AWS CloudTrailとControl Towerを設定してAWS Log Archiveアカウントを追加して接続し、 Trend Vision OneがマルチアカウントのAWS環境にセキュリティを提供できるようにします。
AWS Log ArchiveアカウントをCloud Accountsアプリに追加すると、 Trend Vision One がクラウドサービスにアクセスできるようになり、複数のアカウントにわたるクラウドアセットのセキュリティと可視性が提供されます。一部のクラウドアカウント機能では、AWSリージョンのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項 。
 |
重要この手順は、2024年4月現在のAWSコンソールで有効です。
|
手順
- Trend Vision One コンソールにサインインします。
- Trend Vision One コンソールで、 。
- [アカウントを追加]をクリックします。[クラウドアカウントを追加] ウィンドウが表示されます。
- [Single AWS Account]を選択します。
- アカウントの一般情報を指定します。
- Cloud Accountsアプリに表示する [アカウント名] を指定します。
- Cloud Accountsアプリに表示する [説明] を指定します。
- 別のブラウザタブで、AWS Log Archiveアカウントにサインインします。
- CloudFormationテンプレートをデプロイするAWSリージョンを選択します。
注意
初期設定のリージョンは、 Trend Vision One リージョンに基づいています。一部の機能と権限では、一部のAWSリージョンのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項 。 - [機能と権限]で、[AWS CloudTrailのクラウド検出]を有効にします。
- [AWS CloudTrailのクラウド検出]を展開し、[Control Tower deployment]を有効にします。
- Server & Workload Protection Managerインスタンスが複数ある場合は、接続されたアカウントに関連付けるインスタンスを選択します。
注意
-
Server & Workload Protection Managerインスタンスが1つしかない場合、アカウントはそのインスタンスに自動的に関連付けられます。
-
- AWSコンソールでCloudFormationテンプレートを起動します。
- 起動前にスタックテンプレートを確認するには、 [テンプレートをダウンロードして確認]をクリックします。
- [スタックを起動]をクリックします。
AWS Log Archiveアカウントで、[Quick create stack]画面に[CloudFormation]サービスが表示されます。 - [Parameters]まで下にスクロールし、[These are the parameters required to enable service cloud audit log monitoring control
tower]というラベルの付いたセクションを見つけます。
重要
-
監視対象のCloudTrailとCloudTrail SNSは、同じアカウントにあり、テンプレートのデプロイ用に選択したのと同じリージョンに配置されている必要があります。
-
[パラメータ] セクションの他の設定は変更しないでください。 CloudFormationによって、パラメータの設定が自動的に提供されます。パラメータを変更すると、スタックの作成に失敗することがあります。
-
- 最初のパラメータ([CloudAuditLogMonitoringCloudTrailArn]) を指定します。これは、監視するCloudTrailのARNです。
- [CloudTrail]サービスを開きます。
- [Trails]画面で、次の証跡を探します。 aws-controltower-BaselineCloudTrail
- ARNをコピーします。
- 「追跡ログの場所」を書き留めます。この情報は、次の手順で必要になります。
- ログアーカイブアカウントで、ARNを[CloudAuditLogMonitoringCloudTrailArn]フィールドに貼り付けます。
- 3番目のパラメータ([CloudAuditLogMonitoringCloudTrailS3Arn]) を指定します。これは、CloudTrail S3バケットのARNです。
- [S3 Bucket]サービスを開きます。
- 未満[General purpose buckets]を選択します。[aws-controltower-logs]番号とリージョンが前のステップの「追跡ログの場所」に一致するS3バケット。
- [プロパティ]タブに移動します。
- [Amazon EventBridge]セクションまで下にスクロールし、[Send notifications to Amazon EventBridge for all events in this bucket]がオンになっていることを確認します。有効になっていない場合は、[編集]をクリックして設定を有効にします。
- [Bucket overview]セクションまで上にスクロールし、バケットのARNをコピーします。
- [CloudFormation]画面で、ARN を[CloudAuditLogMonitoringCloudTrailS3Arn]フィールドに貼り付けます。
- Amazon SNSトピックを作成します。
- ログアーカイブアカウントで、[Simple Notification Service]を開きます。
- [Topics]に移動し、[Create topic]をクリックします。
- [Standard]を選択します。
- トピックの名前を入力します。
- 残りの設定は初期設定のまま、[Create topic]をクリックします。
- EventBridgeを作成します。
- ログアーカイブアカウントで、[Amazon EventBridge]サービスを開きます。
- に移動 。
- [ルールを作成]をクリックします。
- ルールの名前を入力します。
- 残りの設定は初期設定のまま、[次へ]をクリックします。
- [Creation method]で[Use pattern form]を選択します。
- [Event pattern]セクションの[イベントソース]で、[AWS service]を選択します。
- [AWS service]で、[Simple Storage Service (S3)]を選択します。
- [イベントの種類]で、[Amazon S3 Event Notification]を選択します。
- [Event type specification 1]で、[Any event]を選択します。
- [Event type specification 2]で、[Specify bucket(s) by name]を選択します。
- [CloudFormation]に移動し、[CloudAuditLogMonitoringCloudTrailS3Arn]フィールドから S3 名をコピーします。S3の名前は、ARNの3つのコロン (:::) に続くすべての名前です。
- [Simple Name Service]に戻り、S3名を[Specify bucket(s) by name]フィールドに貼り付けます。
- [次へ]
- [Select target(s)]画面で、[AWS service]を選択します。
- [Select a target]で、[SNS topic]を選択します。
- [Topic]で、指定した名前のSNSトピックを選択します。
- [次へ]
- [Configure tags - optional]画面で、[次へ]をクリックします。
- [Review and create]画面で、[ルールを作成]をクリックします。
- ARNをコピーします。
- 2番目のパラメータ([CloudAuditLogMonitoringCloudTrailSNSTopicArn]) を指定します。これは、CloudTrail SNSトピックのARNです。
- コピーしたARNを[CloudAuditLogMonitoringCloudTrailS3Arn]フィールドに貼り付けます。
- [機能] セクションで、次の確認応答を選択します。
-
[AWS CloudFormationがカスタム名のIAMリソースを作成する可能性があることを認めます。]
-
[AWS CloudFormationが次の機能を必要とする可能性があることを認めます: CAPABILITY_AUTO_EXPAND]
-
- [スタックの作成]をクリックします。新しいスタックの [スタックの詳細] 画面が表示され、 [イベント] タブが表示されます。作成には数分かかることがあります。 [更新] をクリックして、進行状況を確認します。
- Trend Vision One コンソールで、 [終了]をクリックします。CloudFormationテンプレートのデプロイが完了すると、アカウントが[Cloud Accounts]に表示されます。画面を更新してテーブルを更新します。