Vision OneのVPCフローログのクラウド検出を使ってみた(プレビュー版)
2024.08.29こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?現在Vision Oneでは、「AWS VPCフローログのクラウド検出機能」がプレビュー版として提供されています。この機能を有効にすることで、Vision Oneで利用できる機能のデータソースとしてVPCフローログを利用できるようになるため、単純に検知するために必要なセンサが増えるとともに、Search機能からVPCフローログのイベントを検索することもできるようになります。
今回は、機能の有効化とSearch機能からVPCフローログによるイベントを検索してみようと思います。
機能の有効化
AWSアカウントとの連携し、その中で機能の有効化を行います。まず、Trend Vision Oneコンソールの左ペインから「SERVICE MANAGEMENT」→「Cloud Accounts」をクリックし、「+アカウントを追加」ボタンを押下します。
アカウント名に任意の名前を入力し、すべての機能の中から「AWS VPCフローログのクラウド検出」を有効にします。また、デプロイメントから対象リージョンを有効にした状態に更新し、「スタックを起動」ボタンを押下します。
「スタックを起動」ボタンを押下したことにより、AWSマネージメントコンソールからAWS CloudFormationの作成画面が表示されます。パラメータによりカスタマイズできますが、今回は変更せずに、最下部のチェックボックスを2つ有効にして、「スタックの作成」ボタンを押下します。 
Trend Vision Oneコンソールの先ほどの画面に戻り、終了ボタンを押下し、時間経過で一覧に表示され接続ステータスが「接続済み」になります。
イベント検索
テスト用に以下の環境を用意し、VPCフローログはS3に格納されるようにしました。
上記環境でBastionからWebへcurlでhttpアクセスしてみたので、そのログをTrend Vision Oneコンソールで確認します。
Trend Vision Oneコンソールの左ペインから「XDR THREAT INVESTIGATION」→「Search」を選択します。
表示された画面からフィルタを設定していき、対象を絞っていきます。今回は、VPCフローログからの検出(pname IS XDR for Cloud - AWS VPC Flow Logs)であることや、送信元送信先のIPやポートでフィルタを設定しました。
上記より、想定していたイベントが正常にVision Oneに収集されていることが確認できました。
注意事項
「AWS VPCフローログのクラウド検出機能」を利用するためには、対象VPCとフローログ格納先S3バケットが同じリージョンでなくてはいけない点や、S3暗号化はAmazon S3 管理キー (SSE-S3) のみサポートされている点等、いくつかの条件があります。
詳細は以下の公式ページをご確認ください。
最後に
今回は「AWS VPCフローログのクラウド検出機能」を使ってみました。
本記事がどなたかのお役に立てれば幸いです。
