ビュー:

AWS Organizationに接続して、アカウントをCloud Accountsにすばやく追加します。

Cloud Accountsでは、ルートアカウントまたは組織単位 (OU) レベルに機能をデプロイすることで、AWS Organizationが管理するアカウントを追加できます。 AWS OrganizationをCloud Accountsに追加すると、 Trend Vision One が管理対象のクラウドアカウントに簡単にアクセスできるようになり、クラウドアセットのセキュリティと可視性を確保できます。一部のクラウドアカウント機能では、AWSリージョンのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項
開始する前に、接続するAWS OrganizationのAWS CloudFormationスタックセットを作成および管理する権限を含む、管理者権限を持つサインインロールまたはユーザロールへのアクセス権があることを確認してください。詳細については、 AWS CloudFormation StackSetsとAWS Organizations
重要
重要
  • この手順は、2023年11月現在のAWSコンソールで有効です。
  • AWS オーガニゼーションを追加すると、そのオーガニゼーションによって管理されるアカウントは、オーガニゼーション全体に設定された同じ設定を適用することになります。オーガニゼーションの一部として追加された個々のアカウントの設定は変更できません。
    個別のAWS組織によって管理されているアカウントに異なる構成を適用するには、それらのアカウントを個別に追加する必要があります。アカウントを追加するには、AWS組織を追加する前にアカウントを追加するか、[OrganizationExcludedAccounts]パラメータを使用してそれらのアカウントをスタックデプロイから除外します。
  • Cloud Accounts アプリは現在、CloudFormation スタックテンプレートを使用して組織を接続することのみをサポートしています。
  • AWSの制限により、StackSetsは管理アカウントにリソースをデプロイしません。管理アカウントを追加するには、CloudFormation を使用して AWS アカウントを追加を参照してください。

手順

  1. Trend Vision One コンソールにサインインします。
  2. 別のブラウザタブで、AWS組織アカウントにサインインしてください。
  3. Trend Vision Oneコンソールで、[Cloud Security]Cloud Accounts[AWS]に移動します。
  4. [アカウントを追加]をクリックします。
    [Add AWS Account] ウィンドウが表示されます。
  5. デプロイタイプを指定してください。
    1. [Deployment Method] を選択し、[CloudFormation] を選択します。
    2. アカウントタイプには、[AWS Organization]を選択してください。
    3. [次へ] をクリックします。
  6. 組織の一般情報を指定します。
    1. Cloud Accountsアプリに表示する [アカウント名] を指定します。
      AWS Organizationが追加されると、AWSで事前にエイリアスが指定されていないすべてのメンバーアカウントには、Cloud Accountsアプリで自動的に生成された名前が割り当てられます。
    2. [説明]をCloud Accountsに表示するために追加します。
    3. CloudFormationテンプレートをデプロイするAWSリージョンを選択します。
      注意
      注意
      初期設定のリージョンは、 Trend Vision One リージョンに基づいています。
      一部の機能と権限では、一部のAWSリージョンのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項
    4. Server & Workload Protection Managerインスタンスが複数ある場合は、接続されたアカウントに関連付けるインスタンスを選択します。
      注意
      注意
      • Server & Workload Protection Managerインスタンスが1つしかない場合、アカウントはそのインスタンスに自動的に関連付けられます。
    5. Trend Vision Oneによってデプロイされたリソースにカスタムタグを追加するには、[Resource tagging]を選択し、キーと値のペアを指定します。
      [Create a new tag]をクリックして、最大3つのタグを追加します。
      注意
      注意
      • キーは最大128文字までで、awsで始めることはできません。
      • 値は最大256文字までです。
    6. [次へ] をクリックします。
  7. クラウド環境へのアクセスを許可する[機能と権限]を構成します。
    重要
    重要
    • エージェントレスの脆弱性および脅威の検出とAWS VPCフローログのクラウド検出はプレリリースのサブ機能であり、公式の商用または一般リリースの既存機能の一部ではありません。サブ機能を使用する前に、プレリリース サブ機能に関する免責を確認してください。
    • 組織をモニタするために[Cloud Detections for Amazon Security Lake]を使用する場合、他の管理アカウントからログを収集するために組織内のアカウントを設定する必要があります。組織アカウントを接続する前に、Trend Vision OneにSecurity Lakeアカウントを接続してください。
    • [AWSのクラウド対応]および[Real-Time Posture Monitoring]を使用するには、アカウントで[AWS CloudTrailのクラウド検出]を有効にする必要があります。
    • 2023年11月現在、AWSのプライベートアカウントとフリーミアムアカウントでは、最大10件のLambdaの実行のみが許可されています。 Container Protectionをデプロイするには、Lambdaを20回以上同時に実行する必要があります。この機能を有効にする前に、AWSアカウントのステータスを確認してください。
    • ここに記載されている機能と権限のみが、組織管理アカウントへのデプロイをサポートしています。アカウントに追加の機能と権限を有効にしたい場合は、組織アカウントを接続する前に、個別にアカウントを接続する必要があります。
    • [主な機能]: Trend Vision One に AWS アカウントを接続して、クラウドアセットを発見し、クラウドインフラストラクチャにおけるコンプライアンスやセキュリティのベストプラクティス違反などのリスクを迅速に特定します。
    • [Agentless Vulnerability & Threat Detection]: エージェントレスの脆弱性および脅威の検出をAWSアカウントにデプロイして、EC2インスタンスに接続されたEBSボリューム、ECRイメージ、およびLambda関数の脆弱性と不正プログラムをスキャンし、アプリケーションに影響を与えることなく実行します。
      [Scanner Configuration] をクリックして、スキャンするリソースタイプと、脆弱性、不正プログラム、またはその両方をスキャンするかどうかを選択します。両方がデフォルトで有効になっています。現在、3つのAWSリソースタイプがサポートされています:EBS(Elastic Block Store)、ECR(Elastic Container Registry)、およびAWS Lambda。
    • [Amazon ECSのコンテナ保護]: Trend Vision One Container Security をAWSアカウントにデプロイして、Elastic Container Service (ECS) 環境のコンテナとコンテナイメージを保護します。 Trend Vision One Container Security は、脅威と脆弱性を検出し、ランタイム環境を保護し、配信ポリシーを適用します。
    • [AWSのクラウド対応]: 不審なIAMユーザのアクセス権の取り消しなど、クラウドアカウント内のインシデントを封じ込めるための対応処理を実行する権限を Trend Vision One に許可します。追加の対応処理では、サードパーティのチケットシステムとの統合を活用します。
    • [Real-Time Posture Monitoring]: AWSアカウントにリアルタイムポスチャモニタリングを導入して、クラウド環境内のアクティビティやイベントに関する即時アラートをライブモニタリングで提供します。
    • [Cloud Detections for AWS VPC Flow Logs]: Virtual Private Cloud (VPC) フローログを収集するためにデプロイし、Trend Vision OneがVPCトラフィックの洞察を収集できるようにします。これにより、悪意のあるIPトラフィック、SSHブルートフォース攻撃、データ流出などを識別し、アラートを提供する検出モデルが有効になります。機能を有効にする前にVPC フロー ログの推奨事項と要件を確認してください。
      機能をデプロイするAWSリージョンを選択します。
      重要
      重要
      XDR for CloudはVPCフローログバージョン5以降のみをサポートしています。詳細については、VPC フロー ログの推奨事項と要件を参照してください。
  8. [次へ] をクリックします。
  9. AWSコンソールでCloudFormationテンプレートを起動します。
    1. 起動前にスタックテンプレートを確認するには、 [テンプレートをダウンロードして確認]をクリックします。
    2. [スタックを起動]をクリックします。
      AWSマネジメントコンソールが新しいタブで開き、 [スタックの簡易作成] 画面が表示されます。
  10. AWSマネジメントコンソールで、 [スタックの簡易作成] 画面の手順を完了します。
    1. デフォルト以外の名前を使用する場合は、新しい [スタック名]を指定します。
    2. [Parameters]セクションで、次のパラメーターを指定します: [AWS Account ID] または [OrganizationID]フィールドの[Organizational Unit (OU) ID]
      • [OrganizationID]:組織アカウントの[AWS Account ID]または[Organizational Unit (OU) ID]を入力してください。
      • (オプション)[OrganizationExcludedAccounts]:スタック内のモニタリング機能から除外したい組織内の任意のAWSアカウントのアカウントIDを入力してください。
        このパラメータフィールドを使用して、監視したくないアカウントや、異なる機能構成を使用したいアカウントを除外します。除外されたアカウントは、Cloud Accountsアプリに個別に接続できます。アカウントをカンマ (,) で区切ったリストとして入力してください。スペースは入れないでください。例えば、123456789012,345678901234
      重要
      重要
      [OrganizationExcludedAccounts]パラメータには、組織内のアカウントIDのみを含める必要があります。組織によって管理されていないアカウントのアカウントIDを追加すると、スタックのデプロイが失敗する可能性があります。
      [パラメータ] セクションの他の設定は変更しないでください。 CloudFormationによって、パラメータの設定が自動的に提供されます。パラメータを変更すると、スタックの作成に失敗することがあります。
    3. [機能] セクションで、次の確認応答を選択します。
      • [AWS CloudFormationがカスタム名のIAMリソースを作成する可能性があることを認めます。]
      • [AWS CloudFormationが次の機能を必要とする可能性があることを認めます: CAPABILITY_AUTO_EXPAND]
    4. [スタックの作成]をクリックします。
      新しいスタックの [スタックの詳細] 画面が表示され、 [イベント] タブが表示されます。作成には数分かかることがあります。 [更新] をクリックして、進行状況を確認します。
  11. Trend Vision One コンソールで、 [終了]をクリックします。
    CloudFormation テンプレートのデプロイが正常に完了すると、組織と関連するメンバーアカウントが Cloud Accounts に表示されます。テーブルを更新するには画面をリフレッシュしてください。