージの保持ポリシーを設定します。ポリシーを調整する柔軟性を持たせるためにバケットロック機能を強制しません。
次に行うことは?
クラウドアカウントのコンプライアンスに影響を与えるルールCloudVPC-003の失敗を防ぐために、上記のルールからAVTDリソースを除外し、リソースIDを使用してリソースをルールから除外するルール除外を作成できます。
CloudVPC-003: 失敗した結果で報告されたリソースIDを使用してルールの除外を作成します。
CloudStorage-005CloudStorage-003: ルールの除外を作成するには、trend-micro-product::avtdタグを使用します。
または、除外プロファイルを作成して適用することもできます。
  1. プロファイルを作成
  2. 新しいプロファイルをルール例外で構成する
  3. 影響を受けるアカウントにルール変更を適用する
  4. プロファイルを影響を受けるアカウントとマージして、ルールの除外を適用します。
    1. プロファイル設定をマージして優先順位を付ける
    2. 既存のアカウント設定を統合して優先順位を付ける
除外はルールCloudVPC-006ではサポートされていないため、クラウドアカウントのコンプライアンススコアに影響を与えないようにするために、恒久的なルール抑制を適用することをお勧めします。

Agentless Vulnerabilityおよび脅威の検出に関連する潜在的なルールの失敗は何ですか?

新しい[Guided Exclusions]機能は、デフォルトで自動的に有効になり、AVTDリソースを除外して、クラウドアカウントのコンプライアンスおよびリスクスコアに影響を与える障害を防ぎます。除外の無効化を含む詳細については、環境設定の管理を参照してください。
除外されたリソースの潜在的なルールの発見
以下の潜在的なルールの発見はトレンドマイクロチームによってレビューされました。これらのリソースのコンテキストを考慮すると、これらの発見は適用されず、安全に無視することができます。
新しいガイド付き除外機能は、デフォルトで自動的に有効になり、AVTDリソースを除外し、クラウドアカウントのコンプライアンスおよびリスクスコアに影響を与える障害を防ぎます。除外の無効化を含む詳細については、設定の管理を参照してください。
除外されたリソースの潜在的なルール検出
次の潜在的なルールの発見はトレンドマイクロチームによってレビューされました。これらのリソースのコンテキストを考慮すると、これらの発見は該当せず、安全に無視できます。
  1. Lambda-009: 環境変数の保存時暗号化を顧客管理キーで有効化: AVTDリソースはデフォルトキーで安全に暗号化されています。さらに、環境変数には秘密情報が含まれていないため、顧客管理キーを使用した追加の暗号化は必要ありません。
  2. SecretsManager-001: KMSカスタマーマスターキーで暗号化されたシークレット: AVTDリソースはデフォルトキーで安全に暗号化されているため、顧客管理キーを使用した追加の暗号化は必要ありません。
  3. Lambda-001: 最新のランタイム環境を使用するLambda: AVTDは、すべてのLambdaがサポートされているランタイム環境を使用し、サポート終了日がないことを保証します。すべてのサポートされているランタイム環境は、AWSから頻繁にセキュリティアップデートを受け取ります。
  4. Lambda-003: Lambdaトレースが有効: AVTDはこの機能をリリース前に徹底的にテストするため、トレースの有効化による追加の可視性は必要ありません。
  5. SecretsManager-002:シークレットのローテーションが有効 AVTDはAWSが提供するものではなく独自のシークレット機能を使用するため、AWSが提供するシークレットローテーション機能を有効にする必要はありません。
  6. SecretsManager-003: シークレットのローテーション間隔 AVTDはAWSが提供するものではなく独自のシークレット機能を使用しているため、AWSが提供するシークレットローテーション機能を有効にする必要はありません。
  7. S3-024: S3 Transfer Acceleration: AVTD機能は転送加速機能を使用しません。
  8. Lambda-006: 複数のLambda関数に対してIAMロールを使用する: AVTDは「パーミッションプレーン」と呼ばれる戦略を採用しており、同一の権限を必要とするLambda関数が単一のIAMロールを使用します。これにより、複数のリージョンにデプロイする際の効率性と管理性が確保されます。例えば、顧客のクラウドアカウントで使用されるIAMロールの数を減らすことができます
  9. Lambda-007:AWS Lambda関数のVPCアクセス: AVTDは、VPCの実装が必要なRedshift、ElastiCache、RDSなどのリソースを使用しません。
  10. CFM-001: CloudFormationスタック通知: AVTD CloudFormationスタックは既にAWSではなくV1 CAMを介して管理されています。
  11. CFM-002: CloudFormationスタックポリシー: AVTD CloudFormationスタックはすでにAWSではなくV1 CAMを介して管理されています。
  12. CFM-005:CloudFormationスタック終了保護: 環境内のスタックを管理するために、AVTDはユーザがスタックを無効化し、アカウントから削除することを許可します
  13. S3-025: 顧客提供キーCMKで暗号化されたS3バケット: AVTDはすでにS3管理キーを使用して暗号化されています。
  14. SQS-006:SQSデッドレターキュー: AVTDは、該当する場合にいくつかのSQSリソースでデッドレターキュー (DLQ) を実装します。
  15. S3-013: S3バケットMFA削除が有効: AVTD S3に保存されているオブジェクトは比較的短命であるため、誤って削除されるのを防ぐためにMFA削除保護を有効にする必要はありません
  16. S3-023: オブジェクトロック: AVTD S3に保存されているオブジェクトは比較的短命であるため、誤って削除されることを防ぐためのオブジェクトロックは必要ありません。