目次
このページのトピック
サポートされる地域
Amazon Security Lakeの統合
データの入力規則

Trend Cloud OneとAmazon Security Lakeの統合

この機能は、 コントロールリリースの一部であり、 プレビューにあります。このページの内容は変更されることがあります。

Amazon Security Lakeは、アカウントに組み込まれたセキュリティログ用のデータレイクです。データレイクはAmazon S3 バケットによってサポートされ、データを一連のLake Formationテーブルとして編成します。Amazon Security Lakeは、優れたクエリパフォーマンスとさまざまな分析インフラストラクチャとの互換性を維持しながら、大量のセキュリティログソースの保存とクエリのコストを最適化するように設計されています。Amazon Security Lakeのお客様は、データの低レベルの所有権を保持します。また、Amazon Security Lakeは、AWSネイティブのコアセキュリティログのセットを提供し、コストを最小限に抑え、パフォーマンスを最大化します。

Trend Cloud One Workload Securityは、仮想マシンおよびクラウドワークロードから次の情報を提供します。

  • プロセスアクティビティ
  • ファイルアクティビティ
  • レジストリ値のアクティビティ
  • ネットワークアクティビティ
  • DNSクエリアクティビティ
  • ユーザアカウントのアクティビティ

サポートされる地域

Trend Cloud Oneは、次のリージョンでAmazon Security Lakeをサポートします。

リージョンコード 地域名 (場所)
us-1 us-east-1 (バージニア北部)
au-1 ap-southeast-2 (シドニー)
jp-1 ap-northeast-1 (東京)
de-1 eu-central-1 (フランクフルト)

Amazon Security Lakeの統合

  1. Workload SecurityをTrend Vision Oneと統合し、アクティビティ監視を有効にします。
  2. AWSアカウントでAmazon Security Lakeを有効にします (「Amazon Security Lakeユーザガイド」を参照)。
  3. 次のように、 Workload Securityと統合するためのカスタムリソースを作成します。
    1. Security Lakeコンソールを開きます。
    2. ページの右上隅にあるAWSリージョンセレクタを使用して、カスタムソースを作成するリージョンを選択します。
    3. ナビゲーションペインで [カスタムソース] を選択し、[カスタムソースの作成] を選択します。
    4. [カスタムソースの詳細] セクションで、カスタムソースのグローバルに一意の名前を入力します。次に、カスタムソースからSecurity Lakeに送信されるデータの種類を示すOCSFイベントクラスを選択します。
    5. [データの書き込み権限を持つAWSアカウント] に、ログとイベントをデータレイクに書き込むカスタムソースのAWSアカウントID外部IDを入力します。

      外部IDはTrend Cloud OneアカウントIDで、AWSアカウントIDはトレンドマイクロ AWSアカウントID 868324285112です。

    6. [サービスアクセス]で、新しいサービスロールを作成して使用するか、AWS Glueを呼び出すためのアクセス権限をSecurity Lakeに付与する既存のサービスロールを使用します。
    7. [作成] を選択します。
    詳細については、「カスタムソースからデータを収集する」を参照してください。
  4. 統合APIを呼び出して、データをAmazon Security Lakeに転送します。
    次の情報を使用して、PostmanまたはPawで要求を作成します。

    API: POST https://security-lake.{region}.cloudone.trendmicro.com/api/registrations/

        最初のヘッダ:

      キー: 承認
      値: APIKey {your API key} (中括弧なし)

    2番目のヘッダ:

      キー: api-version
      値: v1
      リクエスト本文のJSON:
    属性 種類 説明
    eventClass 列挙型 次のいずれか:
    1. file-activity
    2. process-activity
    3. network-activity
    4. registry-value-activity
    5. dns-activity
    6. account-change-audit
    providerAccountID 文字列 AWSアカウントID
    bucketName 文字列 Amazon Security Lake S3バケットのバケット名
    プレフィックス 文字列 CreateCustomLogSourceの応答からのプレフィックス(customSourceName)
    roleARN 文字列 カスタムログソースを作成すると、役割が自動的に作成され、次の命名規則が使用されます。AmazonSecurity LakeLogProviderRole-<accountID>-<data source name>

    例:

    
       {
         "eventClass":"process-activity",
         "providerAccountID":"123456789012",
         "bucketName":"aws-security-data-lake-us-east-1-o-rzodv08olg",
         "roleArn":"arn:aws:iam::123456789012:role/AmazonSecurityLake-Provider-test-us-east-1"
       }
  5. Trend Micro Integration APIを呼び出して、特定のイベントクラスの登録を解除し、Amazon Security Lakeへのデータ転送を停止します。
    次の情報を使用して、PostmanまたはPawで要求を作成します。

    API: DELETE https://security-lake.{region}.cloudone.trendmicro.com/api/registrations/{eventClass}

        最初のヘッダ:

      キー: 承認
      値: ApiKey {your API key} (中括弧なし)

    2番目のヘッダ:

      キー: api-version
      値: v1
      リクエスト本文のJSON:
    属性 種類 説明
    eventClass 列挙型 次のいずれか:
    1. file-activity
    2. process-activity
    3. network-activity
    4. registry-value-activity
    5. dns-activity
    6. account-change-audit
  6. Integration APIを使用して登録情報を取得します。

    API:

    URL: GET https://security-lake.{region}.cloudone.trendmicro.com/api/registrations/

        最初のヘッダ:

      キー: 承認
      値: ApiKey {your API key} (中括弧なし)

    2番目のヘッダ:

      キー: api-version
      値: v1

データの入力規則

統合手順が完了すると、Trend Cloud OneはアクティビティデータをParquetファイルでOCSF形式に変換し、5分ごとにAmazon S3バケットにデータを配信します。

キーパスを追加して、地域、アカウント、イベント時間を含めることができます。

  • <region>は、データがアップロードされるAWSリージョンです。これは、Trend Cloud Oneの登録地域によって決まります。
  • <accountId>は、レコードが関連するAWSアカウントIDです。
  • <eventDay>イベントが発生した日付です。形式はYYYYMMDDです。