ビュー:

Cloud Accountsスタックが環境にどのように適合し、データがTrendAI Vision One™とどのように共有されるかの概要を取得します。

以下の図は、デプロイメントスタックがAWSクラウドアカウントにどのように適合するかを抽象的に視覚化したものです。さらに、これらの図は関連するAWSアセット間の情報の流れと、そのデータがクラウドセキュリティ機能を強化するためにTrendAI Vision One™とどのように共有されるかを示しています。
AWS環境に使用およびデプロイされたリソースの詳細については、AWS環境に展開されたリソースを参照してください。
関連情報

コア機能とスタック展開 親トピック

Cloud AccountsスタックをAWSアカウントにデプロイすると、スタックはIAMポリシーとロールを作成してTrendAI Vision One™がアカウントに接続できるようにします。さらに、有効にした機能に基づいてネストされたスタックがデプロイされます。
AWS環境に使用およびデプロイされたリソースの詳細については、AWS環境に展開されたリソースを参照してください。
CAM=GUID-3a908e1e-b930-4bb3-a285-ed64dc058106.png
コア機能の導入のアーキテクチャ

AWSでのエージェントレスによる脆弱性と脅威の検出の展開 親トピック

この図は、エージェントレスによる脆弱性と脅威の検出機能がAWS account内のアセットを使用して、EC2インスタンスに接続されたEBSボリュームやECRイメージの脆弱性を発見する方法を示しています。
Sentry=GUID-6031b545-082a-48f0-8bed-1a23ac35f631.png
エージェントレス脆弱性 & 脅威の検出
関連情報

エージェントレスによる脆弱性と脅威の検出送信トラフィック 親トピック

AWS環境におけるエージェントレスによる脆弱性と脅威の検出デプロイメントスタックによって生成されるアウトバウンドネットワークトラフィックを確認してください。

エージェントレスによる脆弱性と脅威の検出をAWS accountにデプロイすると、スキャンインフラストラクチャはAWSサービスおよびTrendAI Vision One™クラウドサービスへの送信ネットワークトラフィックを生成します。すべての送信トラフィックは、TLS 1.2以上の暗号化を使用したHTTPS (TCPポート443) を使用します。
このトラフィックを理解することは、ファイアウォールルール、ネットワークセキュリティグループ、および制限されたネットワーク環境におけるコンプライアンス要件を設定するために重要です。
重要
重要
デプロイされたリソースには受信ポートが開かれていません。すべてのスキャナーコンポーネントは、受信トラフィックを拒否するセキュリティグループを使用しています。

トラフィックカテゴリ

エージェントレスによる脆弱性と脅威の検出スタックは、4つのカテゴリで送信トラフィックを生成します。
カテゴリ
説明
頻度
OSパッケージ
スキャナーEC2 Instanceのブートストラップ中にインストールされる標準OSパッケージには、AWS CLI、Dockerランタイム、ファイルシステムユーティリティが含まれます。ソースは標準のAmazon Linuxパッケージリポジトリです。
スキャナーインスタンスの起動ごとに
AWSサービス
AWS SDKを使用したIAMロールベースの認証によるコンピュート、ストレージ、セキュリティ、監視操作のためのAWSサービスAPI呼び出し。宛先は標準のAWSリージョナルエンドポイントです。
継続
コンテナイメージ
スキャナーEC2インスタンスを起動する際に、AWS Elastic Container Registry (ECR) Public Galleryからプルされたコンテナイメージをスキャンします。イメージはインスタンスの存続期間中、ローカルにキャッシュされます。
スキャナーインスタンスの起動ごとに
TrendAI Vision One™ サービス
検索結果の報告、脅威インテリジェンスの更新、管理テレメトリのためのTrendAI Vision One™クラウドサービスへの接続。認証には自動的にローテーションされ、AWS Secrets Managerに保存されるベアラートークンを使用します。
検索および定期的な更新

宛先エンドポイント

次の表は、エージェントレスによる脆弱性と脅威の検出スタックが通信するすべての宛先エンドポイントを一覧表示しています。
送信先
ポート
プロトコル
目的
sentry.{region}.cloudone.trendmicro.com
443
HTTPS
パターン更新、Lambda更新、レポート提出、テレメトリー、ログ転送のためのSentryバックエンドAPI
xlogr-{code}.xdr.trendmicro.com
443
HTTPS
検索結果、検出イベント、アセットライフサイクルの変更
api.{region}.xdr.trendmicro.com
443
HTTPS
TrendAI Vision One™ 管理 API
*.{region}.amazonaws.com
443
HTTPS
AWSサービスエンドポイントには、S3、Secretsマネージャ、SQS、EBS、EC2、Lambda、CloudWatch、手順Functions、STS、AppConfig、KMS、CloudFormation、EventBridge、SSM、Cost Explorer、IAM、ECRが含まれます
public.ecr.aws
443
HTTPS
ECRパブリックギャラリーからコンテナイメージをスキャン
OSパッケージリポジトリ
443
HTTPS
Amazon LinuxパッケージリポジトリによるOSパッケージのインストール
注意
注意
TrendAI Vision One™とAWS以外のサードパーティサービスにはトラフィックは送信されません。

コンポーネントインベントリ

エージェントレスによる脆弱性と脅威の検出スタックは、4つのCloudFormationスタックを通じてデプロイされます。以下の表は、各スタックで送信トラフィックを生成するコンポーネントを一覧にしています。

SentrySharedスタック

コンポーネント
種類
目的
CustomerTokenGenerator
ラムダ
SentryバックエンドAPIを介してXLogR認証トークンを生成します
CustomerTokenRotator
ラムダ
スケジュールに従ってXLogRトークンをローテーションします
パターンアップデーター
ラムダ
Sentryバックエンドから最新の不正プログラム対策検索パターンをダウンロードします
LambdaUpdater
ラムダ
Lambda Functionコードの更新を確認して適用します
LogAndAlertForwarder
ラムダ
Audit LogsとアラートをSentry Backendに転送します
TelemetryForwarder
ラムダ
Sentryバックエンドにテレメトリーデータを送信します
レポート送信者
ラムダ
完了した検索レポートをSentryバックエンドに送信します

SentrySetスタック (地域ごと)

コンポーネント
種類
目的
ディスパッチャー
ラムダ
受信した検索イベントを適切なハンドラーにルーティングします
リアルタイムスキャンハンドラー
ラムダ
リアルタイムEBS Snapshot検索イベントを処理します
ライフサイクルイベントハンドラー
ラムダ
EC2、ECR、Lambdaアセットのライフサイクルイベントを追跡し、変更をXLogRに送信します
ScheduledScanHandler
ラムダ
定期的なフルアカウントスキャンを開始します
リソースコレクター
ラムダ
アカウント全体のスキャン可能なリソースを列挙します

スキャナーCSF (クラウドスキャナーフレームワーク)

コンポーネント
種類
目的
scanner-aws-parse-volume
ラムダ
EBS Direct APIを介してEBSスナップショットを読み取り、パーティションメタデータを解析します
scanner-aws-am-検索
ラムダ
iCRCパターンエンジンを使用した不正プログラム対策スキャン
scanner-aws-vuln-検索
ラムダ
脆弱性検索
スキャナーAWSビルドレポート
ラムダ
検索結果を集計して最終レポートにまとめます
scanner-aws-send-xlogr
ラムダ
検索結果をXLogRエンドポイントに送信します
EC2マネージャ
ラムダ
スキャナーEC2インスタンスを起動および終了します
手順関数
ステートマシン
検索パイプラインをオーケストレーションします

VPCStack (VPCフローログ処理)

コンポーネント
種類
目的
VPCFlowLogProcessor
ラムダ
S3からVPC Flow Logsを読み取り、ネットワークアクティビティの可視化のためにXLogRに送信します
注意
注意
SentrySharedスタックは顧客アカウントごとに1回デプロイされます。SentrySet、Scanner CSF、およびVPCStackは監視対象のリージョンごとにデプロイされます。

データ処理

以下のデータがあなたのAWS accountからTrendAI Vision One™クラウドサービスに送信されます。
  • 検索結果には、不正プログラム検出、脆弱性の発見、整合性の変更が含まれます
  • アセットインベントリの更新
  • VPC Flowログ要約
  • 運用テレメトリー
重要
重要
ファイル内容やディスクイメージなどの生のワークロードデータは、AWS accountを離れることはありません。すべてのスキャンは、AWS account内でローカルに行われます。

セキュリティに関する考慮事項

  • すべての認証トークンはKMS暗号化を使用してAWS Secrets Managerに保存されます
  • 顧客トークンは自動的にローテーションされます
  • 認証情報はハードコードされておらず、ログにも記録されません
  • すべてのトラフィックはTLS 1.2以上の暗号化を使用します
  • プロキシ構成はHTTP_PROXYおよびHTTPS_PROXY環境変数を通じてサポートされています

AWS CloudTrailデプロイのクラウド検出 親トピック

TrendAI Vision One™は、単一のアカウントまたはControlTowerを活用してCloudTrailログの監視をサポートします。以下の図は、AWS CloudTrailのクラウド検出機能を有効にするために活用されるリソースを詳述しています。
CALM=GUID-347f2904-5127-438c-8bce-3eecfa3b60b5.png
単一アカウントのCloudTrailログ監視
ConrolTower=GUID-397a82aa-ec27-450b-b520-7dd20cf5d0e2.png
ControlTower を使用した CloudTrail ログ監視

AWSでのFile Security Storageの展開 親トピック

下の図は、File Security StorageがAWSアカウント内のアセットを使用してファイルとクラウドストレージをモニタし、検索する方法を示しています。
FSS=GUID-9b10d393-162e-4d89-87a2-f33fd03934c0.png
ファイルセキュリティ