AWSアカウントを追加してCloud Accountsアプリに接続し、 Trend Vision Oneでクラウドアセットのセキュリティを提供できるようにします。
AWSアカウントをCloud Accountsアプリに追加すると、 Trend Vision One がクラウドサービスにアクセスできるようになり、クラウドアセットのセキュリティと可視性が提供されます。一部のクラウドアカウント機能では、AWSリージョンのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項 。
重要この手順は、2023年11月現在のAWSコンソールで有効です。
|
手順
- Trend Vision One コンソールにサインインします。
- Trend Vision One コンソールで、 。
- [アカウントを追加]をクリックします。[クラウドアカウントを追加] ウィンドウが表示されます。
- [Single AWS Account]を選択します。
- アカウントの一般情報を指定します。
- Cloud Accountsアプリに表示する [アカウント名] を指定します。
- Cloud Accountsアプリに表示する [説明] を指定します。
- CloudFormationテンプレートをデプロイするAWSリージョンを選択します。
注意
初期設定のリージョンは、 Trend Vision One リージョンに基づいています。一部の機能と権限では、一部のAWSリージョンのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項 。 - アカウントで有効にする [機能と権限] を選択します。
重要
エージェントレスの脆弱性 & 脅威の検出、AWS VPC フローログのクラウド検出、および File Security Storage はプレリリースのサブ機能であり、公式の商用リリースまたは一般リリースの既存機能の一部ではありません。サブ機能を使用する前に、プレリリース サブ機能に関する免責を確認してください。[AWSのクラウド対応]および[Real-Time Posture Monitoring]を使用するには、アカウントで[AWS CloudTrailのクラウド検出]を有効にする必要があります。-
[主な機能]: AWSアカウントを Trend Vision One に接続して、クラウドアセットを検出し、クラウドインフラストラクチャのコンプライアンスやセキュリティのベストプラクティス違反などのリスクを迅速に特定します。
-
[Agentless Vulnerability & Threat Detection]: AWSアカウントでエージェントレスで脆弱性と脅威を検出し、アプリケーションに影響を与えることなくEC2インスタンスに接続されたAWS EBSボリュームとECRイメージの脆弱性を検出します。[Scanner Configuration] をクリックして、スキャンに含めるリソースタイプを指定します。現在サポートされている AWS リソースタイプは 2 つあります: EBS (Elastic Block Store) と ECR (Elastic Container Registry) です。(AWS Lambda は近日公開予定です。)機能をデプロイするAWSリージョンを選択します。
-
[Amazon ECSのコンテナ保護]: Trend Vision One Container Security をAWSアカウントにデプロイして、Elastic Container Service (ECS) 環境のコンテナとコンテナイメージを保護します。 Trend Vision One Container Security は、脅威と脆弱性を検出し、ランタイム環境を保護し、配信ポリシーを適用します。機能をデプロイするAWSリージョンを選択します。
重要
2023年11月現在、AWSのプライベートアカウントとフリーミアムアカウントでは、最大10件のLambdaの実行のみが許可されています。 Container Protectionをデプロイするには、Lambdaを20回以上同時に実行する必要があります。この機能を有効にする前に、AWSアカウントのステータスを確認してください。 -
[AWS CloudTrailのクラウド検出]: AWSアカウントでAWS CloudTrailのクラウド検出を有効にすると、権限昇格、パスワードの変更、データ漏えいの試行、許可されていない可能性のあるMFAの変更などのアクティビティを特定する検出モデルを使用して、ユーザ、サービス、およびリソースのアクティビティに関する実用的なインサイトを取得できます。
注意
この機能を使用するには、CloudTrail設定の追加設定が必要です。詳細については、CloudTrailの設定 。 -
[AWSのクラウド対応]: 不審なIAMユーザのアクセス権の取り消しなど、クラウドアカウント内のインシデントを封じ込めるための対応処理を実行する権限を Trend Vision One に許可します。追加の対応処理では、サードパーティのチケットシステムとの統合を活用します。
-
[File Security Storage]: Trend Vision One -File Securityストレージをクラウドアカウントに配置して、クラウド環境を保護します。 File Security Storageは不正プログラムを検出するため、クラウドストレージをプロアクティブに保護できます。 File Securityスキャナを配信するリージョンを選択します。機能をデプロイするAWSリージョンを選択します。
-
[Real-Time Posture Monitoring]: AWSアカウントにリアルタイムポスチャモニタリングを導入して、クラウド環境内のアクティビティやイベントに関する即時アラートをライブモニタリングで提供します。機能をデプロイするAWSリージョンを選択します。
-
[Cloud Detections for AWS VPC Flow Logs]: AWSアカウントでVPCフローログモニタリングを有効にして、仮想プライベートクラウド(VPC)フローログを収集し、Trend Vision OneがVPCトラフィックの洞察を得られるようにします。これにより、悪意のあるIPトラフィック、SSHブルートフォース攻撃、データ流出などを検出し、アラートを提供する検出モデルが有効になります。機能をデプロイするAWSリージョンを選択します。
-
- Server & Workload Protection Managerインスタンスが複数ある場合は、接続されたアカウントに関連付けるインスタンスを選択します。
注意
-
Server & Workload Protection Managerインスタンスが1つしかない場合、アカウントはそのインスタンスに自動的に関連付けられます。
-
- AWSコンソールでCloudFormationテンプレートを起動します。
- 起動前にスタックテンプレートを確認するには、 [テンプレートをダウンロードして確認]をクリックします。
- [スタックを起動]をクリックします。AWSマネジメントコンソールが新しいタブで開き、 [スタックの簡易作成] 画面が表示されます。
- AWSマネジメントコンソールで、 [スタックの簡易作成] 画面の手順を完了します。
- デフォルト以外の名前を使用する場合は、新しい [スタック名]を指定します。
- AWS CloudTrailのクラウド検出を有効にしている場合にのみ、 [パラメータ] セクションで次のパラメータを設定します。
-
[CloudAuditLogMonitoringCloudTrailArn]には、監視するCloudTrailのARNを指定します。
-
[CloudAuditLogMonitoringCloudTrailSNSTopicArn]には、CloudTrail SNSトピックのARNを指定します。
重要
-
監視対象のCloudTrailとCloudTrail SNSは、同じアカウントにあり、テンプレートのデプロイ用に選択したのと同じリージョンに配置されている必要があります。
-
[パラメータ] セクションの他の設定は変更しないでください。 CloudFormationによって、パラメータの設定が自動的に提供されます。パラメータを変更すると、スタックの作成に失敗することがあります。
-
-
- [機能] セクションで、次の確認応答を選択します。
-
[AWS CloudFormationがカスタム名のIAMリソースを作成する可能性があることを認めます。]
-
[AWS CloudFormationが次の機能を必要とする可能性があることを認めます: CAPABILITY_AUTO_EXPAND]
-
- [スタックの作成]をクリックします。新しいスタックの [スタックの詳細] 画面が表示され、 [イベント] タブが表示されます。作成には数分かかることがあります。 [更新] をクリックして、進行状況を確認します。
- Trend Vision One コンソールで、 [終了]をクリックします。CloudFormationテンプレートのデプロイが完了すると、アカウントが[Cloud Accounts]に表示されます。画面を更新してテーブルを更新します。