Trend Vision One Endpoint Security(Server & Workload Protection)で不正プログラムを検出させてみた
こんにちは、シマです。
皆さんはTrend Vision One Endpoint Security(Server & Workload Protection)(以降V1ES)を使用していますか?先日エージェントの導入についての記事を書きました。
エージェントの導入だけではV1ESの機能を正しく使うことはできないため、今回はその続きとして、不正プログラムを検出させるための設定を追加していきます。
前提条件
- Vision Oneのアカウント発行
- AWSとの連携
- 前述の記事のエージェント導入
設定
1.ポリシーの作成
V1ESでは不正プログラムの有効無効や詳細設定はポリシーとして設定グループを作成し、それをコンピュータへ適用することで設定を反映させます。また、別のポリシーを継承元ポリシーとして作成することで、設定の大枠は継承元ポリシーと同一の設定とし、一部だけ変更するようなこともできます。
今回は、一例として継承元ポリシーを1つ、それを継承したポリシーを1つの計2つのポリシーを作成していきます。
Trend Vision Oneコンソールの左ペインの「Endpoint Security Operations」→「Server & Workload Protection」を開きます。
「ポリシー」タブから、「新規」→「新規ポリシー」をクリックします。
任意の名前を入力します。今回は最初からポリシーの設定をしたいので、継承元は「なし」にして「次へ」をクリックします。
予期せぬポリシー適用をさけるため、こちらでは「いいえ」を選択します。
不正プログラム対策を「オン」とし、「完了」を選択します。
※不正プログラム対策以外の設定については本記事では割愛します。
「閉じる」を選択します。
表示される詳細画面の不正プログラム対策で、各初期設定のチェックボックスをはずして、以下の設定をします。
- リアルタイム検索
- 不正プログラム検索設定:Default Real-Time Scan Configuration
- スケジュール:Every Day All Day
- 手動検索
- 不正プログラム検索設定:Default Manual Scan Configuration
- 予約検索
- 不正プログラム検索設定:Default Scheduled Scan Configuration
設定後は「保存」をクリックし、「閉じる」で画面を閉じます。
- 不正プログラム検索設定:Default Scheduled Scan Configuration
再度「ポリシー」タブから、「新規」→「新規ポリシー」をクリックします。
任意の名前を入力します。先ほど作ったポリシーを継承元に設定し、「次へ」をクリックします。
「いいえ」を選択します。
今回はそのまま「完了」をクリックし、次の画面で「閉じる」を選択します。
2.予約タスクの設定
リアルタイム検索とは別に、毎日決まった時間に不正プログラムを検索するように予約タスクを設定します。
「管理」タブから「予約タスク」をクリックし、「新規」をクリックします。
種類は「コンピュータの不正プログラムを検索」を選択し、スケジュールは「日単位」のまま「次へ」をクリックします。
スケジュールの詳細では任意の値に設定します。今回は、深夜1時に実行されるように設定しました。
対象のコンピュータは「すべてのコンピュータ」のまま、「次へ」をクリックします。
「タスクを有効化」にチェックが入っていることを確認し、「完了」をクリックします。
3.ポリシーの割り当て
従来のCloudOne Workload Securityでは、エージェントインストール用スクリプト発行時に適用ポリシーの選択ができましたが、V1ESではその機能がなくなっています。
今回は一旦手動でポリシーの割り当てを行います。
「コンピュータ」タブから対象コンピュータを右クリックし、「処理」→「ポリシーの割り当て」をクリックします。
「1.ポリシーの作成」で作成した2つ目のポリシーを選択し、「OK」ボタンをクリックします。少し待つと、不正プログラム機能がオンになります。
動作確認
対象EC2インスタンス内にEICAR テストファイルを作成してみました。ファイルが隔離され、V1ESの画面を見るとイベントとして検知されていました。
最後に
今回はEndpoint Security(Server & Workload Protection)で不正プログラムを検出させるための設定を追加してみました。
本記事がどなたかのお役に立てれば幸いです。