Trend Vision OneとAWSを連携させてみた

Trend Vision OneとAWSを連携させてみた

Clock Icon2023.10.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コンサル部@大阪オフィスのTodaです。

Trend Vision OneはTrend Micro社が提供するSaaS型のサービスです。
2021年3月からサービスを開始しておりますが、ここ最近Deep SecurityやCloud One Workload Securityの後継に当たるVision One - Endpoint Securityなど新しい機能の方が実装されてきましたので各機能を検証してご案内していきます。
今回は検証をするに当たりAWSアカウントとの連携方法についてご紹介します。

Trend Vision Oneについて

Trend Vision Oneはトレンドマイクロ社が提供するSaaS型のセキュリティ運用支援のプラットフォームとなります。
トレンドマイクロ社からはサーバやクラウド、ネットワーク、メールなどセキュリティ保護をする製品がいろいろございます。
それらサービスを連携してセンサーとして活用して、検知・遮断した脅威や侵入痕跡を分析、可視化することで複雑なサイバー攻撃を迅速に対応するXDR機能を提供します。

以前まではエンドポイントセキュリティ製品のCloud One Workload SecurityやApex Oneを連携することで分析をすることが出来ておりましたが 今回、Vision OneにWorkload Securityの後継サービスであるEndpoint Securityとコンテナのセキュリティの強化を支援するContainer Securityが実装されており連携をしなくても分析機能の利用等ができるようになっています。

■ Trend Vision One
https://www.trendmicro.com/ja_jp/business/products/one-platform.html

■ Trend Vision One Endpoint Security - トレンドマイクロ
https://www.trendmicro.com/ja_jp/business/products/endpoint-security.html

■ Trend Vision One – Container Security販売開始のお知らせ
https://www.trendmicro.com/ja_jp/about/announce/announces-20230928-01.html

これらはCloudOneに存在するサービスでVision Oneに実装される際に、機能拡張等がおこなわれて実装をされています。
脅威や侵入痕跡を分析・可視化する機能が多く実装されているためこれらも順次ご紹介していきたいと思います。

AWSとの連携について

Trend Vision OneとAWSを連携いただくことでリスクの可視化やEndpoint Security機能経由でインスタンスの状態監視など可能になります。
EC2を監視する場合はAWSとの連携設定は入れていただくのが推奨になります。

AWSとの連携操作について

Vision Oneの申し込みをおこないAWSで利用出来るように連携操作を試します。

Vision Oneのアカウント発行

Vision One公式サイトから無料体験版の申し込みをおこないます。
30日間の無料体験版ではVision Oneのすべての機能をお試しいただけるため、PoCなどにご利用いただけます。

■ Trend Vision One
https://www.trendmicro.com/ja_jp/business/products/one-platform.html

Vision Oneのアカウント発行

申し込みをおこないVision Oneを利用可能な状態にします。

ログイン

Vision Oneの手続きを完了するとログインアカウントの発行が完了します。
発行されたアカウントでログイン操作を実施します。

■ Signin - Trend Vision One
https://signin.v1.trendmicro.com/

ログイン

ダッシュボード表示

ダッシュボードではVision Oneに収集される情報を元に 「リスク」「露出」「攻撃」を監視して可視化する画面が表示されます。
それぞれの指数がどのような意味なのかは別途検証ブログにてご紹介をしていきます。

ダッシュボード表示

クラウドアカウントの管理

左メニューから「Service Management」> 「Cloud Accounts」を選択します。
当機能ではAWSアカウントのみ設定をすることが可能です。
画面上部の「+アカウントを追加」をクリックします。

クラウドアカウントの管理1

CloudFormationテンプレートによるリソース設定をおこなう画面が表示されます。
リージョンとオプション機能を設定します。
今回はオプション機能は利用しない状態で「スタックの起動」をクリックします。

オプション機能には2023/10時点で下記がございます。

  • Amazon ECSのコンテナ保護
    • Container SecurityによるElastic Container Service (ECS) 環境のコンテナとコンテナイメージを保護を実施します。
  • AWS CloudTrail クラウドの検出 (Preview)
    • CloudTrailの情報と連携をおこないユーザー、サービス、およびリソースのアクティビティに関する実用的なインサイトを取得できます。
  • AWSのクラウド対応 (Preview)
    • 不審なIAMユーザーのアクセス権の取り消しなど、クラウドアカウント内のインシデントを含めた対応処理処理を実行する権限をVision Oneに許可します。

クラウドアカウントの管理2

「スタックの起動」をクリックするとAWSマネージメントコンソールからCfnの作成画面が表示されます。
パラメータの内容は変更せず、 IAMリソース作成の承認のみチェックをおこない「スタックの作成」をおこないます。
作成が完了すると出力タブに「VisionOneRoleArn」の値が出力されますのでコピーをおこないます。

クラウドアカウントの管理3

Vision Oneの画面に戻り「次へ」をクリックします。
ARNの情報と環境名を指定する項目が表示されますので先ほど取得した「VisionOneRoleArn」をARN情報に記載して任意の環境名を設定します。
設定後、画面下の「接続」をクリックします。

クラウドアカウントの管理4

上記にて接続設定は完了になります。

クラウドアカウントの表示

登録が完了するとクラウドアカウントの一覧に内容が表示されます。
接続ステータスが緑の場合は、正常に登録が完了しています。

クラウドアカウントの表示

Endpoint Securityの表示確認

左メニューから[Endpoint Security Operations] > [Server & Workload Protection]を開きます。
こちら画面を開くと見覚えがある方も多いと思いますが、Deep SecurityやWorkload Securityと同じレイアウトにて情報が表示されます。
タブメニューから[コンピュータ]を選択する事で連携をしたAWSアカウントが表示されるようになっています。

Endpoint Securityの表示確認

AWSとの連携操作は以上になります。

さいごに

今回はAWSの連携操作までを試してみました。
連携操作をすることでVision Oneに存在する分析・可視化の機能とも連携ができ情報を参照することができるようになっています。
次回以降、Vision Oneの各機能毎のご案内をしていきます。
少しでもお客様の参考になればと考えております。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.