ビュー:

インスタンスをデプロイする前にセキュリティグループを準備して、データポートと管理ポートのルールが適切に設定されていることを確認します。

Virtual Network Sensor AMIを新しいインスタンスにデプロイする前に、データポートと管理ポート用に2つのセキュリティグループを作成する必要があります。両方のポートで トレンドマイクロ 設定が異なるため、インスタンスを起動する前に、次の手順に従ってセキュリティグループを作成することをお勧めします。
重要
重要
セキュリティグループは、Virtual Network Sensorのデプロイメントと同じVPCに配置する必要があります。開始する前に、Virtual Network SensorのVPCが選択または作成されていることを確認してください。
VPCとサブネットの設定方法の詳細については、 Amazonのドキュメント
注意
注意
これらの手順に含まれる手順は、2024年1月現在のものです。

手順

  1. AWSマネジメントコンソールで、EC2ダッシュボードに移動します。
  2. 上部のナビゲーションバーで、インスタンスをデプロイする [地域] を選択します。
    注意
    注意
    リージョンは、Virtual Network Sensorを配置する必要がある任意のリージョンに設定できます。選択するリージョンがわからない場合は、AWSアカウントの初期設定のリージョンを使用してください。
  3. に移動[Network & Security][セキュリティグループ]
  4. データポートルールを作成するには、 [Create security group]をクリックします。
  5. [Basic details]を設定します。
    1. 一意の名前を指定します。
      トレンドマイクロ では、次のような識別しやすいルール名を使用することをお勧めします。 VirtualNetworkSensor_DataPort
    2. ルールセットの説明を入力します。
    3. セキュリティグループを保存するVPCを選択します。
  6. [Inbound rules]を設定します。
    1. [Add rule]をクリックします。
    2. 新しいルールを設定します。
      • [種類]: [すべてのトラフィック]を選択します。
      • [送信元]: トレンドマイクロ では、ソースをカスタムに設定し、IPを次のように設定することをお勧めします。 0.0.0.0/0 Virtual Network Sensorがすべてのトラフィックを検索できるようにします。
        データポートへのすべてのトラフィックを許可すると、Virtual Network Sensorはセキュリティ環境を最大限に把握できます。
  7. すべてのトラフィックを許可するように、 [Outbound rules] が初期設定に設定されていることを確認します。
    注意
    注意
    トレンドマイクロ では、送信ポートルールに初期設定を使用することをお勧めします。追加の送信ルールを設定すると、Virtual Network Sensorがすべてのトラフィックを検索する機能に影響する場合があります。
  8. ルールにタグを割り当てます。
    ヒント
    ヒント
    タグを追加すると、所有権を追跡したり、デプロイされたインスタンスに関連付けられているリソースを検索したりできるようになるため、セキュリティルールなどのオブジェクトの管理に役立ちます。
  9. [Create security group]をクリックします。
    セキュリティグループが作成され、新しく作成されたセキュリティグループの詳細ページが開きます。
  10. に移動[Network & Security][セキュリティグループ]
  11. 管理ポートルールを作成するには、 [Create security group]をクリックします。
  12. [Basic details]を設定します。
    1. 一意の名前を指定します。
      トレンドマイクロ では、次のような識別しやすいルール名を使用することをお勧めします。 VirtualNetworkSensor_ManagementPort
    2. ルールセットの説明を入力します。
    3. セキュリティグループを保存するVPCを選択します。
  13. [Inbound rules]を設定します。
    1. 新しいルールを作成するには、 [Add rule] をクリックします。
    2. 次のルールを設定します。
      種類
      プロトコル
      ポート範囲
      ソースの種類
      ソース
      目的
      SSH
      TCP
      22
      推奨: カスタム
      IPアドレスをCIDR表記で指定するか、Virtual Network Sensorへのアクセスを許可するセキュリティグループを選択します。
      メモを参照
      Virtual Network SensorのCLISHコンソールにアクセスする場合
      HTTP
      TCP
      80
      推奨: カスタム
      IPアドレスをCIDR表記で指定するか、Virtual Network Sensorへのアクセスを許可するセキュリティグループを選択します。
      See note
      デバッグログのエクスポート
      カスタムUDP
      UDP
      4789
      推奨: カスタム
      ミラーソースまたはNLBのIPアドレスをCIDR表記で指定します。
      See note
      AWSのトラフィックミラーに必要なVXLANトラフィック用
      カスタムTCP
      TCP
      14789
      推奨: カスタム
      NLBのIPアドレスをCIDR表記で指定します。
      See note
      NLBヘルスチェックへの応答用
      注意
      注意
      [ソースの種類] は、Virtual Network Sensorへの接続を許可するIPアドレスを制御します。 トレンドマイクロ では、 [ソースの種類][カスタム]に設定してから、 [送信元] のIPアドレスまたはセキュリティグループを指定することをお勧めします。
      IPアドレスとセキュリティグループの割り当ての詳細については、AWSのヘルプを参照してください。
  14. すべてのトラフィックを許可するように、 [Outbound rules] が初期設定に設定されていることを確認します。
    注意
    注意
    トレンドマイクロ では、送信ポートルールに初期設定を使用することをお勧めします。追加の送信ルールを設定すると、Virtual Network SensorがNetwork Inventoryに接続する機能に影響する場合があります。
  15. ルールにタグを割り当てます。
  16. [Create security group]をクリックします。
    セキュリティグループが作成され、新しく作成されたセキュリティグループの詳細ページが開きます。
    これで、環境の準備が整いました。 Virtual Network Sensorインスタンスの起動