Vision One File Security Virtual Appliance を使ってみた

Vision One File Security Virtual Appliance を使ってみた

Clock Icon2024.09.19

こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?先日、Vision One File SecurityにVirtual Appliance(以降FSVA)が追加されました。FSVAは、NFSでマウントできるところに対して不正プログラムのリアルタイムスキャンをしてくれる機能です。
20240919shima01
画像引用元

現在はNFS v3にしか対応しておらず、EFSには未対応のようなので、EC2でNFSサーバを構築し、そのファイルをスキャンしてみようと思います。

設定方法

今回は以下のような構成を作成します。
20240919shima02

NFSサーバは既にある前提で、そこに機能を追加していきます。

1.Service Gatewayを構築する

以下の記事を参考にService Gatewayを構築します。
https://dev.classmethod.jp/articles/202405-v1-servicegateway-01/

以下公式ドキュメントにも記載がありますが、FSVA専用のService Gatewayを用意することが推奨されているため、今回はそれに従い専用のService Gatewayを構築します。
https://docs.trendmicro.com/ja-jp/documentation/article/trend-vision-one-deploying-va-using-sg

2.FSVAの有効化

Trend Vision Oneコンソールで「Workflow and Automation」→「Service Gateway Management」へアクセスし、先程構築したService Gatewayをクリックします。
20240919shima03

「サービスを管理」ボタンを押下します。
20240919shima04

「File Security Virtual Appliance」のボタンを押下し、機能を有効化します。
20240919shima05

時間経過でステータスが正常に遷移します。その後、右側の歯車アイコンをクリックします。
20240919shima06

「マウントポイントを追加」ボタンを押下し、「NFSサーバIP」と「NFSサーバーフォルダパス」を設定し、「検索中」は有効にして、「追加」ボタンを押下します。
20240919shima07

試してみた

いつものEicarテストファイルと、無害なテキストファイルの2種類用意し、それぞれを先ほど設定したNFSサーバーフォルダパスに配置してみました。他のFile Securityシリーズと同様に不正プログラムを検出しても、ファイル自体へのアクションは特にないみたいなので、自分で実装する必要がありそうです。

[root@ip-10-0-123-123 ~]# ll /nfstest/
total 8
-rw-r--r--. 1 root root 68 Sep 19 03:03 eicar.com
-rw-r--r--. 1 root root  5 Sep 19 03:02 test.txt

続いて、Trend Vision Oneコンソールでスキャン結果を確認していきます。「CLOUD SECURITY」→「File Security」へアクセスし、「スキャンアクティビティ」から「Virtual Appliance」を選択します。不正プログラムが正常に検出されています。
20240919shima08

画面下部に対象ファイル名や不正プログラム名が表示されています。
20240919shima09

最後に

今回はFSVAを使ってみました。EFSで利用できるようになると活躍シーンが増えそうなので期待して待っています。

本記事がどなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.