![[小ネタ]V1ES(SWP)のAWSアカウント連携時のスキャン領域が挙動に反映されない](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-7281d84ded2718fe0aacc70e189e88e5/60aa60421f88bc9e84ef439bd744473c/trend_micro_logo_2023.png?w=3840&fm=webp){kind=logo}
[小ネタ]V1ES(SWP)のAWSアカウント連携時のスキャン領域が挙動に反映されない
こんにちは、シマです。
今回は、TrendAI Vision One Endpoint Security(Server & Workload Protection)(以降V1ES(SWP))とAWSアカウントを連携する際に指定する「Server & Workload Protection スキャン領域」パラメータが、実際の検出挙動に反映されていないようなのでご紹介します。
事象の概要
V1ES(SWP)でAWSアカウントを連携する際、「Server & Workload Protection スキャン領域」という設定項目があります。
この設定で東京リージョン(ap-northeast-1)のみを選択してAWSアカウント連携を行いました。しかし、実際にV1ES(SWP)のコンピュータ画面を確認すると、東京リージョンだけでなく大阪リージョンのインスタンスも検出されていました。
CloudFormationテンプレートの差分
スキャン領域の指定内容がどのようにAWS側に反映されるか確認するため、「東京リージョンのみ」と「全リージョン」でそれぞれ生成されるCloudFormationテンプレートを比較しました。
2つのテンプレート間の差分は、ServerWorkloadProtectionRegionsパラメータの値のみでした。
東京リージョンのみ指定した場合
"ServerWorkloadProtectionRegions": [
"ap-northeast-1"
]
全リージョン指定した場合
"ServerWorkloadProtectionRegions": [
"af-south-1",
"ap-east-1",
"ap-east-2",
"ap-northeast-1",
"ap-northeast-2",
"ap-northeast-3",
"ap-south-1",
"ap-south-2",
"ap-southeast-1",
"ap-southeast-2",
"ap-southeast-3",
"ap-southeast-4",
"ap-southeast-5",
"ap-southeast-6",
"ap-southeast-7",
"ca-central-1",
"ca-west-1",
"eu-central-1",
"eu-central-2",
"eu-north-1",
"eu-south-1",
"eu-south-2",
"eu-west-1",
"eu-west-2",
"eu-west-3",
"il-central-1",
"me-central-1",
"me-south-1",
"mx-central-1",
"sa-east-1",
"us-east-1",
"us-east-2",
"us-west-1",
"us-west-2"
]
このように、CloudFormationテンプレートには選択したリージョンが引数として渡されています。しかし、この値に関わらず実際の検出挙動は全リージョンを対象としたものと変わりませんでした。
回避策
現時点では、スキャン領域の指定によるスキャン対象リージョンの制御はできません。ただし、V1ES(SWP)のコンピュータ画面で対象リージョンを選択することで、表示されるインスタンスを絞り込むことは可能です。
上記のように「アジアパシフィック(東京)」を選択すれば、東京リージョンのインスタンスのみが表示されます。スキャン領域の設定が修正されるまでは、この方法で対応しましょう。
まとめ
今回は、V1ES(SWP)とAWSアカウントを連携する際に指定する「Server & Workload Protection スキャン領域」パラメータが、実際の検出挙動に反映されていないことについてご紹介しました。
本記事がどなたかのお役に立てれば幸いです。
