AWS CloudTrailの接続

接続されたTrend Micro Vision One環境との統合により、AWS CloudTrailログを分析し、異常なアクティビティに関するアラートを受信します。

重要:

これは「プレリリース」機能であり、公式リリースとは見なされません。この機能を使用する前に、 プレリリースに関する免責事項 を確認してください。

  1. Trend Micro Cloud Oneコンソールで使用されている登録トークンをコピーして、 Trend Micro Vision One コンソールを特定します。
    1. Trend Micro Vision One コンソールで、 Point Product Connection > Product Connectorに移動します。
    2. 接続をクリックします。
    3. Trend Micro Cloud Oneを選択します。
    4. クリックして登録トークンを生成します 。リンクをクリックします。
    5. 登録トークンをコピーします。
  2. 登録トークンを使用して、 Trend Micro Cloud One環境とTrend Micro Vision Oneを統合します。
    1. Trend Micro Cloud Oneコンソールを開き、画面下部の統合をクリックします。
    2. ナビゲーションバーのTrend Micro Vision One™をクリックします。
    3. 登録トークンセクションで、登録トークンを登録するをクリックします。
    4. 登録トークンを貼り付け、登録をクリックします。
    5. 接続ステータスリストで、AWS CloudTrailのステータス"Connected"であることを確認します。
  3. Trend Micro Vision One コンソールで、 Trend Micro Cloud Oneサービスへの接続を有効にします。
    1. Point Product Connection > Product Connectorに移動します。
    2. Trend Micro Cloud Oneをクリックします。
    3. AWS CloudTrailサービスが有効になっていることを確認します。
    4. 保存をクリックします。
  4. AWS CloudTrailデータへの読み取り専用アクセスを提供するには、AWSアカウントをTrend Micro Cloud Oneに接続します。
    重要:

    次のAWSの手順と画面キャプチャは、2022年11月15日時点で有効です。詳細については、AWSのドキュメントを参照してください。

    1. Trend Micro Cloud Oneコンソールを開き、画面下部の統合をクリックします。
    2. ナビゲーションバーのクラウドアカウントをクリックし、AWSタブが表示されていることを確認します。
    3. 新規をクリックします。
    4. 新しいブラウザウィンドウを開き、AWSアカウントにサインインします。
    5. AWSアカウントに接続画面に戻り、AWSリージョンを選択してスタックの起動をクリックし、AWS管理コンソールを新しいブラウザタブで開いてIAMロール作成テンプレートを実行します。
    6. スタックのクイック作成画面で、機能セクションまでスクロールします。
    7. AWS CloudFormationによってIAMリソースが作成される場合があることを確認しますを選択します。
    8. スタックの作成をクリックします。
  5. CloudTrailをTrend Micro Cloud Oneに接続するには、AWSアカウントでCloudFormationテンプレートを起動します。
    1. Trend Micro Cloud Oneコンソールを開き、画面下部の統合をクリックします。
    2. ナビゲーションバーのクラウドアカウントをクリックし、AWSタブが表示されていることを確認します。
    3. CloudTrail統合の管理に使用するAWSアカウントをクリックします。
    4. [AWS CloudTrail integration]の横にある有効にするをクリックして、AWS CloudTrailの統合パネルを開きます。
    5. 新しいブラウザウィンドウを開き、AWSアカウントにサインインします。
    6. AWS CloudTrailの統合パネルに戻り、CloudFormationテンプレートで使用されているAWSリージョンを選択します。
    7. スタックの起動をクリックして、CloudFormationテンプレートをAWSアカウントで自動的に起動します。

      ブラウザに新しいタブが自動的に開き、AWSアカウントのスタックのクイック作成画面が表示されます。

    8. パラメータセクションの既存のCloudtrailBucketNameフィールドで、 Trend Micro Cloud Oneへの転送に使用する既存のバケットの名前を指定します。
      警告:

      既存のCloudTrailインスタンスを使用している場合は、既存のCloudTrailバケットリソースを指定するか、新しいバケットが作成されるため、AWSの追加料金が発生する可能性があります。

      既存のCloudTrailバケットがない新規ユーザの場合、最初のバケットは無料で含まれるため、このフィールドは空白のままにしてください。

    9. 機能と変換セクションですべてのアクセス権を確認します。
    10. スタックの作成をクリックします。

    スタックの作成後、データ収集が開始するまで少なくとも15分かかります。

  6. Searchアプリでデータを検索して、CloudTrailのデータ収集が機能していることを確認します。
    1. Trend Micro Vision One コンソールで、 XDR Threat Investigation > Searchに移動します。
    2. 検索方法クラウドアクティビティデータに変更します。
    3. クイック検索を実行してCloudTrailデータを特定します。

      たとえば、次の検索文字列を入力してSearchをクリックします。

      productCode:sct

    CloudTrailのデータ収集が機能していることを確認したら、 Workbench アプリ(XDR Threat Investigation > Workbench)で検出モデルをトリガするCloudTrailイベントのアラートの受信を開始できます。

親トピック: サポート対象製品の必須設定