ビュー:

接続された Trend Vision One 環境との統合により、AWS CloudTrailログを分析し、異常なアクティビティに関するアラートを受信します。

手順

  1. Trend Vision One コンソールを識別するために、 Trend Cloud One コンソールで使用されている登録トークンをコピーします。
    1. Trend Vision One コンソールで、次の場所に移動します。[Point Product Connection][Product Connector]
    2. [接続] をクリックします。
    3. [Trend Cloud One]を選択します。
    4. [クリックして登録トークンを生成します] リンクをクリックします。
    5. 登録トークンをコピーします。
  2. 登録トークンを使用して、 Trend Cloud One 環境を Trend Vision Oneと統合します。
    1. Trend Cloud One コンソールを開き、画面下部の [統合] をクリックします。
      trendMicroCloudOneIntegrations=20221018145151.jpg
    2. ナビゲーションバーの [Trend Vision One™] をクリックします。
    3. [登録トークン] セクションで、 [登録トークンの登録]をクリックします。
    4. 登録トークンを貼り付けて、 [登録]をクリックします。
    5. [接続状態] リストで、AWS CloudTrailの [ステータス][接続済み]であることを確認します。
  3. Trend Vision One コンソールで、 Trend Cloud Oneサービスへの接続を有効にします。
    1. [POINT PRODUCT CONNECTION][Product Connector] に移動します。
    2. [Trend Cloud One]をクリックします。
    3. [AWS CloudTrail] サービスが有効になっていることを確認します。
    4. [保存] をクリックします。
  4. AWS CloudTrailデータへの読み取り専用アクセスを提供するには、AWSアカウントを Trend Cloud One に接続します。
    重要
    重要
    次のAWSの手順と画面キャプチャは、2022年11月15日現在のものです。 詳細については、AWSのドキュメントを確認してください。
    1. Trend Cloud One コンソールを開き、画面下部の [統合] をクリックします。
    2. ナビゲーションバーの [Cloud Accounts] をクリックし、 [AWS] タブが表示されていることを確認します。
    3. [New] をクリックします。
    4. 新しいブラウザウィンドウを開き、AWSアカウントにログオンします。
    5. [AWSアカウントの接続] 画面に戻り、AWS リージョンを選択し、 [スタックを起動] をクリックして新しいブラウザタブで AWS マネジメントコンソールを開き、IAM ロール作成テンプレートを実行します。
    6. [スタックの簡易作成] 画面で、 [機能] セクションまで下にスクロールします。
      capabilitiesAWSAccountTemplate=20221116151919.jpg
    7. [AWS CloudFormationがIAMリソースを作成する可能性があることに同意します]を選択します。
    8. [スタックの作成]をクリックします。
  5. CloudTrailを Trend Cloud Oneに接続するには、AWSアカウントでCloudFormationテンプレートを起動します。
    1. Trend Cloud One コンソールを開き、画面下部の [統合] をクリックします。
      trendMicroCloudOneIntegrations=20221018145151.jpg
    2. ナビゲーションバーの [Cloud Accounts] をクリックし、 [AWS] タブが表示されていることを確認します。
    3. CloudTrail統合の管理に使用するAWSアカウントをクリックします。
    4. [AWS CloudTrail統合] の横にある [有効化] をクリックして、 [AWS CloudTrailの統合] パネルを開きます。
    5. 新しいブラウザウィンドウを開き、AWSアカウントにサインインします。
    6. [AWS CloudTrailの統合] パネルに戻り、CloudFormationテンプレートで使用されているAWSリージョンを選択します。
    7. [スタックを起動]をクリックして、AWSアカウントでCloudFormationテンプレートを自動的に起動します。
      ブラウザで新しいタブが自動的に開き、AWSアカウントの [[スタックの簡易作成]] 画面が表示されます。
      awsQuickStack=20221116150303.jpg
    8. [パラメータ] セクションの [ExistingCloudtrailBucketName] フィールドに、 Trend Cloud One への転送に使用する既存のバケットの名前を指定します。
      警告
      警告
      既存のCloudTrailインスタンスを使用している場合は、既存のCloudTrailバケットリソースを指定しないと、新しいバケットが作成されます。これにより、追加のAWSコストが発生する場合があります。
      既存のCloudTrailバケットを持たない新規のお客様の場合、最初のバケットは無料で含まれるため、このフィールドは空白のままにしておく必要があります。
    9. [機能と変換] セクションですべてのアクセス権を確認します。
      capabilitiesAndTransforms=20221116150909.jpg
    10. [スタックの作成]をクリックします。
    スタックの作成後、データ収集が開始されるまで15分以上待ちます。
  6. Searchアプリでデータを検索して、CloudTrailのデータ収集が機能していることを確認します。
    1. Trend Vision One コンソールで、 XDR Threat InvestigationSearchに移動します。
    2. [検索方法][クラウドアクティビティデータ]に変更します。
    3. クイック検索を実行して、CloudTrailデータを見つけます。
      たとえば、次の検索文字列を入力して [検索]をクリックします。
      productCode:sct
    CloudTrailデータ収集が機能していることを確認したら、 Workbenchアプリ (XDR Threat InvestigationWorkbench) で検出モデルをトリガーするCloudTrailイベントに関するアラートの受信を開始できます。