Cloud One Workload Security のコンソールからポリシーを作成してみた
2024.09.10はじめに
こんにちは。AWS事業本部コンサルティング部に所属している和田響です。
今回はCloud One Workload Securityにおけるポリシーの概念についてまとめ、実際にポリシーを作成してみます。
ポリシーとは
ポリシーを使用すると、ルールと設定のコレクションを保存して、複数のコンピュータに簡単に割り当てることができます。
引用:https://cloudone.trendmicro.com/docs/jp/workload-security/policy-create/
公式マニュアルの記載から、Cloud One Workload Securityにおけるポリシーとは設定ファイルのようなものと理解していただければと思います。
Cloud One Workload Securityの以下の機能をどのような設定にするかを定義できます。
- 不正プログラム対策
- Webレピュテーション
- デバイスコントロール
- アクティビティ監視
- アプリケーションコントロール
- ファイアウォール
- 侵入防御
- 変更監視
- セキュリティログ監視
ポリシーは階層構造で作成することができ、下位のポリシーは上位のポリシーの設定を引き継ぐことができます。
引用:https://cloudone.trendmicro.com/docs/jp/workload-security/policy-inheritance-overrides/
やってみる
ポリシーの作成
まずはポリシーの階層構造の一番上位に当たるベースポリシーを作成します。
Cloud Oneのコンソールから「Endpoint & Workload Security」をクリックします。
画面上のタブから「ポリシー」をクリックします。
デフォルトで「Base Policy」というポリシーが存在するはずですが、今回は新規でポリシーを作成します。
「新規」-「新規ポリシー...」をクリックします。
名前は任意の文字列を入力、継承元は「なし」を選択し、「次へ」をクリックします。
「既存のコンピュータの現在の設定を、このポリシーのベースにしますか?」は「いいえ」を選択し「次へ」をクリックします。
続いて各セキュリティ設定をのオン/オフを選択できます。
デフォルトはすべてオフですが、今回はこのような設定にしようと思います。
この設定は後から変更可能のため要件に応じてカスタマイズしていきましょう。
ポリシーの詳細設定
ポリシーをダブルクリックすることで対象のポリシーの設定画面が表示されます。
サイドタブの項目をクリックすることで、その項目の詳細な設定ができます。
不正プログラム対策
不正プログラムは、不正プログラム、ウイルス、トロイの木馬、スパイウェアなどの脅威に対して、リアルタイムおよびオンデマンドの保護を提供します。
不正プログラム対策は「リアルタイム検索」「手動検索」「予約検索」の設定が可能です。
初期設定だといずれも設定なしとなっているので、こちらを設定します。
本記事では、初期設定のチェックを外し画像のような検索設定をし「保存」をクリックします。
※一般設定以外の設定も画面上のタブから設定できます。
Webレピュテーション
Webレピュテーションは不正なURLへのアクセスをブロックすることにより、サーバをWebの脅威から保護します。
Webレピュテーションは、どのレベルでアクセスをブロックするかのセキュリティレベルを設定できます。
低・中・高でレベル分けがされており、セキュリティレベルが上がるほど厳しい基準でアクセスをブロックします。
本記事ではWebレピュテーションは「オフ」で進めていきます。
デバイスコントロール
デバイスコントロールモジュールは、コンピュータに接続されている外部ストレージデバイスへのアクセスを制御します。
以下の項目について設定が可能です。
- USB大容量ストレージ:USBデバイスのアクセスポリシーの設定
- USB自動実行機能:USBデバイスの自動実行を許可またはブロックする
- モバイル(MTP/PTP):USBモバイルデバイスのアクセスポリシーの設定
本記事ではデバイスコントロールは「オフ」で進めていきます。
アクティビティ監視
アクティビティ監視はTrend Microの別製品であるVision Oneの統合を行い、 XDR(拡張検出/応答)の実装が可能です。
アクティビティ監視では以下の検出モードの設定ができます。
- 標準:通常の検出を実行する
- ハイパーセンシティブ:検出を強化する(Windowsのみ)
本記事ではアクティビティ監視は「オフ」で進めていきます。
アプリケーションコントロール
アプリケーションコントロールは承認されていないソフトウェアをブロック/許可を設定し、アプリケーションのインストール・変更を制御することできます。
アプリケーションコントロールを有効にした場合、以下の設定を選択でき信頼ルールセットで承認するソフトウェアを定義します。
- 承認されていないソフトウェアを明示的に許可するまでブロック
- 承認されていないソフトウェアを明示的にブロックするまで許可
本記事ではアプリケーションコントロールは「オフ」で進めていきます。
ファイアウォール
ファイアウォールは通信制御を行うことができます。
ファイアウォールステートフル設定から、通信制御の設定を選択できます。
※ファイアウォールで意図せず通信を拒否死してしまうこともあるので、まずはタップモード(実際に遮断はしない)でテストすることを推奨します。
本記事ではファイアウォールは「オフ」で進めていきます。
侵入防御
侵入防御はトラフィック内容を検査し不審なトラフィックをブロックすることで既知または、ゼロデイの脆弱性からワークロードを保護します。
推奨設定を有効にすることができ少ない工数で一定のセキュリティ対策を実装できるのが嬉しいポイントです。
侵入防御は以下の設定が可能です。
- 侵入防御の動作
- 防御:トラフィックをブロックする
- 検出:トラフィックはブロックせず、検出したイベントを残す
- TLS/SSLトラフィックの監視(はい/いいえ)
- 侵入防御の推奨設定を自動的に適用 (はい/いいえ)
本記事では以下の設定で進めていきます。
- 侵入防御の動作:検出
- TLS/SSLトラフィックの監視:はい
- 侵入防御の推奨設定を自動的に適用:はい
変更監視
変更監視はシステムに対する変更を検知できます。想定外の変更が発生した際にアラームを発生させ通知を受けるといった事が可能です。
侵入防御と同様に、推奨設定を有効にできるのが嬉しいポイントです。
変更監視は以下の設定が可能です。
- リアルタイム検索(有効/無効)
- 変更監視ルールの推奨設定を自動的に適用(はい/いいえ)
本記事では以下の設定で進めていきます。
- リアルタイム検索:有効
- 変更監視ルールの推奨設定を自動的に適用:はい
セキュリティログ監視
セキュリティログ監視はシステムのログから重要なセキュリティイベントを識別できます。
侵入防御や変更監視と同様に、推奨設定を有効にできるのが嬉しいポイントです。
セキュリティログ監視は以下の設定が可能です。
- 現在割り当てられているセキュリティログ監視ルール
- 変更監視ルールの推奨設定を自動的に適用(はい/いいえ)
本記事では以下の設定で進めていきます。
- 変更監視ルールの推奨設定を自動的に適用:はい
ここまででベースポリシーの設定が完了しました。
実際の運用ではこのベースポリシーの配下に子ポリシーを作成し、役割ごとにポリシーを作成することを推奨します。
エージェントのインストール
ポリシーの作成が完了したら、サーバにWorkload Securityのエージェントをインストールします。
インストールスクリプト作成時に、セキュリティポリシーを設定することで、対象のセキュリティポリシーでWorkload Securityを動作させることができます。
エージェントのインストールの詳細な手順は以下のブログを参照ください。
最後に
本記事では実際にWorkload Securityのコンソールを操作しポリシーを作成していきました。
実際にコンソールを見ていくことで各種設定がどのような機能を持っているのか理解することができると思います。
