Trend Vision One Workbenchの除外設定をしてみた

Trend Vision One Workbenchの除外設定をしてみた

Clock Icon2024.10.09

こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?そして、Trend Vision Oneと言えば、XDRですよね?Trend Vision Oneでは、トレンドマイクロ社の各種セキュリティ製品がセンサーとなって検知したイベントや、サードパーティアプリケーションと連携して収集したイベントを分析することで、脅威の検出や状況の把握に役立てることが可能です。

以前、そのVision Oneで検知アラートの影響範囲やインシデント調査に利用できる『Workbench』について記事を書きました。
https://dev.classmethod.jp/articles/202312-v1-xdrti-workbench-01/

Workbenchでは、検出モデルによってトリガーされたアラートを表示することができ、それを基に調査や各種対応を行うことができます。しかし、運用の中で許容したい検出パターンやアラートがある場合、アラート通知されないように除外設定をしたくなります。

今回はWorkbenchで検出されないように検出モデルの除外設定をしていきます。

テストケース

いつものEicarテストファイルをTrend Vision One Endpoint Security(Server & Workload Protection)(以降V1ES)が導入されているEC2上で検出させています。今回はこのアラートと同じケースの通知を抑止していきます。
20241009shima00

パターン1

パターン1では検出モデル自体を無効化します。これにより、今回のケースでいうと、Eicarテストファイル検出による通知を抑止することができます。まず、Trend Vision Oneコンソールの左ペインから「XDR Threat Investigation」→「Workbench」をクリックし、テストケースとして表示させておいたインサイトをクリックします。
20241009shima01

画面の左ペインに表示されているモデル名である「Eicar Test File Detection」をコピーしておきます。
20241009shima02

Trend Vision Oneコンソールの左ペインから「XDR Threat Investigation」→「Detection Model Management」をクリックし、モデル名を入力する欄に先程コピーしたモデル名を貼り付けます。
20241009shima03

表示された検出モデルのステータスを無効にします。
20241009shima04

この設定により、検出モデル単位で有効無効を切り替えることができます。この状態で再度テストケースを実施してみましたが、想定通りWorkbenchのインサイトは検出されませんでした。
20241009shima05

パターン2

パターン2では、特定の条件を指定して除外設定を追加していきます。今回はエンドポイントを指定して、対象エンドポイントでのEicar Test File Detectionを除外に設定します。パターン1の時と同様にTrend Vision Oneコンソールの左ペインから「XDR Threat Investigation」→「Workbench」をクリックし、テストケースとして表示させておいたインサイトをクリックします。
20241009shima01

左ペインのハイライトから除外の対象とするものを右クリックし「除外に追加」をクリックします。
20241009shima06

そのまま「追加」ボタンを押下します。
20241009shima07

この設定により、除外対象としたホスト上でEicarテストファイルを検出してもWorkbenchのインサイトには表示されなくなりました。

設定されている除外の設定は、Trend Vision Oneコンソールの左ペインから「XDR Threat Investigation」→「Detection Model Management」をクリックし、「除外」タブで確認することが可能です。
20241009shima08

最後に

今回はWorkbenchで検出されないように検出モデルの除外の設定をしていきました。個人的には除外している対象を一覧で管理できるため、パターン2の方が良いと感じました。

本記事がどなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.