Trend Vision OneのXDR機能は、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、複数のベクトルから収集されたデータを使用して、効果的なエキスパート分析とグローバル脅威インテリジェンスを適用します。
XDRをWorkload Securityと統合するには、Trend Cloud OneとTrend Vision One (XDR) の両方に登録する必要があります。
Trend Cloud One Workload Securityを介してTrend Vision Oneにすでに登録している場合は、Workload Securityから登録解除してTrend Cloud Oneに再登録する必要があります。

Trend Vision One (XDR) に登録する 親トピック

Trend Vision Oneには、次の手順で登録できます。

手順

  1. 次の手順に従って、登録トークンを取得します。
    • [Trend Vision One]コンソールを開きます。
    • [Add Existing Product] をクリックします。トークンは生成後24時間のみ有効です。有効期限が切れた場合は、新しいトークンを生成する必要があります。
    • [Product Connection]パネルで、[Trend Cloud One - Endpoint & Workload Security]を選択します。
    • [Product Connection] パネルに表示される情報を確認します。
    • トークンをコピーします。
    • [Product Connection]パネルで、[Open console]をクリックして[Trend Cloud One]コンソールを開きます。
  2. [Trend Cloud One]コンソールで、[統合][Trend Vision One]に移動し、[登録トークンによるアップデート]をクリックします。
  3. [登録トークンのアップデート]ダイアログで、登録トークンを貼り付けて[アップデート]をクリックします。
    登録が正常に完了すると、Trend Cloud OneポータルのEndpoint & Workload Securityの接続ステータスが [接続済み] と表示されます。
    Trend Cloud Oneを Trend Vision Oneに登録して接続すると、Trend Cloud One環境では Endpoint & Workload Security が利用できなくなることに注意してください。登録すると、Server & Workload Protection アプリと Endpoint Inventory アプリのすべてのエンドポイント管理が Trend Vision Oneに転送されるためです。

セキュリティイベントをTrend Vision One (XDR) に転送する 親トピック

Trend Vision One (XDR) に正常に登録されると、[Forward security events to Trend Vision One] 設定が初期設定で有効になり、次の保護モジュールからのイベントがTrend Vision One (XDR) に転送されます。
  • 不正プログラム対策
  • Webレピュテーション
  • デバイスコントロール
  • 変更監視
  • セキュリティログ監視
  • 侵入防御
  • アクティビティ監視
イベントの転送を停止するには、Trend Cloud Oneで [Vision One Administrator][Product Connector] の順に選択し、[Endpoint & Workload Security] を無効にします。 AgentとRelayをプロキシ経由で 'プライマリセキュリティアップデートソース' に接続している場合、 XDRでは同じプロキシ設定が自動的に使用されます。

アクティビティ監視を有効にする 親トピック

アクティビティ監視は、検出と対応のサポートを次のレベルに引き上げるセキュリティポリシーであり、ワークロードの完全な可視性を提供します。アクティビティ監視を有効にすると、次のアクティビティ情報がTrend Vision One (XDR) プラットフォームに転送されます。
  • プロセスアクティビティ
  • ファイルアクティビティ
  • ネットワークアクティビティ
  • 接続アクティビティ
  • ドメインクエリアクティビティ
  • レジストリのアクティビティ(Windowsのみ)
  • ユーザアカウントのアクティビティ(WindowsおよびmacOSのみ)
アクティビティ監視は、Linux、Windows、およびUNIXのエージェントバージョン20.0.0-1681 (20 LTS Update 2021-01-04) 以降でサポートされます。アクティビティ監視は、macOSのエージェントバージョン20.0.0-158 (20 LTS Update 2022-07-11) 以降でサポートされます。
アクティビティ監視を設定するには、次の手順を実行します。

手順

  1. アクティビティモニタリングを有効にする前に、エージェントがWorkload Security URLs tableに記載されているXDRに関連するFQDNへのアウトバウンド接続を持っていることを確認してください。これは、エージェントがXDRデータレイクにデータを送信するために使用するネットワーク接続です。
  2. このドキュメントの前のセクションで説明されている手順に従って、Trend Vision One (XDR) に登録し、イベントをXDRに転送します。
  3. Workload Securityコンソールに移動し、[ポリシー] にアクセスします。
  4. アクティビティの監視を有効にするポリシーをダブルクリックします。
  5. [アクティビティ監視][一般] をクリックします。
  6. [アクティビティ監視の状態]については、[オン]を選択してください。
  7. [保存]をクリックしてください。
    アクティビティ監視が有効になり、アクティビティログがTrend Vision One (XDR) に送信されるため、ワークロードの可視性と保護が向上します。