Trend Vision One File Securityでマルウェアスキャンをしてみた(プレビュー版)

こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか？Trend Vision Oneには様々な機能があり、日々のアップデートにより各機能の更新や、更なる機能の追加がされています。今回は、プレビュー版として公開されていたTrend Vision One File Security(以降V1FS)に触れていきたいと思います。

Trend Vision One File Securityとは

SDKやCLIで実装することで、アプリケーションやスクリプトの任意のタイミングでマルウェアスキャンを実行できます。また、スキャン結果に応じて対処することで、問題発生を防ぐことができます。

試してみた

パブリックサブネットに配置したEC2内にV1FSを実装し、マルウェアスキャンを実施してみます。

1. ツールの導入

各種SDKやCLIが選択できますが、今回は簡単に導入できるCLIで実施しています。以下のページ内「File Security CLI のインストール」セクションに記載のURLより、環境に合わせたモジュールをダウンロード＆解凍をします。

[ec2-user@ip-10-0-9-48 ~]$ curl -O https://tmfs-cli.fs-sdk-ue1.xdr.trendmicro.com/tmfs-cli/latest/tmfs-cli_Linux_x86_64.tar.gz
[ec2-user@ip-10-0-9-48 ~]$ tar -zxvf tmfs-cli_Linux_x86_64.tar.gz

解凍後の実行ファイル「tmfs」は任意のディレクトリへ移動します。今回は「/home/ec2-user/tm/tmfs」として移動しました。

2. ロールの作成とAPIキーの取得

Trend Vision Oneコンソールへログインし、左ペインから「Administration」→「User Roles」を選択し、「役割の追加」をクリックします。

表示される画面から任意の役割名を入力し、権限タブで「Cloud Security Operations」→「File Security」→「Run file scan via SDK」にチェックを付け、保存ボタンを押下します。

次にAPIキーを取得するために左ペインから「Administration」→「API Keys」を選択します。表示された画面から「APIキーを追加」を選択します。

任意の名前、役割、有効期限を設定し、追加ボタンを押下します。
※役割は先ほど作成したものを指定します。

表示されたAPIキーをコピーしておきます。

3. EC2の環境変数設定

「1. ツールの導入」で解凍したファイル「tmfs」のPATHを追加と、「2. ロールの作成とAPIキーの取得」で取得したAPIキーを「TMFS_API_KEY」として環境変数を設定します。

export TMFS_API_KEY=*************
export PATH="/home/ec2-user/tm:$PATH"
(以下略)

「.bash_profile」を書き換えたので、再読み込みを行います。

[ec2-user@ip-10-0-9-48 ~]$ source .bash_profile

4. マルウェアスキャンを試してみる

早速マルウェアスキャンを実行してみます。対象ファイルは、いつものEicarテストファイルと、何の変哲もないテキストファイルの2種類用意しました。まずはeicar.zipに対して、マルウェアスキャンを実行します。

[ec2-user@ip-10-0-9-48 ~]$ tmfs scan --region ap-northeast-1 file:/home/ec2-user/test.txt --tag "owner=shimatest" --tag "stack=dev" | jq
{
  "scannerVersion": "1.0.0-675",
  "schemaVersion": "1.0.0",
  "scanResult": 1,
  "scanId": "76539957-423a-492f-a251-867a41426ae0",
  "scanTimestamp": "2024-01-11T02:43:44.983Z",
  "fileName": "/home/ec2-user/eicar.zip",
  "foundMalwares": [
    {
      "fileName": "eicar/eicar.com",
      "malwareName": "Eicar_test_file"
    }
  ],
  "fileSHA1": "4815f053ac2279dfcdb23e1f2c93c3ee17e81d7b",
  "fileSHA256": "1841c6b8f7bced635a6a24cd7fd913b6f64ffb4e6e60300182b2199b10dbe2cd"
}

scanResultが1になっており、マルウェアとして判定されました。マルウェアと判定されたファイルに対して、V1FSで隔離等の処理は実行されないので、隔離や削除が必要な場合はスキャン結果から個別に対応する必要がありそうです。
続いて、テキストファイルに対して、マルウェアスキャンを実行します。

[ec2-user@ip-10-0-9-48 ~]$ tmfs scan --region ap-northeast-1 file:/home/ec2-user/test.txt --tag "owner=shimatest" --tag "stack=dev" | jq
{
  "scannerVersion": "1.0.0-675",
  "schemaVersion": "1.0.0",
  "scanResult": 0,
  "scanId": "7edac7e9-10a0-4323-8a21-8e2babcb4b1c",
  "scanTimestamp": "2024-01-11T02:44:20.798Z",
  "fileName": "/home/ec2-user/test.txt",
  "foundMalwares": [],
  "fileSHA1": "3672151d9bcd72059c69ebe01536a28f3ade22ea",
  "fileSHA256": "abed3e99c9f08c22a51989881d624beb7eb8b593e61dfb5d3435de5247acb76d"
}

scanResultが0であるため、マルウェアではないと判定されました。

V1FSによるスキャン結果はTrend Vision Oneコンソールで確認することも可能なので、確認してみます。Trend Vision Oneコンソールへログインし、左ペインから「Cloud Security Operations」→「File Security」を選択します。
スキャン件数や、検知されたマルウェアの情報を確認することができました。

最後に

今回はV1FSを使ってマルウェアスキャンをしてみました。プレビュー版ということで、まだ不明な箇所が多いですが、利用料金(クレジット)や名前が似ている「Cloud One File Storage Security」との関連性等が気になるところですね。今後のアップデートに期待です。

本記事がどなたかのお役に立てれば幸いです。