Trend Vision One Container SecurityのContainer Protectionの内容を確認する

こんにちはカスタマーソリューション部のこーへいです！

今回は、トレンド社が最近力を入れているXDR製品のVision Oneの機能の1つであるVision One Container Security(以降V1CS)のContainer Protectionを確認し、どういった機能が提供されているのか整理したので共有します。

また今回紹介する機能はVision Oneの公式ドキュメントを参考にしています。

Vision One Container Security とは

トレンド社の提供しているXDR製品のVision Oneの機能の1つです。

CloudOneにもC1CSという機能がありましたが、ECSは対応しておらずEKSしか対応していませんでした。

V1CSになりECSにも対応するようになったことで、これからコンテナセキュリティ製品としての使用率がアップするのではないかと注目しています。2023年9月にリリースされたためまだ新しいですが積極的に触って慣れていきたいですね。

Vision Oneコンソール画面を確認する

前提としてECS環境を利用する目線で解説しています。

EKS環境だと追加で説明すべき機能(ECSは未対応の機能)もあるのですが、筆者がEKS未経験なため今回は省略します(すみません！！)。

Policies

こちらがContainer ProtectionのPoliciesページとなります(参考ドキュメント：ポリシーの作成)。

こちらのページではECSクラスター用のポリシーを作成することができます。

上記はポリシーの設定画面となっており、ECS Fargate環境ではRuntime機能の設定がメインとなります。※DeploymentとContinuous機能はEKS環境のみ利用可能です。

Runtime機能ではポリシーにRulesetと呼ばれるものをアタッチすることで具体的に監視したい内容を定義することができます。

ポリシーとルールセットとルールの関係図

また作成したポリシーはContainer Inventoryから使用したいクラスターにアタッチすることができます。

Rulesets

こちらがContainer ProtectionのRulesetsページとなります(参考ドキュメント：ランタイムセキュリティの設定)。

Rulesetsは先ほど紹介したPolicyのRuntime機能にアタッチさせるコンポーネントとなります。

ポリシーとルールセットとルールの関係図(再掲)

右下の枠がRulesets内の有効化しているRuleとなり、ランタイム監視においてはこちらのルールに沿って監視を行います。

現時点(2023年12月)では、ルールはトレンド社のマネージドルールのみで、カスタムルールの作成等の機能はないようです。

また各ルールはドキュメントに記載されている以下記述に沿っているようです。ルール内容を確認することで、どういった状況で検知を上げるのか勉強するのも良さそうですね。

現在、ランタイムセキュリティには、コンテナのMITRE ATT&CKフレームワーク戦術とコンテナドリフト検出を可視化する事前定義されたルールのセットが含まれています

Vulnerabilities

こちらがContainer ProtectionのVulnerabilitiesページとなります(参考ドキュメント：ランタイムセキュリティの設定)。

Vulnerabilitiesは稼働中のコンテナの脆弱性を一覧で確認できる機能です。

稼働中のコンテナイメージを定期的にスキャンすることで、稼働中のコンテナの脆弱性を一覧で表示されるます。重大度等に応じてトリアージできるのが良いですね。

Vulnerabilities機能を使用する際は、Container Inventoryからランタイム検索を有効化します。

Events

こちらがContainer ProtectionのEventsページとなります(参考ドキュメント：イベントの監視)。

設定したポリシーに沿ったイベントが発生するとEventsページに表示・確認できるようになります。

画面にはT1543のルールが表示されていますが、内容は「コンテナ内でパッケージ管理プロセスを起動する」となっています。以前私がECS Execを利用してコンテナ内で実行したapt updateが検知されたようです。

Artifact Scanner

こちらがContainer ProtectionのArtifact Scannerページとなります(参考ドキュメント：トレンドマイクロ Artifact Scanner CLIの設定)。

こちらのページは使用方法の記載が書かれているのみですね。

Artifact ScannerではCLIツールを任意の環境(サーバーやコンテナ、CICDパイプライン等)に導入することで、任意のタイミングや特定のタイミングにて脆弱性や不正プログラムの検知ができるようです。

また別の機会に試して、ブログ化しようと思います。

まとめ

ざっくりですが、V1CSのページを確認し各機能についても把握してみました。

今後はArtifact Scannerにも触っていきたいです。