このページのトピック
Workload SecurityとTrend Vision Oneの統合
Trend Vision OneのXDR機能は、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなどの複数のベクトルから収集されたデータを使用して、効果的なエキスパート分析とグローバル脅威インテリジェンスを適用します。
XDRをWorkload Securityと統合するには、 Trend Cloud Oneに登録する必要があります。 Trend Cloud Oneへの登録方法は、Product InstanceアプリとProduct Connectorアプリのどちらを使用しているかによって異なります。
Product Instanceアプリ ( XDR ) を使用してTrend Vision Oneに登録する
Trend Vision Oneには、次の手順で登録できます。
-
[ Service Management ]→[ Product Instance Management] の順に選択します。
-
次の手順に従って、登録トークンを取得します。
- Trend Vision One コンソールを開きます。
- [既存製品を追加] をクリックします。トークンは生成後24時間のみ有効です。有効期限が切れた場合は、新しいトークンを生成する必要があります。
- [Product Connection] パネルで、[Trend Cloud One] を選択します。
- [製品の接続] パネルに表示される情報を確認します。
- トークンをコピーします。
-
[製品の接続] パネルで、[コンソールを開く] をクリックして、Trend Cloud One コンソールを開きます。
-
Trend Cloud One コンソールで、[統合]→[Trend Vision One] の順に選択し、[登録トークンによるアップデート] をクリックします。
- [ 登録トークンのアップデート ] ダイアログで、登録トークンを貼り付けて [ アップデート] をクリックします。
Product Connectorアプリ ( XDR ) を使用したTrend Vision Oneへの登録
Trend Vision Oneには、次の手順で登録できます。
- [ Service Management ] →[ Product Connector] の順に選択します。
- [接続] をクリックします。
- [製品名] リストから [Trend Cloud One] を選択します。
- [ 保存] をクリックします。
登録が正常に完了すると、Trend Cloud OneポータルのEndpoint & Workload Securityの接続ステータスが [接続済み] と表示されます。
Trend Cloud Oneを Trend Vision Oneに登録して接続すると、Trend Cloud One環境では Endpoint & Workload Security が利用できなくなることに注意してください。登録すると、Server & Workload Protection アプリと Endpoint Inventory アプリのすべてのエンドポイント管理が Trend Vision Oneに転送されるためです。
または、Trend Vision Oneコンソールを使用して、 Cloud One Workload SecurityをTrend Cloud One - Endpoint & Workload Securityにアップデートできます。詳細については、「Cloud One Workload SecurityをTrend Cloud One - Endpoint & Workload Securityにアップデートする」を参照してください。
セキュリティイベントをTrend Vision One (XDR) に転送する
Trend Vision One (XDR) に正常に登録されると、 [セキュリティイベントをTrend Vision Oneに転送する] 設定が初期設定で有効になります。この設定を有効にすると、次の保護モジュールからのイベントがTrend Vision One (XDR) プラットフォームに転送されます。
- 不正プログラム対策
- Webレピュテーション
- デバイスコントロール
- 変更監視とアプリケーションコントロール
- セキュリティログ監視
- 侵入防御
- アクティビティ監視
イベントの転送を停止するには、Trend Cloud Oneで [Vision Oneの管理者] → [製品コネクタ] の順に選択し、[ Endpoint & Workload Security] を無効にします。 AgentとRelayをプロキシ経由で 'プライマリセキュリティアップデートソース' に接続している場合、 XDRでは同じプロキシ設定が自動的に使用されます。
アクティビティ監視を有効にする
アクティビティ監視は、検出と対応のサポートを次のレベルに引き上げるセキュリティポリシーであり、ワークロードの完全な可視性を提供します。アクティビティ監視を有効にすると、次のアクティビティ情報がTrend Vision One (XDR) プラットフォームに転送されます。
- プロセスアクティビティ
- ファイルアクティビティ
- ネットワークアクティビティ
- 接続アクティビティ
- ドメインクエリアクティビティ
- レジストリのアクティビティ (Windowsのみ)
- ユーザアカウントのアクティビティ(WindowsおよびmacOSのみ)
アクティビティ監視は、Linux、Windows、およびUNIXのエージェントバージョン20.0.0-1681 (20 LTS Update 2021-01-04) 以降でサポートされます。アクティビティ監視は、macOSのエージェントバージョン20.0.0-158 (20 LTS Update 2022-07-11) 以降でサポートされます。
アクティビティ監視を設定するには、次の手順を実行します。
- アクティビティ監視を有効にする前に、Workload SecurityのURLの表にリストされているXDRに関連するFQDNにAgentがアウトバウンド接続できることを確認します。これは、エージェントがXDRデータレイクにデータを送信するために使用するネットワーク接続です。
- このドキュメントの前のセクションで説明されている手順に従って、Trend Vision One (XDR) に登録し、イベントをXDRに転送します。
- Workload Securityコンソールに移動し、[ポリシー] にアクセスします。
- アクティビティ監視を有効にするポリシーをダブルクリックします。
- [アクティビティ監視] →[一般] の順に選択します。
- [アクティビティ監視の状態] で [オン] を選択し、脅威の検出モードを [通常] に設定して通常の検出を実行するか、[ハイパーセンシティブ] に設定して検出を強化するかを指定します。後者は現在、Windowsでのみサポートされていることに注意してください。
- [ 保存] をクリックします。
アクティビティ監視が有効になり、アクティビティログがTrend Vision One (XDR) に送信されるため、ワークロードの可視性と保護が向上します。