Cloud One Workload Security のコンソールからポリシーを作成してみた

Cloud One Workload Security のコンソールからポリシーを作成してみた

Clock Icon2024.09.10

はじめに

こんにちは。AWS事業本部コンサルティング部に所属している和田響です。

今回はCloud One Workload Securityにおけるポリシーの概念についてまとめ、実際にポリシーを作成してみます。

ポリシーとは

ポリシーを使用すると、ルールと設定のコレクションを保存して、複数のコンピュータに簡単に割り当てることができます。

引用:https://cloudone.trendmicro.com/docs/jp/workload-security/policy-create/

公式マニュアルの記載から、Cloud One Workload Securityにおけるポリシーとは設定ファイルのようなものと理解していただければと思います。
Cloud One Workload Securityの以下の機能をどのような設定にするかを定義できます。

  • 不正プログラム対策
  • Webレピュテーション
  • デバイスコントロール
  • アクティビティ監視
  • アプリケーションコントロール
  • ファイアウォール
  • 侵入防御
  • 変更監視
  • セキュリティログ監視

ポリシーは階層構造で作成することができ、下位のポリシーは上位のポリシーの設定を引き継ぐことができます。
policy-tree.png
引用:https://cloudone.trendmicro.com/docs/jp/workload-security/policy-inheritance-overrides/

やってみる

ポリシーの作成

まずはポリシーの階層構造の一番上位に当たるベースポリシーを作成します。

Cloud Oneのコンソールから「Endpoint & Workload Security」をクリックします。
スクリーンショット 2024-09-10 14.49.31.png

画面上のタブから「ポリシー」をクリックします。
スクリーンショット 2024-09-10 14.53.24.png

デフォルトで「Base Policy」というポリシーが存在するはずですが、今回は新規でポリシーを作成します。
「新規」-「新規ポリシー...」をクリックします。
スクリーンショット 2024-09-10 14.55.39.png

名前は任意の文字列を入力、継承元は「なし」を選択し、「次へ」をクリックします。
スクリーンショット 2024-09-10 14.58.18.png

「既存のコンピュータの現在の設定を、このポリシーのベースにしますか?」は「いいえ」を選択し「次へ」をクリックします。
スクリーンショット 2024-09-10 15.00.14.png

続いて各セキュリティ設定をのオン/オフを選択できます。
デフォルトはすべてオフですが、今回はこのような設定にしようと思います。
この設定は後から変更可能のため要件に応じてカスタマイズしていきましょう。
スクリーンショット 2024-09-10 15.05.28.png

ポリシーの詳細設定

ポリシーをダブルクリックすることで対象のポリシーの設定画面が表示されます。
スクリーンショット 2024-09-10 15.19.10.png

サイドタブの項目をクリックすることで、その項目の詳細な設定ができます。
スクリーンショット 2024-09-10 15.21.13.png

不正プログラム対策

不正プログラムは、不正プログラム、ウイルス、トロイの木馬、スパイウェアなどの脅威に対して、リアルタイムおよびオンデマンドの保護を提供します。
https://cloudone.trendmicro.com/docs/jp/workload-security/anti-malware/

不正プログラム対策は「リアルタイム検索」「手動検索」「予約検索」の設定が可能です。
初期設定だといずれも設定なしとなっているので、こちらを設定します。
スクリーンショット 2024-09-10 15.24.30.png

本記事では、初期設定のチェックを外し画像のような検索設定をし「保存」をクリックします。
スクリーンショット 2024-09-10 15.33.09.png

※一般設定以外の設定も画面上のタブから設定できます。
スクリーンショット 2024-09-10 15.40.07.png

Webレピュテーション

Webレピュテーションは不正なURLへのアクセスをブロックすることにより、サーバをWebの脅威から保護します。
https://cloudone.trendmicro.com/docs/jp/workload-security/web-reputation/

Webレピュテーションは、どのレベルでアクセスをブロックするかのセキュリティレベルを設定できます。
低・中・高でレベル分けがされており、セキュリティレベルが上がるほど厳しい基準でアクセスをブロックします。
スクリーンショット 2024-09-10 15.47.39.png

本記事ではWebレピュテーションは「オフ」で進めていきます。

デバイスコントロール

デバイスコントロールモジュールは、コンピュータに接続されている外部ストレージデバイスへのアクセスを制御します。
https://cloudone.trendmicro.com/docs/jp/workload-security/device-control-set-up/

以下の項目について設定が可能です。

  • USB大容量ストレージ:USBデバイスのアクセスポリシーの設定
  • USB自動実行機能:USBデバイスの自動実行を許可またはブロックする
  • モバイル(MTP/PTP):USBモバイルデバイスのアクセスポリシーの設定

スクリーンショット 2024-09-10 15.47.39.png

本記事ではデバイスコントロールは「オフ」で進めていきます。

アクティビティ監視

アクティビティ監視はTrend Microの別製品であるVision Oneの統合を行い、 XDR(拡張検出/応答)の実装が可能です。
https://cloudone.trendmicro.com/docs/jp/workload-security/xdr/

アクティビティ監視では以下の検出モードの設定ができます。

  • 標準:通常の検出を実行する
  • ハイパーセンシティブ:検出を強化する(Windowsのみ)

スクリーンショット 2024-09-10 17.09.54.png

本記事ではアクティビティ監視は「オフ」で進めていきます。

アプリケーションコントロール

アプリケーションコントロールは承認されていないソフトウェアをブロック/許可を設定し、アプリケーションのインストール・変更を制御することできます。
https://cloudone.trendmicro.com/docs/jp/workload-security/application-control-trust-entities/

アプリケーションコントロールを有効にした場合、以下の設定を選択でき信頼ルールセットで承認するソフトウェアを定義します。

  • 承認されていないソフトウェアを明示的に許可するまでブロック
  • 承認されていないソフトウェアを明示的にブロックするまで許可

スクリーンショット 2024-09-10 17.18.01.png

本記事ではアプリケーションコントロールは「オフ」で進めていきます。

ファイアウォール

ファイアウォールは通信制御を行うことができます。
https://cloudone.trendmicro.com/docs/jp/workload-security/firewall-set-up/

ファイアウォールステートフル設定から、通信制御の設定を選択できます。
※ファイアウォールで意図せず通信を拒否死してしまうこともあるので、まずはタップモード(実際に遮断はしない)でテストすることを推奨します。
スクリーンショット 2024-09-10 17.26.10.png

本記事ではファイアウォールは「オフ」で進めていきます。

侵入防御

侵入防御はトラフィック内容を検査し不審なトラフィックをブロックすることで既知または、ゼロデイの脆弱性からワークロードを保護します。
推奨設定を有効にすることができ少ない工数で一定のセキュリティ対策を実装できるのが嬉しいポイントです。
https://cloudone.trendmicro.com/docs/jp/workload-security/intrusion-prevention-set-up/

侵入防御は以下の設定が可能です。

  • 侵入防御の動作
    • 防御:トラフィックをブロックする
    • 検出:トラフィックはブロックせず、検出したイベントを残す
  • TLS/SSLトラフィックの監視(はい/いいえ)
  • 侵入防御の推奨設定を自動的に適用 (はい/いいえ)

スクリーンショット 2024-09-10 17.42.20.png

本記事では以下の設定で進めていきます。

  • 侵入防御の動作:検出
  • TLS/SSLトラフィックの監視:はい
  • 侵入防御の推奨設定を自動的に適用:はい

スクリーンショット 2024-09-10 17.45.27.png
スクリーンショット 2024-09-10 17.45.41.png

変更監視

変更監視はシステムに対する変更を検知できます。想定外の変更が発生した際にアラームを発生させ通知を受けるといった事が可能です。
侵入防御と同様に、推奨設定を有効にできるのが嬉しいポイントです。
https://cloudone.trendmicro.com/docs/jp/workload-security/integrity-monitoring-set-up/

変更監視は以下の設定が可能です。

  • リアルタイム検索(有効/無効)
  • 変更監視ルールの推奨設定を自動的に適用(はい/いいえ)

スクリーンショット 2024-09-10 17.55.20.png

本記事では以下の設定で進めていきます。

  • リアルタイム検索:有効
  • 変更監視ルールの推奨設定を自動的に適用:はい
    スクリーンショット 2024-09-10 17.56.44.png

セキュリティログ監視

セキュリティログ監視はシステムのログから重要なセキュリティイベントを識別できます。
侵入防御や変更監視と同様に、推奨設定を有効にできるのが嬉しいポイントです。
https://cloudone.trendmicro.com/docs/jp/workload-security/log-inspection/

セキュリティログ監視は以下の設定が可能です。

  • 現在割り当てられているセキュリティログ監視ルール
  • 変更監視ルールの推奨設定を自動的に適用(はい/いいえ)
    スクリーンショット 2024-09-10 18.00.54.png

本記事では以下の設定で進めていきます。

  • 変更監視ルールの推奨設定を自動的に適用:はい
    スクリーンショット 2024-09-10 18.08.55.png

ここまででベースポリシーの設定が完了しました。
スクリーンショット 2024-09-10 18.23.22.png

実際の運用ではこのベースポリシーの配下に子ポリシーを作成し、役割ごとにポリシーを作成することを推奨します。
Untitled - 2024-09-10T181635.317.png

エージェントのインストール

ポリシーの作成が完了したら、サーバにWorkload Securityのエージェントをインストールします。
インストールスクリプト作成時に、セキュリティポリシーを設定することで、対象のセキュリティポリシーでWorkload Securityを動作させることができます。

スクリーンショット 2024-09-10 18.19.27.png

エージェントのインストールの詳細な手順は以下のブログを参照ください。
https://dev.classmethod.jp/articles/slug-DxhgOWxAGwry/
https://dev.classmethod.jp/articles/slug-vwvpbVcyRYFB/

最後に

本記事では実際にWorkload Securityのコンソールを操作しポリシーを作成していきました。
実際にコンソールを見ていくことで各種設定がどのような機能を持っているのか理解することができると思います。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.