目次
このページのトピック
手順1: プレビューに登録し、 Trend Micro Vision Oneを有効にします
手順2:AWSアカウントにCloudTrail Clientをデプロイする
手順3: Trend Micro Vision OneのCloudTrailデータにアクセスする

Trend Micro Vision OneにAWS CloudTrailログを転送する

この機能は、コントロールリリースの一部であり、 プレビューにあります。このページの内容は変更されることがあります。

プライベートプレビューの制限事項

  • CloudTrailクライアントのアップグレードはサポートされていません。再デプロイするには、既存のCloudTrail Clientを削除して、新しいクライアントをプルします。
  • スタック作成リンクの生成後、30日間有効です。30日後、CloudTrailログは Trend Micro Vision One に転送されなくなるため、スタック作成リンクを再生成し、以前のスタックを削除して、更新されたリンクで新しいスタックを配信する必要があります。

Trend Micro Vision One のXDR機能は、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークなどの複数の経路で収集されたデータを使用して、効果的なエキスパート分析とグローバルな脅威インテリジェンスを適用します。Trend Micro Vision One では、AWSアカウントの AWS CloudTrail ログを分析し、脅威や攻撃を特定し、問題についてアラートを発し、ログの可視化を作成することもできます。

CloudTrailログを Trend Micro Vision Oneに転送するには、次の3つの手順を実行する必要があります。

  • 手順1: プレビューに登録し、 Trend Micro Vision Oneを有効にします
  • 手順2:AWSアカウントにCloudTrail Clientをデプロイする
  • 手順3: Trend Micro Vision OneのCloudTrailデータにアクセスする

手順1: プレビューに登録し、 Trend Micro Vision Oneを有効にします

プライベートプレビューに参加するように選択されている場合は、 Trend Micro Cloud One チームの担当者から連絡があります。参加する場合は、担当者がアカウントのXDR機能を有効にし、リンクを提供します。

  1. Trend Vision Oneで、 Trend Cloud One を Trend Vision Oneに登録するために使用する登録トークンを取得します。この方法の詳細については、 Trend Vision One のドキュメントを参照してください。

    Trend Micro Vision One 製品のコネクタページ

  2. Trend Micro Cloud One の担当者から提供されたリンクを使用して、メールとパスワードで Trend Micro Cloud One にログインします。

    Trend Micro Cloud One サインインページ(メールアドレスとパスワードを使用)

    レガシーサインイン は、この機能ではサポートされていません。

  3. https://cloudone.trendmicro.com/management/vision-one, [ Register登録トークン ]を選択し、手順1で取得した登録トークンを使用して登録します。

    Trend Micro Cloud One コンソールのTrend Micro Vision One ページ

  4. Trend Micro Vision One 接続ステータスが「接続中」の場合は、リフレッシュをクリックします。この機能が有効になると、「接続済み」と表示されます。

    Trend Micro Cloud One コンソールのTrend Micro Vision One ページ

    Trend Micro Vision One ポータルの[製品コネクタ]画面に、CloudTrailサービスが有効になっていることが表示されます。

    Trend Micro Vision One 製品のコネクタページ

手順2:AWSアカウントにCloudTrail Clientをデプロイする

  1. APIキーを生成する CloudTrail Clientで使用します。

  2. API Postリクエストを実行します。

    https://cloudtrail.us-1.cloudone.trendmicro.com/api/stacks

    たとえば、Postmanでは次のようになります。

    POSTリクエストの例

    または、Curlコマンドを使用してリンクを取得します。

    curl --location --request POST 'https://{{SERVICE-CLOUD-TRAIL}}/api/stacks' \
    --header 'Authorization: ApiKey {{C1_API_KEY}}' \
    --header 'Api-Version: v1' \
    --data-raw ''

  3. AWS CloudFormationを使用してスタックを作成します。前の手順で生成した createStackURL リンクをクリックすると、 https://console.aws.amazon.com/cloudformation/.にリダイレクトされます。アクセス機能を確認し、[Create Stack]を選択します。ステータスが「CREATE_COMPLETE」に変わるまで待ちます。

    詳細については、AWSドキュメントのAWS コンソールでのスタックの作成を参照してください。

    AWS CloudFormationのCreate Stackページ

手順3: Trend Micro Vision OneのCloudTrailデータにアクセスする

配信が完了すると、CloudTrail Clientは自動的にデータの収集を開始します。AWSのドキュメントのログファイルの取得と表示を参照してください。

Trend Micro Cloud One は、トークンを使用してCloudTrail Clientからの要求を認証し、データを転送します。

Cloud Activity Data 検索方法を使用して、Trend Vision One コンソールでCloudTrailイベントを検索できます。

Trend Micro Vision One 検索

CloudTrailイベントが Trend Micro Vision OneのSecurity Analytics Engineフィルタに一致すると、検出がWorkbenchアプリに表示され、CloudTrail不正イベントの根本原因分析グラフが表示されます。

Trend Micro Vision One Workbenchアプリ