目次

Trend Micro Vision OneにAWS CloudTrailログを転送する

この機能は、コントロールリリースの一部であり、 プレビューにあります。このページの内容は変更されることがあります。 { .preview }

プライベートプレビューの制限事項

  • CloudTrailクライアントのアップグレードはサポートされていません。再デプロイするには、既存のCloudTrail Clientを削除して、新しいクライアントをプルします。
  • スタック作成リンクの生成後、30日間有効です。30日後、CloudTrailログは Trend Micro Vision One に転送されなくなるため、スタック作成リンクを再生成し、以前のスタックを削除して、更新されたリンクで新しいスタックを配信する必要があります。

Trend Micro Vision One のXDR機能は、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークなどの複数の経路で収集されたデータを使用して、効果的なエキスパート分析とグローバルな脅威インテリジェンスを適用します。Trend Micro Vision One では、AWSアカウントの AWS CloudTrail ログを分析し、脅威や攻撃を特定し、問題についてアラートを発し、ログの可視化を作成することもできます。

CloudTrailログを Trend Micro Vision Oneに転送するには、次の3つの手順を実行する必要があります。

  • 手順1: プレビューに登録し、 Trend Micro Vision Oneを有効にします
  • 手順2:AWSアカウントにCloudTrail Clientをデプロイする
  • 手順3: Trend Micro Vision OneのCloudTrailデータにアクセスする

手順1: プレビューに登録し、 Trend Micro Vision Oneを有効にします

プライベートプレビューに参加するように選択されている場合は、 Trend Micro Cloud One チームの担当者から連絡があります。参加する場合は、担当者がアカウントのXDR機能を有効にし、リンクを提供します。

  1. Trend Vision Oneで、 Trend Cloud One を Trend Vision Oneに登録するために使用する登録トークンを取得します。この方法の詳細については、 Trend Vision One のドキュメントを参照してください。

    Trend Micro Vision One 製品のコネクタページ

  2. Trend Micro Cloud One の担当者から提供されたリンクを使用して、メールとパスワードで Trend Micro Cloud One にログインします。

    Trend Micro Cloud One サインインページ(メールアドレスとパスワードを使用)

    レガシーサインイン は、この機能ではサポートされていません。 {.note}

  3. https://cloudone.trendmicro.com/management/vision-one, [ Register登録トークン ]を選択し、手順1で取得した登録トークンを使用して登録します。

    Trend Micro Cloud One コンソールのTrend Micro Vision One ページ

  4. Trend Micro Vision One 接続ステータスが「接続中」の場合は、リフレッシュをクリックします。この機能が有効になると、「接続済み」と表示されます。

    Trend Micro Cloud One コンソールのTrend Micro Vision One ページ

    Trend Micro Vision One ポータルの[製品コネクタ]画面に、CloudTrailサービスが有効になっていることが表示されます。

    Trend Micro Vision One 製品のコネクタページ

手順2:AWSアカウントにCloudTrail Clientをデプロイする

  1. APIキーを生成する CloudTrail Clientで使用します。

  2. API Postリクエストを実行します。

    https://cloudtrail.us-1.cloudone.trendmicro.com/api/stacks

    たとえば、Postmanでは次のようになります。

    POSTリクエストの例

    または、Curlコマンドを使用してリンクを取得します。

    curl --location --request POST 'https://{{SERVICE-CLOUD-TRAIL}}/api/stacks' \
    --header 'Authorization: ApiKey {{C1_API_KEY}}' \
    --header 'Api-Version: v1' \
    --data-raw ''

  3. AWS CloudFormationを使用してスタックを作成します。前の手順で生成した createStackURL リンクをクリックすると、 https://console.aws.amazon.com/cloudformation/.にリダイレクトされます。アクセス機能を確認し、[Create Stack]を選択します。ステータスが「CREATE_COMPLETE」に変わるまで待ちます。

    詳細については、AWSドキュメントのAWS コンソールでのスタックの作成を参照してください。

    AWS CloudFormationのCreate Stackページ

手順3: Trend Micro Vision OneのCloudTrailデータにアクセスする

配信が完了すると、CloudTrail Clientは自動的にデータの収集を開始します。AWSのドキュメントのログファイルの取得と表示を参照してください。

Trend Micro Cloud One は、トークンを使用してCloudTrail Clientからの要求を認証し、データを転送します。

Cloud Activity Data 検索方法を使用して、Trend Vision One コンソールでCloudTrailイベントを検索できます。

Trend Micro Vision One 検索

CloudTrailイベントが Trend Micro Vision OneのSecurity Analytics Engineフィルタに一致すると、検出がWorkbenchアプリに表示され、CloudTrail不正イベントの根本原因分析グラフが表示されます。

Trend Micro Vision One Workbenchアプリ