了解 Cloud Accounts 堆疊如何融入您的環境,以及資料如何與 TrendAI Vision One™ 共享。
下圖提供了部署堆疊如何適合您 AWS 雲端帳戶的抽象視覺化。此外,這些圖表顯示了相關 AWS 資產之間的信息流,以及這些資料如何與 TrendAI Vision One™ 共享以啟用雲端安全功能。
如需有關使用和部署到您 AWS 環境的資源的詳細資訊,請參閱在 AWS 環境中部署的資源 。
核心功能和堆疊部署 
當您將雲端帳戶堆疊部署到您的 AWS 帳戶時,該堆疊會創建 IAM 策略和角色,以允許 TrendAI Vision One™ 連接到您的帳戶。此外,還會根據您啟用的功能部署嵌套堆疊。
如需了解有關使用和部署到您 AWS 環境的資源的詳細資訊,請參閱 在 AWS 環境中部署的資源。
無代理弱點與安全威脅偵測部署於AWS
該圖顯示無代理弱點與安全威脅偵測功能如何使用您AWS帳戶中的資產來發現附加到EC2實例的EBS卷和ECR映像中的弱點。
無代理弱點與安全威脅偵測輸出流量
檢視在您 AWS 環境中由無代理弱點與安全威脅偵測部署堆疊所產生的輸出網路流量。
當您將無代理弱點及安全威脅偵測部署到您的AWS帳戶時,掃描基礎設施會產生輸出網路流量至AWS服務和TrendAI Vision One™雲端服務。所有輸出流量均使用HTTPS(TCP端口443)並採用TLS 1.2或更高版本的加密。
了解此流量對於配置防火牆規則、網路安全群組以及在受限網路環境中的合規要求非常重要。
 |
重要在任何已部署的資源上都沒有開啟輸入端口。所有掃描器元件使用拒絕輸入流量的安全群組。
|
流量類別
無代理弱點與安全威脅偵測堆疊在四個類別中產生輸出流量:
|
類別
|
描述
|
頻率
|
|
作業系統套件
|
在掃描器 EC2 Instance 啟動期間安裝的標準作業系統套件,包括 AWS CLI、Docker 執行環境和檔案系統工具。來源是標準的 Amazon Linux
套件庫。
|
每次啟動掃描器實例時
|
|
AWS 服務
|
使用 AWS SDK 進行計算、存儲、安全性和監控操作的 AWS 服務 API 調用,並使用 IAM 角色為基礎的驗證。目的地是標準的 AWS 區域端點。
|
連續
|
|
容器映像檔
|
從 AWS Elastic Container Registry (ECR) 公共畫廊拉取掃描器容器映像以啟動掃描器 EC2 實例。映像在實例的生命週期內會在本地快取。
|
每次啟動掃描器實例時
|
|
TrendAI Vision One™ 服務
|
連接到 TrendAI Vision One™ 雲端服務以進行掃瞄結果報告、安全威脅資訊更新和管理遙測。驗證使用自動輪替並存儲在 AWS Secrets Manager 的持有者令牌。
|
每次掃瞄及定期更新
|
目的地端點
下表列出了無代理弱點與安全威脅偵測堆疊通訊的所有目的端點:
|
目標
|
通訊埠
|
通訊協定
|
用途
|
sentry.{region}.cloudone.trendmicro.com |
443
|
HTTPS
|
Sentry 後端 API 用於模式更新、Lambda 更新、報告提交、遙測和日誌轉發
|
xlogr-{code}.xdr.trendmicro.com |
443
|
HTTPS
|
掃瞄結果、偵測事件和資產生命週期變更
|
api.{region}.xdr.trendmicro.com |
443
|
HTTPS
|
TrendAI Vision One™ 管理 API
|
*.{region}.amazonaws.com |
443
|
HTTPS
|
AWS 服務端點包括 S3、Secrets Manager、SQS、EBS、EC2、Lambda、CloudWatch、Step Functions、STS、AppConfig、KMS、CloudFormation、EventBridge、SSM、Cost
Explorer、IAM 和 ECR
|
public.ecr.aws |
443
|
HTTPS
|
從 ECR 公共畫廊掃描容器映像檔
|
|
作業系統套件庫
|
443
|
HTTPS
|
Amazon Linux 套件庫用於作業系統套件安裝
|
 |
注意不會將流量發送到TrendAI Vision One™和AWS以外的第三方服務。
|
元件清單
無代理弱點與安全威脅偵測堆疊透過四個 CloudFormation 堆疊部署。下表列出了每個堆疊中產生輸出流量的組件。
SentrySet 堆疊(每區域)
|
元件
|
類型
|
用途
|
|
調度器
|
Lambda
|
將傳入的掃瞄事件路由到適當的處理程序
|
|
即時掃描處理程序
|
Lambda
|
處理即時 EBS Snapshot 掃瞄事件
|
|
生命週期事件處理器
|
Lambda
|
追蹤 EC2、ECR 和 Lambda 資產生命週期事件,並將變更發送至 XLogR
|
|
排程掃描處理程式
|
Lambda
|
啟動定期完整帳戶掃描
|
|
資源收集器
|
Lambda
|
列舉帳戶中可掃描的資源
|
掃描器 CSF (雲端掃描器框架)
|
元件
|
類型
|
用途
|
|
scanner-aws-parse-volume
|
Lambda
|
通過 EBS Direct API 讀取 EBS 快照並解析磁碟分割區元資料
|
|
掃瞄器-aws-am-掃瞄
|
Lambda
|
使用 iCRC 模式引擎進行惡意程式防護掃描
|
|
scanner-aws-vuln-掃瞄
|
Lambda
|
弱點掃瞄
|
|
掃描器-AWS-構建報告
|
Lambda
|
將掃瞄結果彙總成最終報告
|
|
scanner-aws-send-xlogr
|
Lambda
|
將掃瞄結果發送到 XLogR 端點
|
|
EC2 管理員
|
Lambda
|
啟動和終止掃描器 EC2 實例
|
|
步驟函數
|
狀態機
|
協調掃瞄管道
|
VPCStack(VPC 流量日誌處理)
|
元件
|
類型
|
用途
|
|
VPCFlowLogProcessor
|
Lambda
|
從 S3 讀取 VPC Flow Logs 並發送至 XLogR 以獲得網路活動可見性
|
|
注意SentryShared 堆疊每個客戶帳戶部署一次。SentrySet、Scanner CSF 和 VPCStack 則是每個監控區域部署一次。
|
資料防護處理
以下資料將從您的 AWS 帳戶傳輸至 TrendAI Vision One™ 雲端服務:
-
掃瞄結果包括惡意程式偵測、弱點發現和完整性變更
-
資產清單更新
-
VPC 流量日誌摘要
-
操作遙測
|
重要原始工作負載資料,例如檔案內容和磁碟映像,絕不會離開您的AWS帳戶。所有掃描均在您的帳戶內本地進行。
|
安全考量
-
所有驗證令牌都存儲在 AWS Secrets Manager 中,並使用 KMS 加密
-
客戶憑證會自動輪替
-
未硬編碼或記錄任何憑證
-
所有流量均使用 TLS 1.2 或更高版本的加密
-
Proxy 設定支援透過
HTTP_PROXY和HTTPS_PROXY環境變數進行
AWS CloudTrail 部署的雲端偵測
TrendAI Vision One™ 支援透過單一帳戶或利用 ControlTower 來監控您的 CloudTrail 日誌。下方的圖表詳細說明了啟用 AWS CloudTrail 雲端偵測功能所使用的資源。
在 AWS 中部署 File Security Storage
下圖顯示了 File Security Storage 如何使用您 AWS 帳戶中的資產來監控和掃瞄檔案及雲端儲存。
