この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、コンサル部@大阪オフィスのTodaです。
先日Cloud Oneのサービス内に新しくCloud Sentryがプレビュー版で公開されました。
現時点では公式ドキュメントも少ない状態のため手探りではありますが操作方法を試してみたいと思います。
プレビューの注意事項
- 当サービスは2022年12月8日時点でプレビュー版であり、機能が制限されています。
- 今後変更される予定があるため、ご注意ください。
- Cloud Oneはトライアル版アカウント登録し、30日無償にてトライアルでテストしています。
- マニュアルが公開されていない箇所は、予測で「~思われます」という形で記載しています。
Cloud Sentryについて
Cloud SentryはAWS環境内で動作しているアプリケーションやリソースに影響を与えることなく、環境内のマルウェア監視とEC2のホストで疑わしい変更操作がないかを監視する機能を提供します。
マルウェアのスキャンは下記リソースが対象になります。
- EBS
- EC2 Linux インスタンスにアタッチされたボリューム
- ECR
- プライベート ECR リポジトリにあるイメージ
- 最新のタグが付けられたイメージ
- tar形式のイメージ
- Lambda
- .zip ファイルアーカイブにてデプロイされた関数
現状は、一部機能が公開される状態のため今後監視出来る範囲が広がると思われます。
スキャン結果はCloud One Centralで閲覧することが可能です。
■ Cloud Sentry Documentation - Trend Micro Cloud One
https://cloudone.trendmicro.com/docs/cloud-sentry/
導入してみる
ダッシュボード
CloudOneにログインをおこないダッシュボードを表示します。
画面上部の[Cloud Sentryの利用開始]をクリックします。
サービスについての説明が表示されますので画面下の[AWSアカウントの接続]をクリックします。
AWSアカウントの接続
接続の設定画面ではStep1~3までの操作をおこないます。
Step1にて対象リージョンにCloudFormationにリソース作成をおこない、生成されるIAMロールのARNをStep2に記載する流れになりますので順番に設定します。
リージョン指定をおこない画面下の[スタックの起動]をクリックしてAWSのコンソール画面に移動します。
コンソール画面ではパラメータは入力された状態になっているため画面下のIAM作成に関する承認をおこない[スタックの作成]をおこないます。
スタックを作成すると別のスタックが3点追加で作成されます。
全てのステータスがCREATE_COMPLETEになるとCloud-One-Cloud-Account-Managementのスタックにある[出力]タブに作成されたIAMロールのARNが表示されるためコピーします。
CloudOneの画面に戻りARNの項目に値を設定して[接続]をクリックします。
※ Cfnの生成は10分前後かかります、途中CloudOneがログアウトする場合がございますが再度ログインをしてAWSアカウントの接続画面に戻れば継続して操作が可能です。
接続の完了
AWSアカウントとの接続が正常に終了するとconnected successfullyの画面が表示されますので確認後、画面下の[Continue to Cloud One Central]をクリックします。
Cloud One Centralの画面が表示されます。
Cloud One Centralの画面を見てみる
Cloud One CentralはCloud Sentryにてスキャンしたマルウェアや変更監視の結果を一覧表示する機能と思われます。
現状はスキャンに引っかかっていないため結果表示がどのようになるかは未確認でございます。
追加調査で確認いたします。
リソースの一覧に移動するとAWS内に作成されている物が一覧で表示されます。
表示されるリソースは下記で、東京リージョン以外の別リージョンのものも表示されます。
リソースのリンクをクリックするとAWSマネージメントコンソールに移動して対象リソースの詳細画面が表示されます。
さいごに
今回は Cloud One Cloud Sentryの導入方法を試してみました。
次回は EC2やLambda関数に検証用のマルウェアを仕込んでどのような結果が表示されるか確認してみたいと思います。
少しでもお客様の参考になればと考えております。
2
