Cloud One Workload Securityのレポート機能を利用して定期的にアクティビティのレポートをメール通知してみる
こんにちは、コンサル部@大阪オフィスのTodaです。
トレンドマイクロ社が提供しているCloud One Workload Securityをご利用頂く中でどのようなアラートや処理があったか、アクティビティがあったかを定期的にまとめて確認したい場合、定期レポート機能を利用することで対応が可能になります。
今回は、定期レポート機能にてメール通知をおこなう仕組みと単独レポートの機能を試してみます。
Cloud One Workload Securityとは?
Cloud One Workload SecurityはDeep Securityと表現すると知っている方も多いと思いますが、Trend Microのクラウド対応のセキュリティ製品群の1つです。
EC2などのサーバのセキュリティ対策は、Workload Securityを利用いたします。
サーバ上で動くアンチマルウェア/IDS/IPS/変更監視/セキュリティログ監視/Webレピュテーションなどのセキュリティ機能を有しており、多くの脅威からサーバを保護いたします。
■ Trend Micro Cloud One™ Workload Security
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-workload-security.html
定期・単独レポートについて
Cloud One Workload Security(以降C1WS)にはアラートやイベント情報をまとめてレポート出力する機能がございます。
レポートはPDFまたはRTF形式にて出力が可能で、条件を指定して出力をする単独レポートと一定期間毎にメール通知をする定期レポートがご利用いただけます。
レポートの種類には下記がございます。
| レポート | 内容 |
|---|---|
| アラートレポート | 最も一般的なアラートのリスト |
| 概要レポート | 保護機能別のイベント統計 |
| 攻撃レポート | 分析アクティビティの概要表 |
| コンピュータフォレンジックス監査レポート | コンピュータ上のAgentの設定 |
| コンピュータレポート | 「コンピュータ」タブに表示される各コンピュータの概要 |
| システムイベントレポート | システムアクティビティ (セキュリティ以外) の記録 |
| セキュリティモジュールの使用状況レポート | クラウドアカウント別消費時間内訳 |
| セキュリティログ監視の詳細レポート | 収集されたログデータの詳細 |
| セキュリティログ監視レポート | 収集されたログデータの概要 |
| ファイアウォールレポート | ファイアウォールルールおよびステートフル設定アクティビティの記録 |
| ユーザおよび連絡先レポート | ユーザと連絡先の内容およびアクティビティの詳細 |
| 不審なアプリケーション活動レポート | 不審なアクティビティについての情報 |
| 不正プログラム対策レポート | 上位25台の感染コンピュータのリスト |
| 侵入防御ルールの推奨状況レポート | 侵入防御ルールの推奨設定 |
| 侵入防御レポート | 侵入防御ルールアクティビティの記録 |
| 変更監視の詳細な変更レポート | 検出された変更についての詳細 |
| 変更監視レポート | 検出された変更の概要 |
| 推奨設定の概要レポート | Workload Securityアクティビティのまとめ |
| 推奨設定レポート | 推奨設定の検索アクティビティの記録 |
| Webレピュテーションレポート | Webレピュテーションイベントの多いコンピュータのリスト |
| Agentバージョンレポート | 「コンピュータ」毎のAgentバージョン一覧 |
■ アラートやその他のアクティビティに関するレポートの生成
https://cloudone.trendmicro.com/docs/jp/workload-security/reports/
レポート確認のシナリオ
今回は、1週間毎に「概要レポート」のメール通知をおこない各保護機能別のアクティビティの確認。
前回変更監視をしたときのアクティビティがあると思いますので詳細確認のため個別レポートにて「変更監視の詳細な変更レポート」を出力します。
定期レポートの設定
定期レポートの新規設定
CloudOneにログインをおこない、C1WSのコンソール画面に移動します。
画面上部の[イベントとレポート]をクリックします。
左メニューに表示される[定期レポート]をクリックして一覧表示をおこないます。
レポートの設定
定期処理をおこなうための各設定をおこないます。
予約タスクの頻度を設定します。
今回は1週間毎に出力をおこなうため[週単位]を選択して[次へ]をクリックします。
スケジュールの指定では出力時間と曜日、間隔を指定します。
生成対象レポートの設定では出力をするレポート選択と対象コンピュータの範囲を指定します。
選択しないで表示される[タグ]はAWSのタグとは別でイベントに設定したタグでの絞り込みになるためご注意下さい。
今回はコンピュータはC1WSで監視しているコンピュータ全てにしています。
レポート出力時の通知先を指定します。
通知はCloudOneのユーザに通知する事が可能です。
対象ユーザを指定します。
レポート名の指定と有効化をチェックして画面下の[完了]をクリックします。
上記にて設定操作は完了になります。
手動によるタスク実行
実際に出力されるレポートを取得にて出力してみます。
対象の定期レポート一覧から右クリックにてサブメニューを開き[今すぐタスクを実行]ボタンを選択します。
出力はアラート件数の多さにより可変いたします。
レポート内容確認
レポートはメール通知にて配信されます。
今回は「概要レポート 過去1週間」という件名にて通知されていました。
メールのFromは「no-reply-cloudone@trendmicro.com」となっているため下記2条件でメールフィルタを作成できれば良い感じにフォルダ分け出来そうです。
- From : no-reply-cloudone@trendmicro.com
- 件名 : 「レポート」を含む文字列
概要レポートの場合は各保護機能別の件数と保護別のベスト5が出力されます。
詳細確認をする場合は、保護機能単位でのレポート出力が必要になります。
単独レポートの出力
上記概要レポートにて変更監視イベントの数値が6件となっていましたので詳細を確認するために単独レポートにて 「変更監視の詳細な変更レポート」を出力してみます。
単独レポートの画面
画面上部の[イベントとレポート]をクリックします。
左メニューに表示される[単独レポート]をクリックして一覧表示をおこないます。
単独レポートの条件指定
レポートの選択を「変更監視の詳細な変更レポート」に設定します。
期間は定期レポートと同じ期間に設定をおこない[生成]をクリックします。
レポート確認
出力されたレポートを確認したところ前回検証で利用した test-app の変更が記載されていました。
さいごに
今回はC1WSに用意されている定期レポート機能を利用してアクティビティの内容を定期にメール通知するように対応をしてみました。
定期的に会議等をおこなう場合にスケジュールに合わせてレポート出力をおこないご活用頂く事が出来ると検証していて思いました。
少しでもお客様の参考になればと考えております。
