Trend Vision One Workbenchの除外設定をしてみた
2024.10.09こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?そして、Trend Vision Oneと言えば、XDRですよね?Trend Vision Oneでは、トレンドマイクロ社の各種セキュリティ製品がセンサーとなって検知したイベントや、サードパーティアプリケーションと連携して収集したイベントを分析することで、脅威の検出や状況の把握に役立てることが可能です。
以前、そのVision Oneで検知アラートの影響範囲やインシデント調査に利用できる『Workbench』について記事を書きました。
Workbenchでは、検出モデルによってトリガーされたアラートを表示することができ、それを基に調査や各種対応を行うことができます。しかし、運用の中で許容したい検出パターンやアラートがある場合、アラート通知されないように除外設定をしたくなります。
今回はWorkbenchで検出されないように検出モデルの除外設定をしていきます。
テストケース
いつものEicarテストファイルをTrend Vision One Endpoint Security(Server & Workload Protection)(以降V1ES)が導入されているEC2上で検出させています。今回はこのアラートと同じケースの通知を抑止していきます。
パターン1
パターン1では検出モデル自体を無効化します。これにより、今回のケースでいうと、Eicarテストファイル検出による通知を抑止することができます。まず、Trend Vision Oneコンソールの左ペインから「XDR Threat Investigation」→「Workbench」をクリックし、テストケースとして表示させておいたインサイトをクリックします。
画面の左ペインに表示されているモデル名である「Eicar Test File Detection」をコピーしておきます。
Trend Vision Oneコンソールの左ペインから「XDR Threat Investigation」→「Detection Model Management」をクリックし、モデル名を入力する欄に先程コピーしたモデル名を貼り付けます。
表示された検出モデルのステータスを無効にします。
この設定により、検出モデル単位で有効無効を切り替えることができます。この状態で再度テストケースを実施してみましたが、想定通りWorkbenchのインサイトは検出されませんでした。
パターン2
パターン2では、特定の条件を指定して除外設定を追加していきます。今回はエンドポイントを指定して、対象エンドポイントでのEicar Test File Detectionを除外に設定します。パターン1の時と同様にTrend Vision Oneコンソールの左ペインから「XDR Threat Investigation」→「Workbench」をクリックし、テストケースとして表示させておいたインサイトをクリックします。
左ペインのハイライトから除外の対象とするものを右クリックし「除外に追加」をクリックします。
そのまま「追加」ボタンを押下します。
この設定により、除外対象としたホスト上でEicarテストファイルを検出してもWorkbenchのインサイトには表示されなくなりました。
設定されている除外の設定は、Trend Vision Oneコンソールの左ペインから「XDR Threat Investigation」→「Detection Model Management」をクリックし、「除外」タブで確認することが可能です。
最後に
今回はWorkbenchで検出されないように検出モデルの除外の設定をしていきました。個人的には除外している対象を一覧で管理できるため、パターン2の方が良いと感じました。
本記事がどなたかのお役に立てれば幸いです。
