VisionOneのServiceGatewayを構築してみた
こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?そして、Trend Vision Oneと言えば、XDRですよね?Trend Vision Oneでは、トレンドマイクロ社の各種セキュリティ製品がセンサーとなって検知したイベントや、サードパーティアプリケーションと連携して収集したイベントを分析することで、脅威の検出や状況の把握に役立てることが可能です。
Trend Vision Oneがサードパーティアプリケーションと連携するためには、Service Gatewayと呼ばれる仮想アプライアンスサーバーの構築が必要です。今回は、AWS環境においてService Gatewayを構築していこうと思います。
構成図
構成としては、とてもシンプルです。Private SubnetにService Gateway、Public SubnetにはService GatewayへSSH接続するためのBastion(EC2)と、NAT Gatewayを作成します。サードパーティアプリケーションの情報はService Gatewayを経由してVision Oneへ収集されます。
構築してみた
前提
Service Gateway以外のVPCやサブネットは構築済みとします。
Service Gatewayの起動
AWS管理コンソールへログインし、EC2の画面から「インスタンスを起動」を押下します。
AMI検索欄に「Trend Service Gateway」と入力し「AWS Marketplace AMI」タブに1つだけAMIが表示されているので、そちらを選択します。
次の画面ではどちらを選択しても良いですが、今回は「インスタンス起動時に購読」を押下しました。
インスタンスタイプは利用する機能に応じて変更します。今回はデフォルトのまま「c5.2xlarge」とします。
セキュリティグループは自動で作成されるものを利用しますが、CIDRは連携予定のサードパーティアプリケーションCIDRに絞ります。今回はVPCのCIDRを指定しました。各ポートの詳細はこちらをご確認ください。
他の設定値は環境に合わせて設定し、「インスタンスを起動」を押下します。
Service Gatewayの設定
Trend Vision Oneコンソールで「WORKFLOW AND AUTOMATION」→「Service Gateway Management」へアクセスし、「Virtual Applianceをダウンロード」をクリックします。
右ペイン最下部の「登録トークン」をコピーしておきます。
Bastion経由でService GatewayのEC2へSSH接続します。ユーザ名は「admin」で、鍵はEC2作成時に指定したものを使用します。続いて、次のコマンドを実行します。
enable register xxxxxxxx(コピーした登録トークン)
成功すると、Trend Vision Oneコンソールの「Service Gateway Management」画面に登録したService Gatewayが表示されます。アップグレードするように警告が出ているのでService Gatewayのアップグレードを行います。追加されたService Gatewayを選択します。
画面上部の「開始する」を押下し、「今すぐアップグレード」を押下します。
しばらく待つと、アップグレードが完了しバージョンが最新になります。
最後に
今回はTrend Vision Oneがサードパーティアプリケーションと連携するために必要なService Gatewayを構築してみました。次は何かと連携させるブログを書いてみようと思っています。
本記事がどなたかのお役に立てれば幸いです。