ビュー:
特長
説明
[ランタイムセキュリティ]
カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。
重要
重要
TrendAI™は、Runtime Security機能を有効にする前に、既存の要件に加えて、ECSクラスターのノードサイズに少なくとも追加で0.5 vCPUと1 GBのメモリを割り当てることを推奨します。これは一般的な推奨事項であり、クラスターのノードサイズや観測されたCPUおよびメモリの使用状況に基づいて調整できます。詳細はECSクラスターのCPUとメモリの割り当てを調整するをご覧ください。
[ランタイム検索]
クラスタで実行されているコンテナの一部であるOSとオープンソースコードの脆弱性を可視化します。
重要
重要
  • 脆弱性ランタイムスキャンは、純粋なARM64 CPUノードまたは純粋なx86_64 CPUノードを持つクラスタをサポートしています。混合CPUモードはサポートされていません。
  • 新しくデプロイされたイメージごとに脆弱性スキャンが行われ、その後24時間ごとに再スキャンされます。
  • 脆弱性ランタイム検索は、ECRイメージとECR以外のイメージの両方を含む、ECSクラスタ内のすべてのアクティブなイメージに対して実行されます。
  • Container Securityは、ECSクラスタ内のコンテナを定期的に検索します (5分ごと)。新しいキャッシュされていないイメージが検出されると、 Container Securityは検索リクエストを検索キューに送信します。これにより、検索LambdaでSBOMの生成がトリガーされます。このSBOMは、脆弱性検索のためにAsaaSにアップロードされます。

手順

  1. [Cloud Security][Container Security][Inventory/Overview]に移動します。
  2. ツリーで [Amazon ECS]をクリックし、リストでクラスタを見つけてクリックします。
  3. [ランタイムセキュリティ]をオンにします。
  4. [ランタイム検索]をオンにします。
  5. [保存] をクリックします。
重要
重要
ECSクラスターにtrendmicro:patch-exclude=trueAWSタグが適用されている場合、ラインタイムセキュリティを有効にすると、コンソールでクラスターが有効としてマークされますが、タスク定義のパッチ適用はトリガーされません。タグが削除されるまで、Container SecurityコンテナはクラスターのFargateタスクに注入されません。詳細については、Amazon ECSクラスターをパッチ適用から除外するを参照してください。
注意
注意
ECSクラスターがBottlerocket AMIを使用している場合、Container Securityを展開する前に追加の設定が必要です。詳細についてはAmazon ECS BottlerocketインスタンスでContainer Securityを有効にするを参照してください。