Cloud One Workload SecurityのXDR機能をいろいろ試してみた (導入編)

2023.04.06

こんにちは、コンサル部@大阪オフィスのTodaです。

Cloud One Workload Security(C1WS)には別製品のTrend Vision Oneの一部機能を利用して各脅威イベントに対する分析調査・影響範囲の把握をすることが可能です。
今回から数回に分けてC1WSのXDR機能について試してみたいと思います。

Cloud One Workload Securityとは?

Cloud One Workload Securityは、トレンドマイクロ社が提供するソリューションの1つでデータセンター、クラウド上に存在するサーバ、インスタンスを保護するために必要な機能を提供するクラウド型総合サーバーセキュリティサービスです。
別でDeep Securityがございますが、SaaSの形で提供されるサービスになります。

主要な保護機能は下記8点になります。
詳細な説明は下記ページの「インストール前の準備」を参照ください。
https://success.trendmicro.com/jp/welcome/Cloud-One

  • 不正プログラム対策
  • Webレピュテーション
  • デバイスコントロール
  • アプリケーションコントロール
  • ファイアウォール
  • 侵入防御
  • 変更監視
  • セキュリティログ監視

XDR機能について

XDRは別製品のTrend Vision One機能を利用することでC1WSで保護しているインスタンスに対して発生しそうな脅威の早期検出、可視化、リスクの把握、対処するイベントの優先順位付け、対応時間の削減をすることが出来る機能を提供します。

通常、脅威イベントが発生した際、接続元のIPや侵入経路、対策が必要な箇所の特定など膨大なデータとログを参照して把握する必要があり、運用側の負担も高くなります。XDRは脅威イベントに対する分析から報告までを迅速に対応することができます。 XDRの詳細機能については下記参考サイトもご覧ください。

■ Cloud One Workload Security™ のXDR機能を利用しよう!
https://www.trendmicro.com/ja_jp/business/tech_blog/c1ws_xdr_function_221208_01.html

XDR機能

XDR機能利用時の注意事項

現在、弊社SPPOライセンス利用にてVision OneのXDR機能はご利用いただけるようになっています。
XDR機能は、現時点では弊社SPPOライセンスご提供のC1WSではご利用いただけません。
利用についてはお問い合わせをお願いいたします。

C1WSとVision Oneを連携してみる

C1WSとVision Oneを連携してXDR機能が利用できる状態にしてみます。
事前にC1WSとVision OneにはXDRが利用できるアクティベーションを完了している状態から開始いたします。

Vision Oneへのログイン

Vision Oneにログインをおこないトップページを表示します。

Vision Oneへのログイン1

Vision Oneへのログイン2

プロダクトコネクタに移動

左メニューから[Point Product Connection] > [Product Connector]を選択します。
一覧上部の[接続]ボタンをクリックします。
※メニューがアイコンのみの場合は左下の「>>」のボタンをクリックください。

プロダクトコネクタに移動

接続設定

設定する製品選択で「Trend Cloud One」を選択します。
登録トークンは「クリックして登録トークンを生成します」リンクを押して新しいトークンを発行します。
発行されたトークンはメモに記録をおこない。画面下の[保存]をクリックします。

接続設定

Cloud Oneの統合機能を表示

Cloud Oneにログインをおこないダッシュボードを表示します。
画面下にあるサブメニューから[統合]をクリックします。

Cloud Oneの統合機能を表示

Trend Vision Oneのトークン設定

統合画面の左メニューから[Trend Vision One]を選択します。
一覧上部の[登録トークンの登録]をクリックします。

Trend Vision Oneのトークン設定1

トークンの入力画面にて、Vision Oneで取得したトークンを入力します。

Trend Vision Oneのトークン設定2

[登録]をクリックしてトークンの設定を完了させます。

Vision Oneでの有効化操作

Vision Oneの画面に戻り、先ほど設定したコネクタの設定を有効化します。
一覧に表示される[有効化]をクリックします。

Vision Oneでの有効化操作1

設定にて[Endpoint & Workload Security]を有効にして画面下の[保存]をクリックします。

Vision Oneでの有効化操作2

正常に連携を完了すると接続ステータスが「接続済み」に変わることを確認します。

Vision Oneでの有効化操作3

監視対象を選択してみる

C1WSで保護しているインスタンスをVision Oneの分析出来るように対象をしています。
対象の選択は「ポリシー」または「インスタンス」にて設定をすることが出来るため対象をしています。
決まったインスタンスのみ対象としない場合は、ポリシーでの指定が一括で設定出来るためオススメでございます。

C1WSのポリシー一覧を表示

C1WSの画面に移動して、画面上部の[ポリシー]を選択します。
ポリシー一覧から、Vision Oneによる分析を設定したポリシーをダブルクリックします。

C1WSのポリシー一覧を表示

アクティビティ監視の有効化

ポリシーの詳細設定にて左メニューから[アクティビティ監視]を選択して表示されるステータスを[オン]にします。
アクティビティ監視は保護インスタンスの状態を常に監視をおこない、通信・処理の状況をVision Oneに通知します。
設定後は画面下の[保存]をクリックして完了になります。

アクティビティ監視の有効化

上記で、C1WSとVision Oneの連携操作から、監視対象の選択までが完了になります。

さいごに

今回は C1WSとVision Oneの連携操作を試してみました。
次回からXDR機能の検証をおこない、具体的な機能やメリットについてご紹介していきたいと考えています。
少しでもお客様の参考になればと考えております。