アラーム通知メール受信時のアクション

アラーム発生時にメールが送信されます。イベントログを確認し、意図したアクティビティによるアラームであるかを確認します。

以下は「3.1 許可されていないAPIコール」アラーム発生時のメールサンプルです。

メール件名: [insightwatch]CIS 3.1 許可されていないAPIコールが発生しました

許可されていないAPIコールが発生しました。
許可されていないAPIコールをリアルタイムでモニタリングすることで、アプリケーションエラー、悪意のあるアクティビティ検出を早めることができます。
許可されていないAPIコールがあるユーザー、アクセスキー、またはIAMロールを確認してください。

詳細はCloudWatch Logsロググループの「イベントの検索」よりご確認ください。
イベントが発生したリージョンは、ログの「awsRegion」よりご確認いただけます。

・アカウントID：<AWS AccountID>
・発生日時(JST)：<YYYY/MM/DD HH:MM:SS>
・対象ロググループ：https://console.aws.amazon.com/cloudwatch/home?region=<AWS Region>#logStream:group=<CloudWatch Logs Log Group Name>
・イベント検索文字列：{ ($.errorCode = "*UnauthorizedOperation") || ($.errorCode = "AccessDenied*") }

1. 「対象ロググループ」のリンクよりCloudWatch Logsロググループの画面にアクセスします。

2. 「イベントの検索」をクリック、「イベント検索文字列」を「イベントのフィルター」に入力して検索します。

3. 対象のイベントを特定し、イベントログ詳細より意図したアクティビティか確認します。なお、表示されるタイムゾーンについては「カスタム」より変更可能です。