Cloud One Workload Securityで推奨設定の検索と自動適用をおこないルールメンテナンスの手間を軽減してみた

2022.09.15

こんにちは、コンサル部@大阪オフィスのTodaです。

トレンドマイクロ社が提供しているCloud One Workload Securityでは定期的に侵入防御、変更監視、セキュリティログ監視のルールが追加されています。
大量のインスタンスを監視している場合または、コンソールの操作頻度が少ない場合は追加されたルールの適用操作が手間になると考えます。
今回は推奨設定をCloudOneの機能を利用して検索をおこない、自動適用する方法をご案内いたします。

Cloud One Workload Securityとは?

Cloud One Workload SecurityはDeep Securityと表現すると知っている方も多いと思いますが、Trend Microのクラウド対応のセキュリティ製品群の1つです。

EC2などのサーバのセキュリティ対策は、Workload Securityを利用いたします。
サーバ上で動くアンチマルウェア/IDS/IPS/変更監視/セキュリティログ監視/Webレピュテーションなどのセキュリティ機能を有しており、多くの脅威からサーバを保護いたします。

■ Trend Micro Cloud One™ Workload Security
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-workload-security.html

推奨設定検索・適用について

Cloud One Workload Security(以降C1WS)には決まった時間にてタスクを実行する機能がございます。
その中にある「コンピュータの推奨設定を検索」とポリシーまたはインスタンスの設定にある推奨設定の自動適用を利用する事で管理者の操作がなくてもCloudOne側が推奨するルールが自動適用されます。

推奨設定の選定はエージェントは次の項目についてOSを検索します。

  • インストール済みアプリケーション
  • Windowsレジストリ
  • オープンポート
  • ディレクトリリスト
  • ファイルシステム
  • 実行中のプロセスとサービス
  • 環境変数
  • ユーザ

検索の制限としてLinuxの場合、標準のパッケージマネージャを利用してインストールしていないソフトウェアのルールは適用対象外となります。
例) Apache Struts、Wordpress、Joomlaなど
その他にも検索の制限がございますので下記サイトの「検索の制限」を参照ください。

■ 推奨設定の検索の管理と実行
https://cloudone.trendmicro.com/docs/jp/workload-security/recommendation-scans/#Implemen

推奨設定適用の注意点

・推奨設定適用を利用すると自動的にルール適用がおこなわれる点
検証環境等で確認後に、本番環境にルール適用をする運用をされている場合はご利用いただけません。

・推奨設定適用は全ルールが自動適用できない点
ルールの中には影響力の高いルールなどもあり、自動適用の対象外となる場合がございます。
対象外のルールについては手動適用が必要になります。

・ポリシーでの自動適用はインスタンスの種別毎にポリシーを分ける必要がある点
ポリシー単位で推奨設定適用をご利用頂く場合は、適切なルールが適用されるようにWindowsやLinux、またはAPPやDB単位でポリシー設定を分けて管理する必要がございます。
今回はインスタンス単位で推奨設定が適用されるように対応いたします。

設定方法について

実際に推奨設定の自動適用をおこなってみます。
今回はインスタンス毎に推奨設定の自動適用を入れるようにいたします。
監視対象が多い場合は役割毎にポリシーを分けて頂きポリシーにて推奨設定の自動適用をいただく事も可能です。

推奨設定検索のタスク追加

推奨設定の検索はC1WSの予約タスク機能にて「コンピュータの推奨設定を検索」を定期実行しておこないます。
予約タスクの設定は下記記事を参考頂き1日1回または1週間に1回の設定を追加ください。

コンピュータの詳細設定

C1WSのコンソールにログインをおこない画面上部の[コンピュータ]をクリックします。
設定対象のコンピュータを探しダブルチェックします。

コンピュータの詳細設定

推奨設定適用の確認と設定

推奨設定の自動適用は侵入防御、変更監視、セキュリティログ監視の3点で可能です。
まず概要にて機能が利用されているかを確認します。
下記参考の場合は、3点の機能がそれぞれ利用されていていることがわかります。

推奨設定適用の確認と設定1

左メニューから侵入防御の設定を開き自動適用の状態を確認します。
自動適用が[継承 (いいえ)]または[いいえ]の場合は[はい]に変更して[保存]をクリックします。

推奨設定適用の確認と設定2

自動適用を[はい]にすることで推奨設定検索タスクで新しいルールや除外ルールが出た場合は自動的に設定変更がされるようになります。
設定は以上になります。

推奨設定適用の確認と設定3

自動適用がされないルールについて

自動適用がされないルールは「未解決の推奨設定」として表示されます。
未解決には「割り当て」「割り当て解除」の2パターンがあり表示される場合は手動での調整が必要でございます。

自動適用がされないルールについて1

手動設定をする場合は、[割り当て/割り当て解除]から操作をおこないます。

自動適用がされないルールについて2

サンプルページでは「割り当て解除」と表示されていますので条件指定の選択を「割り当て解除を推奨」を選択頂きルールの内容から解除するかの判断を頂きチェックを外すして[OK]ボタンをクリックいただく事で反映されます。

自動適用がされないルールについて3

反映後は、未解決の推奨設定がないことを確認して完了になります。

自動適用がされないルールについて4

さいごに

今回はC1WSに用意されている推奨設定検索からの自動ルール適用・解除についてご案内いたしました。
推奨設定検索の自動適用は運用の中でのアップデートされるセキュリティルールメンテナンスの手間を削減できる方法になります。
運用によってはご利用いただけない場合もございますが、適用可能な場合は手間軽減のためご活用頂けたらと思います。
少しでもお客様の参考になればと考えております。