プレビュー版で公開になったCloud One Cloud Sentryを試してみた (検証編)

プレビュー版で公開になったCloud One Cloud Sentryを試してみた (検証編)

#Cloud One
Toda Tomohiro

Toda Tomohiro

facebook logohatena logotwitter logo
Clock Icon2023.01.19

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コンサル部@大阪オフィスのTodaです。

前年の暮れにCloud Oneのサービス内に新しくCloud Sentryがプレビュー版で公開をされまして、導入を試しております。今回はどのようにマルウェアが検出・表示されるかを確認してみます。
現時点では公式ドキュメントも少ない状態のため手探りで検証をしています。

■ 前回の導入記事

プレビューの注意事項

  • 当サービスは2022年12月8日時点でプレビュー版であり、機能が制限されています。
  • 今後変更される予定があるため、ご注意ください。
  • Cloud Oneはトライアル版アカウント登録し、30日無償にてトライアルでテストしています。
  • ドキュメントや情報が公開されていない箇所は、予測で「思われます、考えています」という形で記載しています。

Cloud Sentryについて

Cloud Sentryは中のアプリケーションやリソースに影響を与えることなく、環境内のマルウェア監視とEC2のホストで疑わしい変更操作がないかを監視します。
マルウェアのスキャンは下記リソースが対象になります。

  • EBS
    • EC2 Linux インスタンスにアタッチされたボリューム
  • Lambda
    • .zip ファイルアーカイブにてデプロイされた関数
    • ライブラリ内のファイル
  • ECR
    • プライベート ECR リポジトリにあるイメージ
    • 最新のタグが付けられた画像
    • tar形式の画像

検証で把握出来たこと

・Cloud Sentryは1日1回のスキャン
Cloud Sentryは深夜0時以降に1回リソースのスキャンを実施いたします。
時間の変更はドキュメントがないのですが、Amazon EventBridgeにタスクが定義されていることから手動変更で調整は出来そうです。

・Cloud Sentryの処理はスキャン検出のみ
Cloud Sentryの処理はスキャンによる検出のみとなります。
実際のマルウェアや変更監視の対策が必要な場合は、Workload Security等のサービスをご利用頂く必要がございます。

・エージェント等の導入が必要がない
Workload Securityを利用頂く場合、対象リソースへのエージェント導入が必要でしたが、 Cloud Sentryのマルウェアならびに変更検出をする場合はエージェントの導入は必要ございません。

・スキャン時にリソースへの負荷がない
ドキュメントを確認したところEBSのスキャンはスナップショットを利用していると表記されています。そのためスキャン時にEBS本体への負荷はございません。

マルウェアと変更操作の検出テストをしてみる

Cloud SentryではEBS, Lambda, ECRに配置されたファイル内からマルウェアを探し通知をおこないます。
今回は、EBS, Lambdaに擬似ウイルス(EICARテストファイル)を配置しての検証とEBSの変更監視を試しています。

■ EICARテストファイル - Wikipedia
https://ja.wikipedia.org/wiki/EICAR%E3%83%86%E3%82%B9%E3%83%88%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB

EICARテストファイルを埋め込みして、1日経過させたところ下記のように2点のマルウェア検出がおこなわれていることを確認しました。

マルウェアの検出

あわせてEBSの変更監視も実施されています。

変更の検出

EBSのマルウェア検出について

EBSの検出内容をチェックしたところInfo欄には対象のリソースとマルウェアが配置されているディレクトリなど対応に必要な情報が掲載されていることがわかります。

EBSのマルウェア検出について1

Remediate欄には対応方法が記載されているのですが、Cloud Sentryは検出のみのため、実際の対応は同社サービスのWorkload Securityを導入して不正プログラム対策で対応するか、手動による修正が促されるようになっています。

EBSのマルウェア検出について2

Lambdaのマルウェア検出について

Lambdaのマルウェア検出の場合のInfo欄も合わせて確認しましたが、EBSと同じで対応に必要な情報が掲載されていることがわかります。

Lambdaのマルウェア検出について1

Remediate欄には対応方法が記載されているのですが、Lambdaの場合はマルウェア混入の前バージョンに戻すか、手動による削除が表示されていることがわかります。

Lambdaのマルウェア検出について2

EBSの変更監視について

EBSの変更監視はカーネル格納されている「/boot」、ライブラリが格納されている「/usr」など決まったディレクトリのみの検出になるようです。
現時点では、変更監視をするディレクトリ設定の画面がないため、トレンドマイクロ社で決めたディレクトリのみ検出になるようです。

EBSの変更監視について

Remediate欄にはWorkload Securityを導入して変更監視で対応するという表記になっています。

さいごに

今回は Cloud One Cloud Sentryの検証をいろいろしてみました。
当サービスはプレビュー版で今後も機能拡張や変更があると考えます。
Cloud Sentryは導入されたAWS環境のEBS,Lambda,ECRのリソースをスキャン検出することから、 まずは全体にCloud Sentryを使って定期的なスキャンをおこない、重要視されるリソースについてはWorkload Security、Container Securityを導入して細かく保護をする流れになるのではと考えています。
また、Cloud Sentryのアップデートがあった場合は追加でご紹介できたらと考えております。
少しでもお客様の参考になればと考えております。

Share this article

facebook logohatena logotwitter logo

関連記事

Trend Vision One Endpoint Security(Server & Workload Protection)にCloud One Workload Securityのポリシーを複製してみた

Trend Vision One Endpoint Security(Server & Workload Protection)にCloud One Workload Securityのポリシーを複製してみた

User avatar
shima
2024.11.14
การติดตั้ง Trend Cloud One Workload Security ใน EC2 Instance บน AWS

การติดตั้ง Trend Cloud One Workload Security ใน EC2 Instance บน AWS

การสร้างบัญชี Trend Cloud One และเชื่อมต่อกับ AWS

การสร้างบัญชี Trend Cloud One และเชื่อมต่อกับ AWS

Cloud One Workload SecurityのアラートをSlackへ通知してみた

Cloud One Workload SecurityのアラートをSlackへ通知してみた

User avatar
shima
2024.08.08
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.