目次

AWS CloudTrailの統合

このページのトピック
AWS CloudTrailに接続する

この機能は現在、プライベートプレビューであり、すべてのTrend Cloud Oneユーザが利用できるわけではありません。

Trend Vision One とTrend Cloud One の両方のアカウントをお持ちの場合は、AWS CloudTrailを使用してAWS CloudTrailログをTrend Vision Oneに転送できます。

AWS CloudTrailに接続する

  1. 組織の管理者から登録トークンを取得します。

    組織のXDR管理者は、ここの手順に従って、トークンを取得できます。

    このトークンは、生成後24時間のみ有効です。有効期限が切れている場合は、同じ手順で新しいものを生成します。 {: .note }

  2. Trend Cloud One コンソールのホームページで、Integrations アイコンをクリックし、[Vision One] を選択します。

  3. ナビゲーションバーで Trend Vision One を選択し、登録トークンの登録 をクリックします。

  4. 組織の管理者から受け取った登録トークンを貼り付け、[ Register ]をクリックします。

    登録に成功すると、Trend Cloud One - Endpoint & Workloadによってアクティビティログが自動的にTrend Micro XDRに転送され、登録ステータスが[登録済み]に変更されます。 {: .note }

  5. Trend Vision One から Endpoint & Workload Securityへのシングルサインオン (SSO) を許可する場合は、Trend Vision One トグルでSSOを有効にして、Saveをクリックします。

  6. Trend Vision One コンソールで、Trend Cloud One サービスへの接続を有効にします。

    1. [製品の接続]→[製品コネクタ]に移動します。
    2. [Trend Cloud One] を選択します。
    3. AWS CloudTrailサービスが有効になっていることを確認します。
    4. [保存] をクリックします。

  7. AWSアカウントをTrend Cloud One に接続して、AWS CloudTrailデータへの読み取り専用アクセスを提供します。

    1. Trend Cloud One コンソールを開き、画面下部の Integrations をクリックします。
    2. ナビゲーションバーの[ Cloud Accounts ]をクリックします。
    3. 新規 をクリックします。
    4. 新しいブラウザウィンドウを開き、AWSアカウントにサインインします。
    5. [AWSアカウントの接続]画面に戻り、AWSリージョンを選択し、[ Launch Stack ]をクリックして新しいブラウザタブでAWS管理コンソールを開き、IAMロール作成テンプレートを実行します。
    6. [スタックのクイック作成]画面で、[機能]セクションまでスクロールします。
    7. [AWS CloudFormationがIAMリソースを作成する可能性があることを認めます]チェックボックスを選択します。
    8. [ Create stack ]をクリックします。

  8. CloudTrailをTrend Cloud Oneに接続するには、AWSアカウントのCloudFormationテンプレートを起動します。

    1. Trend Cloud One コンソールを開き、画面下部の Integrations をクリックします。
    2. ナビゲーションバーでTrend Vision One™を選択します。
    3. ナビゲーションバーの[ User Accounts ]をクリックし、[AWS]タブが表示されていることを確認します。
    4. CloudTrail統合の管理に使用するAWSアカウントを選択します。
    5. [AWS CloudTrail integration]の横にある[ Enable ]をクリックして、AWS CloudTrail Integrationパネルを開きます。
    6. 新しいブラウザウィンドウを開き、AWSアカウントにサインインします。
    7. [AWS CloudTrail Integration]パネルで、CloudFormationテンプレートで使用されている AWSリージョンを選択します。

    8. [ Launch Stack ]をクリックして、CloudFormationテンプレートをAWSアカウントに自動的に起動します。

      ブラウザで自動的に新しいタブが開き、AWSアカウントの[クイックスタック作成]画面が表示されます。

    9. [パラメータ] セクションの [ExistingCloudtrailBucketName] 項目に、Trend Cloud One への転送に使用する既存のバケットの名前を指定します。

      既存のCloudTrailバケットリソースを指定しない場合、新しいバケットが作成され、AWSの追加料金が発生します。 {: .warning }

    10. [機能]セクションですべてのアクセス権を確認します。

    11. [ Create stack ]をクリックします。

      スタックの作成後、データ収集が開始されるまでに少なくとも15分かかります。

  9. 検索アプリでデータを検索して、CloudTrailのデータ収集が機能していることを確認します。

    1. Trend Vision One コンソールで、XDR Threat Investigation > Search の順に選択します。
    2. [検索方法]を[クラウドアクティビティデータ]に変更します。
    3. クイック検索を実行してCloudTrailデータを特定します。 たとえば、次の検索文字列を入力して[ Search ]をクリックします。 productCode:sct

CloudTrailのデータ収集が機能していることを確認したら、ワークベンチアプリ(XDR Threat Investigation > Workbench)で検出モデルをトリガするCloudTrailイベントのアラートの受信を開始できます。