Vision OneのAWSのクラウド対応を使ってみた

Vision OneのAWSのクラウド対応を使ってみた

Clock Icon2024.09.10

こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?現在Vision OneではAWS CloudTrailのクラウド検出がリリースされていて、先日それの使ってみたブログを書きました。
https://dev.classmethod.jp/articles/vision-one-aws-cloudtrail/

今回は、その機能で検出したイベントに対して対処する機能である「AWSのクラウド対応」を有効にして、Vision Oneから対処をしてみようと思います。

前提

先日記載した記事の「AWS CloudTrailのクラウド検出」は有効化済みである前提です。
https://dev.classmethod.jp/articles/vision-one-aws-cloudtrail/

AWSのクラウド対応の有効化

AWSアカウントとの連携し、その中で機能の有効化を行います。まず、Trend Vision Oneコンソールの左ペインから「SERVICE MANAGEMENT」→「Cloud Accounts」をクリックし、「AWS CloudTrailのクラウド検出」が有効であるアカウントの名前をクリックします。
20240910shima01

アカウント名に任意の名前を入力し、すべての機能の中から「AWSのクラウド対応」を有効にします。
20240910shima02
「S3 URLをコピー」をクリックし、対象AWSアカウントの管理コンソールでCloudFormationの画面を開きます。
20240910shima03

「Vision-One-Cloud-Account-Management」という名前のスタックを選択し、「更新」ボタンを押下します。
20240910shima04

「既存のテンプレートを置換」から、「Amazon S3 URL」欄に先ほどコピーしたURLを貼り付け、「次へ」ボタンを押下します。
20240910shima05

Trend Vision Oneコンソールに戻り、「Vision One APIキーをコピー」ボタンをクリックします。
20240910shima06

CloudFormationの画面に戻り、パラメータで「VisionOneAPIKey」の箇所にある「前の値を使う」のチェックを外し、先ほどコピーした内容を貼り付け、「次へ」ボタンを押下します。
20240910shima07

最下部のチェックボックスを2つ有効にして、「スタックの作成」ボタンを押下します。
20240910shima08

Trend Vision Oneコンソールの先ほどの画面に戻り、時間経過で一覧の「有効な機能」に「AWSのクラウド対応」が表示されます。
20240910shima09

テストイベントと対応の確認

詳細は割愛しますが、対象AWSアカウントでMFAを設定していないIAMユーザを作成し、ログインを行いました。これにより、イベントをトリガーすることができます。今回はこのイベントをTrend Vision Oneコンソールで確認し、対象IAMユーザの権限を取り消します。
Trend Vision Oneコンソールの左ペインから「XDR THREAT INVESTIGATION」→「Workbench」を選択します。
20240910shima10

対象のアラートが表示されているので、インサイト名をクリックし、詳細を開きます。
20240910shima11

右側に表示されている図中の対象ユーザを右クリックし、RESPONSEに表示されている「アクセス許可の取り消し」をクリックします。
20240910shima12

説明欄に理由を記載し、作成ボタンを押下します。
20240910shima13

これにより、対象ユーザは権限が取り消されます。実態としては以下のような全てをDenyするポリシーがアタッチされてます。
20240910shima14

最後に

今回はVisionOneの「AWSのクラウド対応」という機能を利用してみました。

本記事がどなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.