Cloud One Workload Securityの検知をPagerDutyにメール連携してみた
こんにちは!AWS事業本部カスタマーソリューション部のこーへいです。
今回はCloud One Workload Security(以降C1WS)の検知を、PagerDutyにメール連携を行えるか試してみたのでその手順を共有します。
C1WSはトレンドマイクロ社が提供するCloud One製品群の1つで、AWSでは総合的なEC2のセキュリティ対策を提供するサービスです。
一方PagerDutyはシステムのインシデント対応を一元化できるサービスです。
PagerDutyを使用することで何件も飛んでくるアラートメールをAIで自動でまとめてくれたり、トリアージを行えるため、インシデント対応の疲弊を軽減し、オオカミ少年化の防止にも貢献するサービスです。
では早速、EICARファイルを用いてC1WSの不正プログラム対策を発動させてみましょう。
構成
今回はC1WSの検知を「Eメール」にてPagerDutyと連携します。なので構成としては以下で非常にシンプルとなります。
特別な作り込みは必要なく、C1WSのメール宛先にPagerDuty指定のメールアドレスを登録することで連携は完了します。
一方で作り込みがない分、PagerDuty側で表示する検知内容のカスタマイズ性が低い点がデメリットです。
こちらの記事でカスタマイズ性の高い連携方式を紹介しておりますので、ご参照ください。
手順
前提
- PagerDutyのアカウント登録
- Cloud Oneのアカウント登録
- C1WS導入済みのEC2インスタンスの準備
上記の準備は完了済みの前提で、C1WSとPagerDutyのメール連携手順とEICARファイルを用いた動作確認手順に絞って紹介します。
PagerDuty
1.PagerDutyにログインし、「Services」タブ→「Service Directory」を選択し、「New Service」を選択する
2.名前を設定する
3.エスカレーションポリシーを設定する
今回はデフォルトの新規作成の方を選択しました。
4.アラートのグループと一時的なアラートの設定をする
今回は両方ともデフォルトの推奨設定を選択しました。
4.連携方式にて「Eメール」を選択する
5.管理画面に戻るので、通知先のメールアドレスをメモする
Cloud One
1.Cloud Oneアカウントにログインし、「Endpoint & Workload Security」を選択する
2.「システム設定」の「アラート」より先ほどメモしたメールアドレスを登録し、保存する
動作確認
- EC2にログインする。
- 適当な場所で
vi eicar.comを実行する - こちらにアクセスすると表示される文字列をコピーしてviで編集中の場所に貼り付けて、保存する
- lsコマンドでeicar.comファイルがないことを確認する(C1WSによって排除されている)
しばらくするとCloud Oneの方にもアラートが上がったのを確認できます。
PagerDutyを確認すると新たなインシデントが発生するのを確認できます。
詳細画面を確認すると、このような画面が出てきました。
無事連携が確認できました!
ちなみにC1WSのアラートにて自身のメールアドレスを登録した場合は、下記のメールが飛んできました。
まとめ
C1WSとPagerDutyの直接の連携は現在サポートされておりませんが、Eメールによる連携は無事にできることが確認できました。
検知アラートが煩わしいとお悩みの方はPagerDutyでの管理をご検討ください。
