Cloud One Conformityでリアルタイムモニタリングの機能を設定してみた

こんにちは、コンサル部＠大阪オフィスのTodaです。

トレンドマイクロ社が提供しているCloud One Conformityを試す機会がありましたので所有するAWS環境に設定してみました。

Cloud One Conformityとは？

Cloud One Conformityはクラウドインフラストラクチャを継続監視してセキュリティ、コンプライアンス対応状況の確認、可視化、レポート、自動修復をするソリューションです。
クラウド環境はAWSおよびAzureに対応、SOC2、ISO 27001、NIST、CIS、GDPR、PCI DSS、GDPR、HIPAA、AWSおよびAzure Well-Architected Framework、CIS Microsoft Azure Foundations Security Benchmarkなどのベストプラクティスチェックに対応して継続的なチェックをおこないます。

■ Cloud One Conformity
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html

■ Cloud One Conformity 説明動画
www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html?modal=s3a-icon-demo-0a5fe5

今回はConformityで利用できるリアルタイムモニタリングの機能を試してみます。

前提条件

Conformityを試すため Cloud One のアカウント登録をおこないます。
登録後、30日間の体験版にて操作をしております。
機能の利用にはAWS環境にCloudTrailの有効化が必要です。
また、追加セットアップには操作PCにAWSコマンドラインインターフェイスバージョン2の設定が必要です。

■ AWS CloudTrail
https://aws.amazon.com/jp/cloudtrail/

■ AWS CLIバージョン2のインストール
https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html

モニタリングについて

ConformityにはReal-Time Threat Monitoring（RTM）の機能をりようすることでBOTによる定期チェックと別でイベントログ分析によるリアルタイムモニタリングをすることができます。
初期導入のセットアップと別でPowershellスクリプトまたはBashスクリプトによるインストール操作が必要です。

設定操作

ダッシュボードの表示

Cloud Oneにログインをおこない、プラットフォームメニューから[Conformity]を選択します。
ダッシュボードにある「Settings...」をクリックします。

モニタリングの設定

無効になっている事を確認後、[Update real-time settings...]をクリックします。

実行コマンドの取得

画面に入ると作業用PCで実行するスクリプトがPowershell版とBash版で表示されます。
作業PCで実行可能なスクリプトをコピーして控えます。

AWS CLIの設定確認

スクリプトを実行するとaws configureで設定されているアクセスキーの環境に設定が実行されます。
アクセスキーの権限や作成されるリソース、CloudFormationの内容は下記サイトをご確認ください。

■ リアルタイムの脅威監視設定
https://www.cloudconformity.com/help/real-time-threat-monitoring/real-time-threat-monitoring-settings.html

スクリプト実行

AWS CLIの設定をおこない、スクリプトを実行します。
スクリプトは各リージョン毎にリソースの追加をおこないます。

% curl -L https://conformity.us-1.cloudone.trendmicro.com/v1/monitoring/event-bus-install.sh | bash -s
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  3263  100  3263    0     0    941      0  0:00:03  0:00:03 --:--:--   941
Installing Cloud Conformity Real-time Monitoring...
Installing CloudConformityMonitoring - V6 in us-east-1
Successfully installed CloudConformityMonitoring in us-east-1
Installing CloudConformityMonitoring - V6 in us-east-2
Successfully installed CloudConformityMonitoring in us-east-2
Installing CloudConformityMonitoring - V6 in us-west-1
Successfully installed CloudConformityMonitoring in us-west-1
Installing CloudConformityMonitoring - V6 in us-west-2
Successfully installed CloudConformityMonitoring in us-west-2
Installing CloudConformityMonitoring - V6 in ap-south-1
Successfully installed CloudConformityMonitoring in ap-south-1
Installing CloudConformityMonitoring - V6 in ap-northeast-2
Successfully installed CloudConformityMonitoring in ap-northeast-2
Installing CloudConformityMonitoring - V6 in ap-southeast-1
Successfully installed CloudConformityMonitoring in ap-southeast-1
Installing CloudConformityMonitoring - V6 in ap-southeast-2
Successfully installed CloudConformityMonitoring in ap-southeast-2
Installing CloudConformityMonitoring - V6 in ap-northeast-1
Successfully installed CloudConformityMonitoring in ap-northeast-1
Installing CloudConformityMonitoring - V6 in eu-central-1
Successfully installed CloudConformityMonitoring in eu-central-1
Installing CloudConformityMonitoring - V6 in eu-west-1
Successfully installed CloudConformityMonitoring in eu-west-1
Installing CloudConformityMonitoring - V6 in eu-west-2
Successfully installed CloudConformityMonitoring in eu-west-2
Installing CloudConformityMonitoring - V6 in eu-west-3
Successfully installed CloudConformityMonitoring in eu-west-3
Installing CloudConformityMonitoring - V6 in eu-north-1
Successfully installed CloudConformityMonitoring in eu-north-1
Installing CloudConformityMonitoring - V6 in sa-east-1
Successfully installed CloudConformityMonitoring in sa-east-1
Installing CloudConformityMonitoring - V6 in ca-central-1
Successfully installed CloudConformityMonitoring in ca-central-1
Region me-south-1 is either not enabled or not supported with the current access credentials
Region ap-east-1 is either not enabled or not supported with the current access credentials
Region af-south-1 is either not enabled or not supported with the current access credentials
Region eu-south-1 is either not enabled or not supported with the current access credentials
Installing CloudConformityMonitoring - V6 in ap-northeast-3
Successfully installed CloudConformityMonitoring in ap-northeast-3

設定の有効化を確認

スクリプトの実行をおこなうとモニタリング設定の画面に表示される[Not Enabled]の表示が [Is Enabled]に変われば設定完了になります。
※設定はすぐに反映されない場合がございます、30分ほど様子をみてください。

モニタリングの確認

リアルタイムモニタリングを有効化するとConformityのダッシュボードにUser ActivityとEvent Monitoringの表示が追加されます。 表示を確認するとAWSコンソールのログインや、操作がリアルタイムで表示されるようになっています。 詳細をクリックする事でIAMロールの利用状況も把握することができます。

試しに、普段無効にしているIAMの設定を変更してみると、数秒で画面に表示される事も確認しました。

さいごに

今回はCloud One Conformityに用意されているリアルタイムモニタリングの機能を試してみました。リアルタイムモニタリングは監視環境の変更を数秒で認識してConformity画面上に表示してくれます。セキュリティリスクも同時に表示してくれるため問題が発生した場合迅速に対応できるようになっているのが好印象でした。 少しでもお客様の参考になればと考えております。