生成されたスタックテンプレートを使用してAWSアカウントをTrend Vision Oneに追加および接続し、クラウドアセットのセキュリティを提供します。
AWSアカウントをCloud Accountsに追加すると、Trend Vision Oneがクラウドサービスにアクセスしてクラウドアセットのセキュリティと可視性を提供できるようになります。一部のCloud Accounts機能は、AWSリージョンに対するサポートが限定されています。詳細については、AWSがサポートするリージョンと制限事項を参照してください。
重要この手順は、2023年11月現在のAWSコンソールで有効です。
|
手順
- Trend Vision One コンソールにサインインします。
- 同じブラウザセッションの新しいタブで、管理者権限を持つロールを使用して、接続するAWSアカウントにサインインします。
- Trend Vision Oneコンソールで、 に移動します。
- [アカウントを追加]をクリックします。[Add AWS Account] ウィンドウが表示されます。
- デプロイタイプを指定してください。
- [Deployment Method] を選択し、[CloudFormation] を選択します。
- アカウントタイプには、[Single AWS Account]を選択してください。
- [次へ] をクリックします。
- アカウントの一般情報を指定します。
- Cloud Accountsアプリに表示する [アカウント名] を指定します。
- [説明]をCloud Accountsに表示するために追加します。
- CloudFormationテンプレートをデプロイするAWSリージョンを選択します。
注意
初期設定のリージョンは、 Trend Vision One リージョンに基づいています。一部の機能と権限では、一部のAWSリージョンのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項 。 - Server & Workload Protection Managerインスタンスが複数ある場合は、接続されたアカウントに関連付けるインスタンスを選択します。
注意
-
Server & Workload Protection Managerインスタンスが1つしかない場合、アカウントはそのインスタンスに自動的に関連付けられます。
-
- Trend Vision Oneによってデプロイされたリソースにカスタムタグを追加するには、[Resource tagging]を選択し、キーと値のペアを指定します。[Create a new tag]をクリックして、最大3つのタグを追加します。
注意
-
キーは最大128文字までで、
aws
で始めることはできません。 -
値は最大256文字までです。
-
- [次へ] をクリックします。
- クラウド環境へのアクセスを許可する[機能と権限]を構成します。
重要
エージェントレスの脆弱性および脅威の検出、AWS VPCフローログのクラウド検出、およびAmazon Security Lakeのクラウド検出はプレリリースのサブ機能であり、公式の商用または一般リリースの既存機能の一部ではありません。サブ機能を使用する前に、プレリリース サブ機能に関する免責を確認してください。[AWSのクラウド対応]および[Real-Time Posture Monitoring]を使用するには、アカウントで[AWS CloudTrailのクラウド検出]を有効にする必要があります。-
[主な機能]: Trend Vision One に AWS アカウントを接続して、クラウドアセットを発見し、クラウドインフラストラクチャにおけるコンプライアンスやセキュリティのベストプラクティス違反などのリスクを迅速に特定します。
-
[Agentless Vulnerability & Threat Detection]: エージェントレスの脆弱性および脅威の検出をAWSアカウントにデプロイして、EC2インスタンスに接続されたEBSボリューム、ECRイメージ、およびLambda関数の脆弱性と不正プログラムをスキャンし、アプリケーションに影響を与えることなく実行します。[Scanner Configuration] をクリックして、スキャンするリソースタイプと、脆弱性、不正プログラム、またはその両方をスキャンするかどうかを選択します。両方がデフォルトで有効になっています。現在、3つのAWSリソースタイプがサポートされています:EBS(Elastic Block Store)、ECR(Elastic Container Registry)、およびAWS Lambda。機能をデプロイするAWSリージョンを選択します。
-
[AWS CloudTrailのクラウド検出]: 特権昇格、パスワード変更、データ流出の試み、潜在的に不承認のMFA変更などのアクティビティを識別する検出モデルを使用して、ユーザ、サービス、およびリソースのアクティビティに関する実用的な洞察を得るために展開します。この機能には、Cloud用のXDRにCreditsを割り当てる必要があります。
注意
この機能を使用するには、CloudTrail設定の追加設定が必要です。詳細については、CloudTrailの設定 。 -
[Cloud Detections for Amazon Security Lake]: CloudTrail Logs、VPC Flow Logs、WAF Logs、EKS Audit Logs、Route53 Resolver Query Logs、SecurityHub Findingsを含むAmazon Security LakeデータをTrend Vision Oneに転送するためにデプロイします。XDR検出モデルを使用して、クラウドリソース、サービス、およびネットワークで悪意のある活動や疑わしい活動が検出されたときにアラートを発することで、環境に関する実用的な洞察を得ることができます。機能をデプロイするAWSリージョンとスキャンするログを選択してください。選択したリージョンのAWSアカウントにSecurity Lakeが構成されている必要があります。サポートされているログとイベントタイプの詳細については、AWSの機能と権限 を参照してください。
-
[File Security Storage]: Trend Vision One -File Securityストレージをクラウドアカウントに配置して、クラウド環境を保護します。 File Security Storageは不正プログラムを検出するため、クラウドストレージをプロアクティブに保護できます。 File Securityスキャナを配信するリージョンを選択します。機能をデプロイするAWSリージョンを選択します。
-
[Cloud Detections for AWS VPC Flow Logs]: Virtual Private Cloud (VPC) フローログを収集するためにデプロイし、Trend Vision OneがVPCトラフィックの洞察を収集できるようにします。これにより、悪意のあるIPトラフィック、SSHブルートフォース攻撃、データ流出などを識別し、アラートを提供する検出モデルが有効になります。機能を有効にする前にVPC フロー ログの推奨事項と要件を確認してください。機能をデプロイするAWSリージョンを選択します。
重要
XDR for Cloudは、バージョン5以降のVPCフローログの監視のみをサポートします。詳細については、VPC フロー ログの推奨事項と要件を参照してください。 -
[Amazon ECSのコンテナ保護]: Trend Vision One Container Security をAWSアカウントにデプロイして、Elastic Container Service (ECS) 環境のコンテナとコンテナイメージを保護します。 Trend Vision One Container Security は、脅威と脆弱性を検出し、ランタイム環境を保護し、配信ポリシーを適用します。機能をデプロイするAWSリージョンを選択します。
重要
2023年11月現在、AWSのプライベートアカウントとフリーミアムアカウントでは、最大10件のLambdaの実行のみが許可されています。 Container Protectionをデプロイするには、Lambdaを20回以上同時に実行する必要があります。この機能を有効にする前に、AWSアカウントのステータスを確認してください。 -
[AWSのクラウド対応]: 不審なIAMユーザのアクセス権の取り消しなど、クラウドアカウント内のインシデントを封じ込めるための対応処理を実行する権限を Trend Vision One に許可します。追加の対応処理では、サードパーティのチケットシステムとの統合を活用します。
-
[Real-Time Posture Monitoring]: AWSアカウントにリアルタイムポスチャモニタリングを導入して、クラウド環境内のアクティビティやイベントに関する即時アラートをライブモニタリングで提供します。機能をデプロイするAWSリージョンを選択します。
-
- [次へ] をクリックします。
- AWSコンソールでCloudFormationテンプレートを起動します。
- 起動前にスタックテンプレートを確認するには、 [テンプレートをダウンロードして確認]をクリックします。
- [スタックを起動]をクリックします。AWSマネジメントコンソールが新しいタブで開き、 [スタックの簡易作成] 画面が表示されます。
- AWSマネジメントコンソールで、 [スタックの簡易作成] 画面の手順を完了します。
- デフォルト以外の名前を使用する場合は、新しい [スタック名]を指定します。
- [Parameters] セクションで、XDR for Cloud - AWS CloudTrail を有効にしている場合にのみ、次のパラメーターを構成します。
-
[CloudAuditLogMonitoringCloudTrailArn]には、監視するCloudTrailのARNを指定します。
-
[CloudAuditLogMonitoringCloudTrailSNSTopicArn]には、CloudTrail SNSトピックのARNを指定します。
重要
-
監視対象のCloudTrailとCloudTrail SNSは、同じアカウントにあり、テンプレートのデプロイ用に選択したのと同じリージョンに配置されている必要があります。
-
[パラメータ] セクションの他の設定は変更しないでください。 CloudFormationによって、パラメータの設定が自動的に提供されます。パラメータを変更すると、スタックの作成に失敗することがあります。
-
-
- [機能] セクションで、次の確認応答を選択します。
-
[AWS CloudFormationがカスタム名のIAMリソースを作成する可能性があることを認めます。]
-
[AWS CloudFormationが次の機能を必要とする可能性があることを認めます: CAPABILITY_AUTO_EXPAND]
-
- [スタックの作成]をクリックします。新しいスタックの [スタックの詳細] 画面が表示され、 [イベント] タブが表示されます。作成には数分かかることがあります。 [更新] をクリックして、進行状況を確認します。
- Trend Vision One コンソールで、 [終了]をクリックします。CloudFormation テンプレートのデプロイが正常に完了すると、アカウントが Cloud Accounts に表示されます。テーブルを更新するには画面をリフレッシュしてください。