このページのトピック
Trend Micro Vision OneにAWS CloudTrailログを転送する
この機能は、コントロールリリースの一部であり、 プレビューにあります。このページの内容は変更されることがあります。 { .preview }
プライベートプレビューの制限事項
- CloudTrailクライアントのアップグレードはサポートされていません。再デプロイするには、既存のCloudTrail Clientを削除して、新しいクライアントをプルします。
- スタック作成リンクの生成後、30日間有効です。30日後、CloudTrailログは Trend Micro Vision One に転送されなくなるため、スタック作成リンクを再生成し、以前のスタックを削除して、更新されたリンクで新しいスタックを配信する必要があります。
Trend Micro Vision One のXDR機能は、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークなどの複数の経路で収集されたデータを使用して、効果的なエキスパート分析とグローバルな脅威インテリジェンスを適用します。Trend Micro Vision One では、AWSアカウントの AWS CloudTrail ログを分析し、脅威や攻撃を特定し、問題についてアラートを発し、ログの可視化を作成することもできます。
CloudTrailログを Trend Micro Vision Oneに転送するには、次の3つの手順を実行する必要があります。
- 手順1: プレビューに登録し、 Trend Micro Vision Oneを有効にします
- 手順2:AWSアカウントにCloudTrail Clientをデプロイする
- 手順3: Trend Micro Vision OneのCloudTrailデータにアクセスする
手順1: プレビューに登録し、 Trend Micro Vision Oneを有効にします
プライベートプレビューに参加するように選択されている場合は、 Trend Micro Cloud One チームの担当者から連絡があります。参加する場合は、担当者がアカウントのXDR機能を有効にし、リンクを提供します。
-
Trend Vision Oneで、 Trend Cloud One を Trend Vision Oneに登録するために使用する登録トークンを取得します。この方法の詳細については、 Trend Vision One のドキュメントを参照してください。
-
Trend Micro Cloud One の担当者から提供されたリンクを使用して、メールとパスワードで Trend Micro Cloud One にログインします。
レガシーサインイン は、この機能ではサポートされていません。 {.note}
-
https://cloudone.trendmicro.com/management/vision-one, [ Register登録トークン ]を選択し、手順1で取得した登録トークンを使用して登録します。
-
Trend Micro Vision One 接続ステータスが「接続中」の場合は、リフレッシュをクリックします。この機能が有効になると、「接続済み」と表示されます。
Trend Micro Vision One ポータルの[製品コネクタ]画面に、CloudTrailサービスが有効になっていることが表示されます。
手順2:AWSアカウントにCloudTrail Clientをデプロイする
-
APIキーを生成する CloudTrail Clientで使用します。
-
API Postリクエストを実行します。
https://cloudtrail.us-1.cloudone.trendmicro.com/api/stacks
たとえば、Postmanでは次のようになります。
または、Curlコマンドを使用してリンクを取得します。
curl --location --request POST 'https://{{SERVICE-CLOUD-TRAIL}}/api/stacks' \
--header 'Authorization: ApiKey {{C1_API_KEY}}' \
--header 'Api-Version: v1' \
--data-raw ''
-
AWS CloudFormationを使用してスタックを作成します。前の手順で生成した createStackURL リンクをクリックすると、 https://console.aws.amazon.com/cloudformation/.にリダイレクトされます。アクセス機能を確認し、[Create Stack]を選択します。ステータスが「CREATE_COMPLETE」に変わるまで待ちます。
詳細については、AWSドキュメントのAWS コンソールでのスタックの作成を参照してください。
手順3: Trend Micro Vision OneのCloudTrailデータにアクセスする
配信が完了すると、CloudTrail Clientは自動的にデータの収集を開始します。AWSのドキュメントのログファイルの取得と表示を参照してください。
Trend Micro Cloud One は、トークンを使用してCloudTrail Clientからの要求を認証し、データを転送します。
Cloud Activity Data 検索方法を使用して、Trend Vision One コンソールでCloudTrailイベントを検索できます。
CloudTrailイベントが Trend Micro Vision OneのSecurity Analytics Engineフィルタに一致すると、検出がWorkbenchアプリに表示され、CloudTrail不正イベントの根本原因分析グラフが表示されます。