VisionOneのエージェントレスの脆弱性と脅威の検出でマルウェアスキャンを試してみた(プレビュー版)

VisionOneのエージェントレスの脆弱性と脅威の検出でマルウェアスキャンを試してみた(プレビュー版)

Clock Icon2024.10.01

こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?現在Vision Oneで、AWS VPCフローログのクラウド検出機能がプレビュー版としてリリースされており、過去にその内容のブログを書きました。
https://dev.classmethod.jp/articles/202406-v1-agentlessv-01/

最近、上記機能にアップデートがあり、不正プログラムの検出機能が追加されましたので、それを試していきたいと思います。

機能の有効化

AWSアカウントと連携し、その中で機能を有効化にします。まず、Trend Vision Oneコンソールの左ペインから「SERVICE MANAGEMENT」→「Cloud Accounts」をクリックし、「+アカウントを追加」ボタンを押下します。
20241001shima01

アカウント名に任意の名前を入力し、すべての機能の中から「エージェントレスの脆弱性と脅威の検出」を有効にします。また、デプロイメントから対象リージョンを有効にした状態に更新し、「Scanner設定」ボタンを押下します。
20241001shima02

表示される画面から有効にする機能を選択します。今回は不正プログラム対策タブからEBS、ECR、LAMBDAの全てにチェックをつけて「変更を保存」ボタンを押下します。
20241001shima03

不正プログラム対策が有効になっていることを確認し、「スタックを起動」ボタンを押下します。 20241001shima04
20241001shima05

「スタックを起動」ボタンを押下したことにより、AWSマネージメントコンソールからAWS CloudFormationの作成画面が表示されます。パラメータによりカスタマイズできますが、今回は変更せずに、最下部のチェックボックスを2つ有効にして、「スタックの作成」ボタンを押下します。 20241001shima06

Trend Vision Oneコンソールの先ほどの画面に戻り、終了ボタンを押下しました。しばらくすると、一覧に表示され接続ステータスが「接続済み」になり、有効な機能に「エージェントレスの脆弱性と脅威の検出」が表示されていることを確認できました。
20241001shima07

動作確認

検出結果を確認してみます。今回はテスト用にEicarファイルが格納されたEC2やECRを用意して1日放置しました。

Trend Vision Oneコンソールで「ATTACK SURFACE RISK MANAGEMENT」→「Operations Dashboard」へアクセスし、「脅威の検出」をクリックします。
20241001shima08

下図のようにEC2やECRのEicarファイルが正常に検出されていることを確認できました。
20241001shima09
20241001shima10

最後に

今回はエージェントレスの脆弱性と脅威の検出でマルウェアスキャンを試してみました。
Lambdaレイヤーのスキャンはまだマルウェアスキャンに対応していないようなので、今後の機能追加に期待しています。
https://docs.trendmicro.com/ja-jp/documentation/article/trend-vision-one-agentless-vulnerability-threat

本記事がどなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.