ポスチャの検索とセキュリティイベント

CloudGuard Engine は、検出されたポスチャおよびセキュリティイベントをEvents メニューの下のページに表示します。Posture Findings ページには、コンプライアンスエンジン、Image Assurance、サーバレス、Kubernetes イメージスキャンが検出したイベントのテーブルがリアルタイムで表示されます。Threat & Security Events ページには、Intelligence、Admission Control、Kubernetes Runtime Protection、およびその他の結果に関する同様のテーブルが表示されます。

All では、すべてのセキュリティイベントのサマリテーブルを見つけることができます。このページからドリルダウンして、イベントの詳細を確認したり、イベントの注釈を追加したり、修復アクションのために特定のユーザに割り当てることができます。

環境、イベントタイプ、エンティティタイプ、ルールセット、およびその他のパラメータに従って、対象の特定のイベントのビューを検索およびフィルタリングできます。

利点

  • すべてのプラットフォーム、環境、およびエンティティにわたるエンタープライズビュー

  • 別のページのシステムメッセージビュー

  • Organizational Unit、environment、platform、source などを検索またはフィルタビューでカスタマイズできます。

  • テーブルメニューから操作可能(確認応答、修復または除外の設定)

  • CloudGuard の参照先エンティティへの直接リンク

ユースケース

  • エンタープライズセキュリティマネージャーの場合: セキュリティポスチャーの高レベルサマリと、組織全体のセキュリティに関する重要な測定基準

  • セキュリティエンジニアの場合:

    • 特定の環境のセキュリティポスチャーとセキュリティ結果の主要なメトリックの高レベルサマリ

    • 関連する環境のセキュリティ結果をレビューし、修復を適用する機能

CloudGuardの出来事

サマリビューEvents > All に表示されるイベントは、次のソースから生成されます。

  • ルールセットのルールのコンプライアンス違反

  • インテリジェンス

  • Serverless Runtime Protection

  • Kubernetes アドミッションコントロール

  • コンテナとレジストリのImage Assurance

  • コンテナのランタイム保護など

このページには、Events メニューのSystem Events ページに表示される、アカウントサインインや設定の問題などの通常のシステムイベントやアカウントイベントは表示されません。

イベントの設定

Compliance Engine、Intelligence、およびその他のソースからのアラートをEvents(イベント)ページに表示するように設定する必要があります。この場合、これらのイベントに対して通知 を設定します。これはポリシーごとに個別に行う必要があるため、どのルールセットとどの環境でイベントを生成するかを制御できます。すべてのルールセットおよび環境からアラートを受信するには、各ポリシーでこれを設定します。

通知設定ウィンドウで、Include in the alerts console オプションを選択していることを確認します。

アラートコンソール

アラートコンソールには、保護された環境内のすべての結果が表示されます。リストには多数の結果を含めることができるため、検索条件とフィルタ条件に適合する限り、下にスクロールして新しい結果を表示することができます。

アラートコンソール要素

項目

説明

1

Filter and Search領域

2

アクションメニュー

3

グループ化バー

4

Findingsテーブル

アラートコンソールを配置して、関連する結果を最も便利な方法で表示するオプションが多数あります。テーブルごとに、CloudGuard は特定のテーブルで行った変更を自動的に保存します。

フィルタと検索の領域

ページの上部にあるフィルタバーを見つけることができます。このバーには:

  • 定義済みのフィルター

  • フリーテキストフィルタ

  • タイムフレームフィルタ

  • アクションボタン: Clear All and Saved Filters

事前定義されたフィルタを使用すると、OU、重大度、環境、およびその他のパラメータに従ってイベントを表示するか、除外および確認済みの結果を表示または非表示にするかを選択できます。定義済みのフィルタを追加するには、Add Filter をクリックし、リストから必要な数のフィルタを選択します。選択したフィルタが「検索」フィールドに表示され、それに応じてテーブルが自動的に更新されます。

フリーテキストフィルタを使用すると、テキストを入力してフィルタとして使用できます。入力したテキストは、すぐに現在のテーブルに適用されます。

タイムフレームフィルタを使用すると、作成時間に応じて結果を表示できます。定義済みの期間のいずれかを選択するか、Custom をクリックしてカスタム日付範囲を選択できます。

アクションメニュー

結果を選択すると、この結果に関連するアクションが使用可能になります。すべての結果について、すべてのアクションが利用できるわけではありません。

以下のアクションにメニューを使用します。

  • 結果の除外を作成する

  • 所見を認める、または認めることができない

  • 発見に対して修復を作成する

  • 追加の操作のためにCloudGuardユーザに行動を割り当てる

  • イベントの重大度を変更する

  • イベントにコメントを追加する

  • アラートを閉じる

  • 発見に関する報告事項

  • テーブルのデフォルト設定を復元する

  • エクスポートイベント

アクションの詳細については、Actions の以下のステップを参照してください。

所見表

行のチェックボックスをクリックすると、1つ以上の結果を選択できます。テーブルヘッダーのチェックボックスをクリックすると、表示されるすべての結果(1000 エントリに制限) を選択できます。

必要に応じてテーブルのカラムを整理し、次のパラメータを調整します。

  • Visibility - テーブルに表示するカラムを選択するには、右側のCustomize をクリックします。

  • Position - カラムの場所を変更するには、カラムヘッダーをクリックし、目的の場所にドラッグします。

  • Width - カラムの幅を変更するには、ヘッダーの右の区切り線を目的の方向にドラッグします。最も長いカラム値で幅を調整するには、右の区切り文字をダブルクリックします。

  • Sorting - デフォルト、昇順を切り替えるには または降順 エントリの順序で、カラムヘッダをクリックします。

テーブルのデフォルト設定を復元するには、アクションメニューでReset Columns をクリックします。

グループアレンジメント

グループ化領域では、同一のパラメータを使用して結果をまとめることができるため、同じグループタイトルの下のテーブルに表示されます。

所見を以下のように整理します。

  • 深刻度

  • 作成時刻

  • 環境

  • ソースなど

結果をグループ化するには、関連するカラムヘッダーをグループ化バーにドラッグアンドドロップします。

選択したヘッダーがグループ化バーに表示されますが、すべての結果は関連するグループによって整理されます。

各グループ名の左にある矢印をクリックして、グループを展開し、その内容を確認します。もう一度矢印をクリックして、グループを折りたたみます。

複数のカラムヘッダーをグループ化バーにドラッグすると、複数のグループレベルを作成できます。

次の表は、重大度、カテゴリ、および環境に応じて、3 つのグループ化レベルで構成されています。

最初のレベルは、重大度によってグループに分割されます。このレベルでグループを開くと、そのコンテンツは2 番目のレベルパラメータCategory でグループに分割されます。2 番目のレベルでグループを開くと、3 番目のレベルのパラメータ(環境) がそのコンテンツに適用されることがわかります。

最後のグループを開くと、このレベルのすべての結果が表示されます。

特定のパラメータによるグループ化をキャンセルするには、グループ化バーのヘッダーの横にあるX をクリックします。

エンティティカード

テーブル内の検索結果をクリックして、検索の詳細を含むEntity Card を開きます。カードの右上隅にあるX アイコンをクリックしてカードを閉じ、結果テーブルに戻ります。

カードには次のタブがあります。

  • Overview

  • エンティティビューア

  • オカレンス(該当する場合)

Overview

Overview ヘッダーには、結果の概要が表示されます。

  • Severity 該当する規則またはユースケースで定義されている

  • Date 作成の

  • イベントタイプ(アイコンとして)

  • オカレンス番号(アイコンとして)

  • Alert type それを検出するソースエンジンによって

  • Title 該当するルールまたはユースケースの。

  • Ruleset 関連するルールまたはユースケースを含む

  • Assignee - 所見を処理するために割り当てられたユーザ、例えば修復を設定する

  • Category -所見群

Overview メインパートには、結果に関する詳細が追加されます。含まれるもの:

  • Title コンプライアンスエンジンの検出、インテリジェンス、またはアドミッションコントロールイベントに失敗したルールへのリンク

  • Ruleset

  • ルールまたはユースケース description

  • Remediation - 実行可能な推奨アクションを確認することができます。

  • Last occurrence -同じイベントを複数回ブロックすることができ、アラートが初めて表示されるだけで、最後のオカレンスはルールがまったく同じイベントによって違反された最後の時刻を反映します。

  • GSL expression - GSL の詳細については、ガバナンス仕様言語(GSL) を参照してください。

- 実際の規則は、通常、GSL コードが示すよりも複雑です。一部のルールタイトルは、GSL 式によって暗示されるものとは異なります。

右側のセクションには、ルールが失敗したエンティティ、そのリンク、エンティティタイプ、環境(アカウント、クラスタ)、リージョン、およびOUが表示されます。

エンティティビューア

タブ名はエンティティの名前です。これには、保護対象アセットの設定に関する情報が含まれます。メニューボタンを使用して、このビューをカスタマイズします。

エンティティは、次の場合にN/A (使用不可) ステータスを持つことができます。

  • リソース作成イベントがブロックされ、エンティティを環境で作成することはできません。

  • リソース作成違反を検出しました。リソースは環境に作成できますが、イベントはCloudGuardバックエンドで保護されたアセットアップデートより先に表示できます。エンティティリンクがアラートに表示されるまで最大5 分かかる場合があります。

発生回数

脅威イベントとセキュリティイベントについては、イベント発生の詳細を別のタブに表示できます。

ルールが結果を検出するたびに、CloudGuard はこの結果を別のオカレンスとして登録します。CloudGuardは、同じ環境、エンティティ、および行動(同じGSLコード)を持つ結果を集約します。同じセキュリティイベント内のすべてのオカレンスをグループ化する時間間隔は30 分です。5 分ごとに、CloudGuard は過去30 分間のトラフィックを確認し、それに応じて警告します。CloudGuard は以前に表示されたオカレンスを除外できないため、同じイベントの複数のオカレンスが連続したタイムインターバルで重複する可能性があります。

Investigate をクリックしてトラフィックエクスプローラ でイベントログを開き、イベントのタイムフレームで選択したエンティティの実際のログ情報を確認します。より明確な表示にするには、ソースヘッダーと宛先ヘッダーをグループ化バーにドラッグします。

関連ログが保持期間を過ぎた場合、ログ調査は利用できません。

アクション

結果から除外を作成して、それに似た追加の結果を除外することができます。特定のルールセット、ルール、およびエンティティを除外することも、ルールセット内のすべてのエンティティ、すべてのアカウント、またはルールセット内のすべてのルールを対象とするように除外を拡大することもできます。

このアクションは、一度に複数の検索結果に適用することはできません。

  1. テーブル内の検索結果を選択します。

  2. メニューからExclude を選択します。

  3. Create New Exclusion ウィンドウでは、特定のルールセット、ルール、環境、およびエンティティが選択され、この特定の組み合わせのみが除外されます。

    除外を拡大し、すべてのルール、環境、またはエンティティをカバーするには、これらの選択肢のいずれかをクリアします。

  4. 除外を区別するためのコメントを追加します。コメントフィールドは必須です。

  5. Save をクリックして除外を作成します。

    除外アイコン エンティティカードのOverview ヘッダーに表示されます。

  6. 除外は、ポスチャー管理メニューの除外ページで管理できます。

- ルールセットのクローンを作成し、それを使用して評価を実行すると、元のルールセットとクローン作成されたルールセットに重複する結果が表示されます。重複する結果を非表示にする除外を作成します。

検索結果を確認して、それを既読としてマークすることができます。結果をクローズしたり、解決されたことを示したりするわけではありません。

  1. テーブルで1 つ以上の結果を選択します。

  2. メニューからAcknowledge を選択します。

  3. Acknowledge Finding ボックスで、必要に応じて、承認の理由を含むコメントを追加します。

    これらのコメントは、検索結果を表示できるすべてのユーザに表示されます。

  4. Acknowledgeをクリックします。確認アイコン エンティティカードのOverview ヘッダーに表示されます。

    また、コメントは、エンティティカードのコメントセクションに、作成した日付、時刻、ユーザの情報とともに表示されます。

結果の基礎となるルールに関連付ける修復を作成できます。これらの修正は、結果の原因となった問題を修正するためにクラウドリソースに適用されます。 CloudGuard Cloudbots は、使用できる救済策のサンプルです。

このアクションは、一度に複数の検索結果に適用することはできません。

  1. テーブル内の検索結果を選択します。

  2. メニューからSet up a Remediation を選択します。

  3. 修正の詳細を完了し( を参照)、SAVE をクリックします。

  4. 修復アイコン エンティティカードのOverview ヘッダーに表示されます。

結果をCloudGuardユーザに割り当てて、修復処置などのさらなるステップを実行できます。

この属性は、ユーザの権限に応じて、「イベント」ページで検索結果を表示できるユーザに表示されます。結果のリストをフィルタリングするために使用できます。

結果を割り当てるには:

  1. テーブルで1 つ以上の結果を選択します。

  2. メニューからAssign を選択します。

  3. Assign user リストからユーザメールアドレスを選択します。指定できるのは、CloudGuardアカウントのすべてのユーザです。

  4. Saveをクリックします。

結果の割り当てを削除するには:

  1. テーブルで1 つ以上の結果を選択します。

  2. メニューからAssign を選択します。

  3. Assign user リストから、Unassigned を選択します。これにより、割り当てられたすべてのユーザから割り当てが削除されます。

  4. Saveをクリックします。

リストから検索結果の重大度レベルを設定できます。

  • クリティカル

  • 情報

重大度レベルの詳細については、重大度レベルを参照してください。

この属性は、ユーザの権限に応じて、「イベント」ページで検索結果を表示できるユーザに表示されます。結果のリストをフィルタリングするために使用できます。

  1. テーブルで1 つ以上の結果を選択します。

  2. メニューからChange Severity を選択します。

  3. リストから検索結果の新しい重大度を選択します。最初は、それを発見したルールの重大度です。

  4. Saveをクリックします。

検索結果にテキストコメントを追加できます。このコメントは、ユーザの権限に応じて、「イベント」ページで検索結果を表示できるユーザに表示されます。

  1. テーブルで1 つ以上の結果を選択します。

  2. メニューからAdd Comment を選択します。

  3. 「コメント」フィールドにテキストを入力します。

  4. Add をクリックしてコメントを保存します。

ステップを繰り返して、複数のコメントを検索結果に追加できます。

コンプライアンス、外部結果、Qualys ソースではないソースによって検出されたアラートを閉じることができます。このアクションは、エラスティック検索からアラートを削除します。削除されたアラートは、今後は復元できません。

  1. テーブルで1 つ以上の結果を選択します。

  2. メニューからClose Alert を選択します。

  3. Close Alert をクリックしてアクションを確認します。

アラートパラメータのいずれかに同意しない場合、または誤っているとみなされる場合は、アラートをレポートし、理由を指定できます。

  1. テーブルで1 つ以上の結果を選択します。

  2. メニューからReport an Issue を選択してアラートを報告します。

  3. リストから理由を選択します。

    1. 偽陽性

    2. 重大度が違う

    3. 修復問題

    4. 間違った情報

    5. その他

  4. 必要に応じて、コメントを追加して詳細を指定できます。

  5. Reportをクリックします。

選択した結果をCSV ファイルにエクスポートできます。「イベント」ページでは、すべての結果またはフィルタされたビューに表示された結果をエクスポートできます。

結果テーブルで時間間隔を選択し、ビューをフィルタリングしてエクスポートする結果を表示します(または、このステップをスキップして時間間隔のすべての結果を表示します)。

  1. 右上のExport をクリックします。

  2. レポートファイルの受信方法を選択します。CloudGuardポータルまたはメールメッセージから直接ダウンロードします。

    1. CSV Report - Download を押して、コンピュータに保存します。

      - テーブルに10,000 を超えるエントリが含まれている場合は、このファイルをダウンロードできません。エントリ数を減らすには、フィルタを適用します。

    2. CSV Report - Email をクリックすると、ダウンロードリンクが電子メールで受信されます。受信したメッセージの指示に従い、電子メールアドレスを入力します。

フィルタバーのフィルタ操作ボタンを使用して、検索条件を保存またはクリアします。

現在適用されているすべてのフィルタを保存できます。保存されたフィルタは、パブリックまたはプライベートの2 つのグループに保存されます。

  1. フィルタ領域で、Saved Filters をクリックします。

  2. フィルタ名を入力します。

  3. フィルタを他のユーザに表示する場合はPublic を選択します。それ以外の場合は、フィルタはプライベートで、ユーザのみに表示されます。

  4. Saveをクリックします。。

  5. フィルタを使用するには、Saved Filters をクリックしてリストから選択します。

適用されたすべてのフィルタをクリアするには、フィルタ領域でClear All をクリックします。