ビュー:

AWS Organizationを接続して、Cloud Accountsアプリにアカウントをすばやく追加します。

Cloud Accountsは、AWS Organizationによって管理されているアカウントを、ルートアカウントまたは組織単位 (OU) レベルに機能を展開することで追加することをサポートします。AWS OrganizationをCloud Accountsに追加することで、Trend Vision Oneが管理するクラウドアカウントへのアクセスを迅速に許可し、クラウドアセットのセキュリティと可視性を提供します。一部のクラウドアカウント機能は、AWSリージョンに対してサポートが限定されています。詳細については、AWSがサポートするリージョンと制限事項を参照してください。
関連情報

AWS Organizationの前提条件と展開の詳細 親トピック

AWS OrganizationをTrend Vision Oneに接続する前に、成功する接続を確保するために事前展開要件を確認してください。

開始する前に、接続したいAWS OrganizationのAWS CloudFormationスタックセットを作成および管理する権限を含む、管理者権限を持つサインインまたはユーザロールへのアクセスがあることを確認してください。詳細については、AWS CloudFormation StackSets and AWS Organizationsを参照してください。
始める前に、次の点について考慮してください。
  • Cloud Accountsアプリは現在、CloudFormationスタックテンプレートを使用してAWS組織を接続することのみをサポートしています。
  • 接続したいAWS OrganizationのAWS CloudFormationスタックセットを作成および管理する権限を含む、管理者権限を持つサインインまたはユーザロールへのアクセスが必要です。詳細については、AWS CloudFormation StackSets and AWS Organizationsを参照してください。
  • AWS組織を追加すると、その組織によって管理されているアカウントは、組織全体に設定された同じ設定を適用することが強制されます。組織の一部として追加された個々のアカウントの設定は変更できません。
    AWSオーガニゼーションによって管理されている個々のアカウントに異なる設定を適用するには、それらのアカウントを個別に追加する必要があります。アカウントをAWSオーガニゼーションに追加する前に追加するか、[OrganizationExcludedAccounts]パラメータを使用してそれらのアカウントをスタックデプロイメントから除外してください。
  • AWSの制限により、StackSetsは管理アカウントにリソースをデプロイしません。管理アカウントを追加するには、CloudFormationを使用してAWSアカウントを接続するを参照してください。
    詳細については、AWS組織に接続した後、管理アカウントが表示されないのはなぜですか?を参照してください。
Trend Vision Oneは、AWSオーガニゼーションの一部として追加されたAWSアカウントの名前を設定するために、次のルール構造を使用します。
  1. AWS account alias: AWSアカウントにAWSアカウントエイリアスがある場合、それがCloud Accountsアプリでのアカウント表示名として使用されます。アカウントエイリアスは、12桁のアカウントIDの代わりにAWSアカウントに割り当てられる名前です。
  2. Organization AWS account name: アカウントにエイリアスがない場合、AWSアカウント名が使用されます。Trend Vision Oneは、AWS Organizationsの階層からアカウント名を取得するために組織系譜データベースの検索を行います。
    注意
    注意
    AWSアカウントエイリアスは、2つの重要な点でAWSアカウント名と異なります。
    • エイリアスは任意ですが、アカウント名は必須です
    • アカウント名はAWS Organizations内で組織構造に使用されますが、エイリアスは組織に関係なく個々のAWSアカウントを一意に識別します。
  3. User-provided account name: アカウントにエイリアスがなく、組織のアカウント名が見つからない場合、Trend Vision Oneは組織の検索を再試行し、フォールバック形式{user-input}-{aws-account-id}を検出しようとします。この形式では、アカウントを作成したユーザがAWSアカウントIDを含むアカウント名を提供しています。

Trend Vision OneがAWS組織の一部として接続されたAWSアカウント名をどのように生成するかの命名ロジックを確認してください。

Trend Vision Oneは、AWS組織アカウントの名前を設定するために次のロジックを使用します。
  1. AWS account alias: AWSアカウントにAWSアカウントエイリアスがある場合、それがCloud Accountsアプリでのアカウント表示名として使用されます。アカウントエイリアスは、12桁のアカウントIDの代わりにAWSアカウントに割り当てられる名前です。
  2. Organization AWS account name: アカウントにエイリアスがない場合、AWSアカウント名が使用されます。Trend Vision Oneは組織系譜データベースを検索して、AWS Organizationsの階層からアカウント名を取得します。
    注意
    注意
    AWSアカウントエイリアスは、2つの重要な点でAWSアカウント名と異なります。
    • AWSアカウントエイリアスは任意ですが、アカウント名は必須です。
    • AWSアカウント名は、組織構造のためにAWSオーガニゼーション内で使用されますが、エイリアスは組織に関係なく個々のAWSアカウントを一意に識別します。
  3. User-provided account name: アカウントにエイリアスがなく、AWSアカウント名が見つからない場合、Trend Vision Oneは組織の検索を再試行し、{user-input}-{aws-account-id}というフォールバック形式を検出しようとします。この形式では、アカウントを作成したユーザがAWSアカウントIDを含むアカウント名を提供しています。

AWS組織を接続します 親トピック

AWS組織をTrend Vision Oneに接続する手順を完了してください。
注意
注意
この手順は2023年11月時点のAWSコンソールに有効です。

手順

  1. Trend Vision One コンソールにサインインします。
  2. 別のブラウザタブで、AWS組織アカウントにサインインしてください。
  3. Trend Vision Oneコンソールで、[Cloud Security]Cloud Accounts[AWS]に移動します。
  4. [アカウントを追加]をクリックします。
    [Add AWS Account] ウィンドウが表示されます。
  5. デプロイタイプを指定してください。
    1. [Deployment Method] を選択し、[CloudFormation] を選択します。
    2. アカウントの種類を選択します。
      • 単一のAWSアカウント
    3. [次へ] をクリックします。
  6. 組織の一般情報を指定してください:
    1. Cloud Accountsに表示するために[アカウント名][説明]を提供してください。
      AWS Organizationが追加されると、AWSで以前に指定されたエイリアスがないすべてのメンバーアカウントは、Cloud Accountsアプリで自動生成された名前を受け取ります。
    2. CloudFormationテンプレートをデプロイするAWSリージョンを選択します。
      注意
      注意
      デフォルトのリージョンはあなたのTrend Vision Oneリージョンです。
      一部の機能と権限では、一部のAWSリージョンのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項を参照してください。
    3. 複数のServer & Workload Protectionマネージャインスタンスがある場合は、接続されたアカウントに関連付けるインスタンスを選択してください。
      注意
      注意
      • Server & Workload Protectionマネージャインスタンスが1つある場合、アカウントは自動的にそのインスタンスに関連付けられます。
    4. Trend Vision Oneによってデプロイされたリソースにカスタムタグを追加するには、[Resource tagging]を選択し、キーと値のペアを指定します。
      3 つまでのタグを追加するには、[新しいタグを作成] をクリックします。
      注意
      注意
      • キーは最大128文字までで、awsで始めることはできません。
      • 値は最大256文字までです。
    5. [次へ] をクリックします。
  7. クラウド環境へのアクセスを許可する[機能と権限]を構成します。
    重要
    重要
    • エージェントレスの脆弱性と脅威の検出はプレリリース機能であり、公式の商業リリースまたは一般リリースの既存の機能には含まれていません。機能を使用する前にプレリリースに関する免責事項を確認してください。
    • 組織をモニタするために[Cloud Detections for Amazon Security Lake]を使用する場合、他の管理アカウントからログを収集するために組織内のアカウントを設定する必要があります。組織アカウントを接続する前に、Trend Vision OneにSecurity Lakeアカウントを接続してください。
    • [AWSのクラウド対応]は、AWSアカウントの[AWS CloudTrailのクラウド検出]モニタリングを有効にする必要があります。有効にする方法は次のとおりです。
      • 個別のAWSアカウント: AWSアカウントで[AWS CloudTrailのクラウド検出]を有効にします。
      • AWS Organization: [AWS CloudTrailのクラウド検出]を有効にして[AWS Control Towerの導入]チェックボックスを選択するか、CloudTrailログ監視を有効にした[Amazon Security Lakeのクラウド検出]を有効にします。
    • 2023年11月時点で、AWSのプライベートおよびフリーミアムアカウントでは最大10回のLambda実行が許可されています。Container Protectionのデプロイには、少なくとも20回の同時Lambda実行が必要です。この機能を有効にする前に、AWSアカウントのステータスを確認してください。
    • ここに記載されている機能と権限のみが、組織管理アカウントへのデプロイをサポートしています。アカウントに追加の機能と権限を有効にしたい場合は、組織アカウントを接続する前に、個別にアカウントを接続する必要があります。
    • Core Features and Cyber Risk Exposure Management: AWSアカウントをTrend Vision Oneに接続して、クラウドアセットを検出し、クラウドインフラストラクチャのコンプライアンスやセキュリティのベストプラクティス違反などのリスクを迅速に特定します。
    • [Agentless Vulnerability & Threat Detection]: クラウドアカウントにエージェントレスによる脆弱性と脅威の検出を展開し、サポートされているクラウドリソースの脆弱性と不正プログラムをアプリケーションに影響を与えることなくスキャンします。
      [Scanner Configuration]をクリックして、スキャンするリソースの種類と、脆弱性、不正プログラム、またはその両方をスキャンするかどうかを選択します。
    • [Amazon ECSのコンテナ保護]: Trend Vision One Container Security をAWSアカウントにデプロイして、Elastic Container Service (ECS) 環境のコンテナとコンテナイメージを保護します。 Trend Vision One Container Security は、脅威と脆弱性を検出し、ランタイム環境を保護し、配信ポリシーを適用します。
    • [AWSのクラウド対応]: 不審なIAMユーザのアクセス権の取り消しなど、クラウドアカウント内のインシデントを封じ込めるための対応処理を実行する権限を Trend Vision One に許可します。追加の対応処理では、サードパーティのチケットシステムとの統合を活用します。
    • [Real-Time Posture Monitoring]: AWSアカウントにリアルタイムポスチャモニタリングを導入して、クラウド環境内のアクティビティやイベントに関する即時アラートをライブモニタリングで提供します。
    • [Cloud Detections for AWS VPC Flow Logs]: Virtual Private Cloud (VPC) フローログを収集するためにデプロイし、Trend Vision OneがVPCトラフィックの洞察を収集できるようにします。これにより、悪意のあるIPトラフィック、SSHブルートフォース攻撃、データ流出などを識別し、アラートを提供する検出モデルが有効になります。機能を有効にする前にAWS VPCフローログのクラウド検出に関する推奨事項と要件を確認してください。
      機能をデプロイするAWSリージョンを選択します。
      重要
      重要
      XDR for CloudはVPCフローログバージョン5以降のみをサポートしています。詳細については、AWS VPCフローログのクラウド検出に関する推奨事項と要件を参照してください。
  8. [次へ] をクリックします。
  9. AWSコンソールでCloudFormationテンプレートを起動します。
    1. スタックテンプレートを起動する前に確認するには、[テンプレートをダウンロードして確認]をクリックしてください。
    2. [スタックを起動]をクリックします。
      AWSマネジメントコンソールが新しいタブで開き、 [スタックの簡易作成] 画面が表示されます。
  10. AWSマネジメントコンソールで、 [スタックの簡易作成] 画面の手順を完了します。
    1. デフォルト以外の名前を使用する場合は、新しい [スタック名]を指定します。
    2. [Parameters]セクションで、次のパラメータを指定します: [AWS Root ID]または[OrganizationID]フィールドの[Organizational Unit (OU) ID]
      • [OrganizationID]: 組織アカウントの[AWS Root ID]または[Organizational Unit (OU) ID]を入力してください。
        複数の組織単位を追加するには、追加したい各組織単位の組織単位 (OU) ID を入力します。Trend Vision Oneは、スタックセットを各組織単位および関連する子アカウントにデプロイします。
      • (オプション)[OrganizationExcludedAccounts]:スタック内のモニタリング機能から除外したい組織内の任意のAWSアカウントのアカウントIDを入力してください。
        このパラメータフィールドを使用して、監視したくないアカウントや、異なる機能構成を使用したいアカウントを除外します。除外されたアカウントは、Cloud Accountsアプリに個別に接続できます。アカウントをカンマ (,) で区切ったリストとして入力してください。スペースは入れないでください。例えば、123456789012,345678901234
      重要
      重要
      [OrganizationExcludedAccounts]パラメータには、組織内のアカウントIDのみを含める必要があります。組織によって管理されていないアカウントのアカウントIDを追加すると、スタックのデプロイが失敗する可能性があります。
      [パラメータ] セクションの他の設定は変更しないでください。 CloudFormationによって、パラメータの設定が自動的に提供されます。パラメータを変更すると、スタックの作成に失敗することがあります。
    3. [機能] セクションで、次の確認応答を選択します。
      • [AWS CloudFormationがカスタム名のIAMリソースを作成する可能性があることを認めます。]
      • [AWS CloudFormationが次の機能を必要とする可能性があることを認めます: CAPABILITY_AUTO_EXPAND]
    4. [スタックの作成]をクリックします。
      新しいスタックの [スタックの詳細] 画面が表示され、 [イベント] タブが表示されます。作成には数分かかることがあります。 [更新] をクリックして、進行状況を確認します。
  11. Trend Vision One コンソールで、 [終了]をクリックします。
    CloudFormation テンプレートのデプロイが正常に完了すると、組織と関連するメンバーアカウントが Cloud Accounts に表示されます。テーブルを更新するには画面をリフレッシュしてください。