VisionOneのエージェントレスの脆弱性と脅威の検出を試してみた(プレビュー版)
こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?Vision Oneにはたくさんの機能があり、現在も次々と新機能が増えています。今回は「エージェントレスの脆弱性と脅威の検出」について、試していきます。
エージェントレスの脆弱性と脅威の検出とは
EC2にアタッチされたEBSと、latestタグが付与されたECRのイメージを検査し、悪用される可能性の高いCVEを特定します。構成としては以下のようになっており、SnapshotにスキャンをかけるようなところはAmazon Inspectorのエージェントレス脆弱性評価に似ていますね。
※画像引用元:https://docs.trendmicro.com/en-us/documentation/article/trend-vision-one-agentlessvulnerabili
試してみた
機能の有効化
AWSアカウントと連携するときに機能を有効にします。連携方法の詳細は以下の記事をご参照ください。
連携時に有効化する具体的な箇所はこちらになります。
スキャン結果を確認してみた
今回はテスト用に脆弱性を含んだECRイメージや、EC2を作成しておきましたので、そちらのスキャン結果を確認していきます。
Trend Vision Oneコンソールで「ATTACK SURFACE RISK MANAGEMENT」→「Operations Dashboard」へアクセスします。「今すぐ設定」から、「Attack Surface Risk ManagementにCreditsを割り当て」を有効にし、「送信」ボタンを押下します。
※環境に応じたCreditsが必要です。
表示される画面から「脆弱性」をクリックし、下へ画面スクロールします。
「コンテナ」タブではlatestタグが付与されたECRのイメージスキャン結果が表示されています。
「クラウド仮想マシン」タブでは、EC2にアタッチされたEBSのスキャン結果が表示されています。
最後に
今回はVision Oneのエージェントレスの脆弱性と脅威の検出について試してみました。単純に脆弱性スキャンだけがしたいのであれば、Amazon Inspectorエージェントレス脆弱性評価や、ECRの脆弱性スキャン機能で実現できますが、XDRの観点でVision Oneで一元的に監視できるのはうれしいですよね。
本記事がどなたかのお役に立てれば幸いです。