Trend Vision Oneの不審オブジェクト機能について
2024.10.29こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?Trend Vision Oneでは、環境全体のリスクを可視化するために様々な箇所にセンサを配置します。不審オブジェクトを登録することで、それらのセンサが不審オブジェクトに関連するアクションをログに残したり、ブロックしたりすることが可能になります。
今回は、そんなVision Oneの機能である「Suspicious Object Management」について触れていこうと思います。
構成
今回は下図のような構成で試していきます。BastionサーバにはVision One Endpoint Security(Server & Workload Protection)のエージェントがインストールされており、Endpoint Sensorが有効になっています。
実際のケースではこんなことはないと思いますが、検証ということで内部のサーバを不審オブジェクトとして登録してみます。
不審オブジェクトを見つけたときにできるアクション
冒頭に記載した通り、各センサがログに残したりブロックしたりすることを実現しますが、センサの種類によって認識できる不審オブジェクトやアクションが異なります。
今回はWindowsサーバから「Endpoint Sensorエージェント」を使った検証になるため、「ファイルSHA-1」、「ファイルSHA-256」、「IPアドレス」に対して、ログに残すかブロックすることができます。
試してみた
まず、不審オブジェクトとして登録する前にBastionサーバからWebサーバへアクセスしてみます。
pingもサイトへのアクセスも問題なく可能な状態です。
次に不審オブジェクトの登録を行います。Trend Vision Oneコンソールの左ペインから「Threat Intelligence」→「Suspicious Object Management」をクリックし、「+追加」ボタンを押下します。
方法は「IPアドレス」とし、WebサーバのIPアドレスを設定します。処理はわかりやすいように「ブロック/隔離」とし、「送信」ボタンを押下します。
センサに設定が反映されるまで少し待ち、再度アクセスを試みます。正常にアクセスできなくなっていることが確認できました。
最後に
今回は、Suspicious Object Managementについて記事にしました。
本記事がどなたかのお役に立てれば幸いです。
