Vision One File Security Virtual Appliance を使ってみた
2024.09.19こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?先日、Vision One File SecurityにVirtual Appliance(以降FSVA)が追加されました。FSVAは、NFSでマウントできるところに対して不正プログラムのリアルタイムスキャンをしてくれる機能です。
画像引用元
現在はNFS v3にしか対応しておらず、EFSには未対応のようなので、EC2でNFSサーバを構築し、そのファイルをスキャンしてみようと思います。
設定方法
今回は以下のような構成を作成します。
NFSサーバは既にある前提で、そこに機能を追加していきます。
1.Service Gatewayを構築する
以下の記事を参考にService Gatewayを構築します。
以下公式ドキュメントにも記載がありますが、FSVA専用のService Gatewayを用意することが推奨されているため、今回はそれに従い専用のService Gatewayを構築します。
2.FSVAの有効化
Trend Vision Oneコンソールで「Workflow and Automation」→「Service Gateway Management」へアクセスし、先程構築したService Gatewayをクリックします。
「サービスを管理」ボタンを押下します。
「File Security Virtual Appliance」のボタンを押下し、機能を有効化します。
時間経過でステータスが正常に遷移します。その後、右側の歯車アイコンをクリックします。
「マウントポイントを追加」ボタンを押下し、「NFSサーバIP」と「NFSサーバーフォルダパス」を設定し、「検索中」は有効にして、「追加」ボタンを押下します。
試してみた
いつものEicarテストファイルと、無害なテキストファイルの2種類用意し、それぞれを先ほど設定したNFSサーバーフォルダパスに配置してみました。他のFile Securityシリーズと同様に不正プログラムを検出しても、ファイル自体へのアクションは特にないみたいなので、自分で実装する必要がありそうです。
[root@ip-10-0-123-123 ~]# ll /nfstest/
total 8
-rw-r--r--. 1 root root 68 Sep 19 03:03 eicar.com
-rw-r--r--. 1 root root 5 Sep 19 03:02 test.txt
続いて、Trend Vision Oneコンソールでスキャン結果を確認していきます。「CLOUD SECURITY」→「File Security」へアクセスし、「スキャンアクティビティ」から「Virtual Appliance」を選択します。不正プログラムが正常に検出されています。
画面下部に対象ファイル名や不正プログラム名が表示されています。
最後に
今回はFSVAを使ってみました。EFSで利用できるようになると活躍シーンが増えそうなので期待して待っています。
本記事がどなたかのお役に立てれば幸いです。
