Trend Vision One Endpoint Security(Server & Workload Protection)でリストア後にコンソールから行う設定をまとめてみた

こんにちは、シマです。
EC2インスタンスをTrend Vision One Endpoint Security(Server & Workload Protection)（以降V1ES(SWP)）で保護している環境では、AMIからのリストアやスナップショットからの復元を行った際に、いくつかの追加設定が必要になる場合があります。

AWSアカウント連携を行っていれば削除済みのインスタンスや、リストア後の新しいインスタンスは、V1ES(SWP)コンソール上で自動的に認識されます。しかし、ポリシーの割り当てや推奨設定等は場合によっては追加の設定を行う必要があります。

今回は、V1ES(SWP)で、AMIからのリストア後にコンソールから行う設定についてまとめてみました。

確認・実施すべき項目

確認・設定する項目は主に3つありますので、それぞれ確認していきます。

• ポリシーの適用確認と再割り当て
• 推奨設定の検索
• コンピュータ固有の設定

ポリシーの適用確認と割り当て

まず、コンピュータのポリシーを確認します。

Trend Vision Oneコンソールにログインし、「Endpoint Security」→「Server & Workload Protection」を開きます。「コンピュータ」タブでコンピュータのポリシーを確認します。

リストア後のEC2にポリシーが適用されていないので、既存と同じポリシーを適用します。対象コンピュータを右クリックし、「処理」→「ポリシーの割り当て」を選択します。

適用するポリシーを選択して「OK」をクリックすると、新しいポリシーが適用されます。

推奨設定の検索

変更監視、セキュリティログ監視、侵入防御機能には、コンピュータの環境を分析して最適なセキュリティルールを推奨、設定をする機能があります。リストア後は1度も推奨設定の検索がされていないため、推奨設定の検索を実行します。
※不正プログラム対策機能をメインにご利用いただいている方で上記機能をご利用されていない方は対応不要です。

「コンピュータ」タブで対象のコンピュータを右クリックし、「処理」→「推奨設定の検索」を選択します。

検索結果で推奨されたルールは、ポリシーまたはコンピュータの設定画面から確認できます。コンピュータをダブルクリックして詳細画面を開き、「侵入防御」「変更監視」「セキュリティログ監視」の各タブで推奨されたルールを確認します。下図ではセキュリティログ監視の画面を確認していますが、前回の推奨設定の検索日時が記録され、未解決の推奨設定がないと記載されていて、推奨設定の検索による設定が完了していることを示しています。

コンピュータ固有の設定

ポリシーではなく、特定のコンピュータに対してのみ行っていた設定がある場合は、リストア後に再設定が必要な場合があります。こちらはコンソール上からの確認は難しいため、設計書等を確認し再設定をしてください。

まとめ

今回は、V1ES(SWP)で、AMIからのリストア後にコンソールから行う設定についてまとめてみました。

本記事がどなたかのお役に立てれば幸いです。