ビュー:

クラウドセキュリティ機能と権限を有効にして、Trend Vision One にクラウドアセットの可視性と保護を強化します。

AWSアカウントでクラウドアカウントの機能と権限を有効にすると、Trend Vision Oneアプリとセキュリティ機能がクラウドアカウントにアクセスし、アセットの可視性を高め、潜在的な脅威をモニタできます。各機能と権限の説明は以下の表に記載されています。
重要
重要
  • 一部の機能では、限られた数のAWSリージョンがサポートされます。詳細については、AWSがサポートするリージョンと制限事項を参照してください。
  • エージェントレスによる脆弱性と脅威の検出およびAmazon Security Lakeのクラウド検出はプレリリースのサブ機能であり、公式の商用リリースまたは一般リリースの既存機能の一部ではありません。サブ機能を使用する前に、プレリリース サブ機能に関する免責を確認してください。
機能
説明
Core Features and Cyber Risk Exposure Management
AWSアカウントに接続するために必要な機能と権限のコアセット
主要な機能により、AWSアカウントを Trend Vision One に接続してクラウドアセットを検出し、クラウドインフラストラクチャのコンプライアンスやセキュリティのベストプラクティス違反などのリスクを迅速に特定できます。
注意
注意
コア機能はAWSアカウントに接続するために必要であり、無効にすることはできません。アカウントの接続を解除する必要がある場合は、AWSアカウントを参照してください
コア機能により、次のTrend Vision Oneアプリと機能がクラウド環境を監視できるようになります
  • [Cyber Risk Exposure Management]Attack Surface Discovery[クラウドアセット]
    詳細については、クラウドアセット を参照してください。
  • [Cyber Risk Exposure Management]Attack Surface Discovery[API]
    詳細については、API を参照してください。
  • [Cyber Risk Exposure Management][Cloud Risk Management]
    詳細については、クラウドのセキュリティ状態を参照してください。
  • [Endpoint Security][Server & Workload Protection]
    EC2インスタンスとAmazon WorkSpacesは、他のコンピュータと同様にServer & Workload Protectionで管理できます。これらのインスタンスはツリー構造であり、コンピュータグループとして扱われます。
    AWSアセットは次の場所に表示されます:
    • EC2 インスタンスは、[Computers] 画面に表示され、リージョン、VPC、およびサブネットごとに AWS アカウントの下に一覧表示されます。
    • Amazon WorkSpaces は [Computers] 画面に表示され、[WorkSpaces] グループの一部としてリージョンごとに AWS アカウントの下に一覧表示されます。
    詳細については、コンピュータ を参照してください。
注意
注意
あなたのAWSアセットはEndpoint Inventoryリストに表示されます。エージェントがインストールされていないアセットは管理されていないエンドポイントとして表示されます。
エージェントレスの脆弱性と脅威の検出
アカウントにCyber Risk Exposure Management (CREM) 機能を有効にするための機能と権限セット
この機能セットにより、Trend Vision One はエージェントレスの脆弱性および脅威の検出を AWS アカウントにデプロイし、EC2 インスタンスに接続された AWS EBS ボリューム、ECR イメージ、および Lambda 関数の脆弱性と不正プログラムを発見できます。アプリケーションに影響を与えることはありません。詳細については、エージェントレスによる脆弱性と脅威の検出 を参照してください。
注意
注意
Cloud AccountsでAWSアカウントを追加する際に、スキャンに含めるリソースタイプを指定できます。現在、3つのAWSリソースタイプがサポートされています:EBS(Elastic Block Store)、ECR(Elastic Container Registry)、およびLambda。すべてのリソースはデフォルトで脆弱性スキャンに含まれます。不正プログラム対策スキャンはデフォルトで無効になっていますが、いつでも有効にすることができます。
Amazon ECSのコンテナ保護
コンテナを表示および保護するための機能と権限セット
この機能セットにより、 Container SecurityはAWSアカウントにコンポーネントを接続してデプロイし、Elastic Container Service (ECS) 環境のコンテナとコンテナイメージを保護できます。
重要
重要
  • 2023年11月現在、AWSのプライベートアカウントとフリーミアムアカウントでは、最大10件のLambdaの実行のみが許可されています。 Container Protectionをデプロイするには、Lambdaを20回以上同時に実行する必要があります。この機能を有効にする前に、AWSアカウントのステータスを確認してください。
  • 現時点では、ECSランタイム脆弱性検索機能は、 Container SecurityがインストールされていないAWSアカウントにインストールされたECRイメージの検索をサポートしていません。
詳細については、Container Securityを参照してください。
AWS CloudTrailのクラウド検出
クラウドのAudit LogsをモニタするためにXDR for Cloudを有効にする機能と権限のセット
この機能セットにより、クラウドアカウントのXDR監視が可能になり、権限昇格、パスワードの変更、およびその他の攻撃手法などのアクティビティを特定する検出モデルを使用して、ユーザ、サービス、およびリソースのアクティビティに関する実用的な洞察を得ることができます。この機能によって生成された検出は、SearchおよびWorkbenchアプリで表示できます。
Cloud audit logs は、次の Trend Vision One アプリおよびサービスのデータソースとして使用されます:
  • Observed Attack Techniques
  • Workbench
  • Detection Model Management(カスタム例外およびモデルに使用)
この機能を使用するには、CloudTrail設定の追加設定が必要です。詳細については、CloudTrailの設定を参照してください。
注意
注意
XDR for Cloudの使用にはクレジットが必要です。データ許容量の制限と割り当てられたクレジットを管理し、過去のデータ使用量のグラフを表示するには、[Credits設定] アイコン (gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png) をクリックしてください。
XDR for Cloudのデータ許容量は、年間を通じてすべてのログソースからアップロードできるデータ量です。2025年2月現在、XDR for Cloud - Amazon Security Lakeからのデータはデータ許容量の制限にカウントされません。Amazon Security LakeのCloud Detectionsが正式にリリースされると、すべてのログソースからのデータがXDR for Cloudのデータ許容量にカウントされます。
Amazon Security Lakeのクラウド検出
Amazon Security Lakeデータのクラウド監視のためにXDRを有効にする機能と権限セット
この機能セットは、Amazon Security LakeからTrend Vision Oneにデータを転送し、XDR検出モデルを使用して、クラウドリソース、サービス、およびネットワークで悪意のある活動や疑わしい活動が検出されたときに警告を発することで、環境に関する実用的な洞察を得ることができます。
転送されるデータには、次のスキャンされたログが含まれます:
  • CloudTrail - 管理イベント
  • CloudTrail - S3データイベント
  • CloudTrail - Lambdaデータ
  • EKS Audit Logs
  • Route 53 Resolver クエリログ
  • SecurityHubの検出結果
  • VPCフローログ
  • WAFログ
重要
重要
この機能を有効にする前にAmazon Security Lakeを設定する必要があります。
XDR for Cloudの使用にはクレジットが必要です。データ許容量の制限と割り当てられたクレジットを管理し、過去のデータ使用量のグラフを表示するには、[Credits設定] アイコン (gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png) をクリックしてください。
XDR for Cloudのデータ許容量は、年間を通じてすべてのログソースからアップロードできるデータ量です。2025年2月現在、XDR for Cloud - Amazon Security Lakeからのデータはデータ許容量の制限にカウントされません。Amazon Security LakeのCloud Detectionsが正式にリリースされると、すべてのログソースからのデータがXDR for Cloudのデータ許容量にカウントされます。
AWSのクラウド対応
アカウントの対応処理を許可する機能と権限セット
この機能セットにより、 Trend Vision One は、不審なIAMユーザのアクセス権の取り消しなど、クラウドアカウント内のインシデントを封じ込めるための対応処理を実行できます。追加の対応処理では、サードパーティのチケットシステムとの統合を活用します。応答処理は、 Workbenchアプリのコンテキストメニューから実行できます。
この機能を使用するには、アカウントに対して XDR for Cloud - AWS CloudTrail を有効にする必要があります。
File Security Storage
File Securityアプリによるファイルとクラウドストレージの監視と検索を許可するための機能と権限セット
この機能により、Trend Vision Oneはクラウドストレージ内のファイルおよびクラウドオブジェクトを表示およびスキャンして、潜在的な不正プログラムを検索および検出する権限を持つことができます。詳細については、ファイルセキュリティを参照してください。
リアルタイムのポスチャ監視
Cloud Risk Managementアプリのリアルタイム状態監視を有効にするための機能と権限セット
この機能により、Trend Vision Oneクラウドアカウントを監視して、クラウド環境内のアクティビティやイベントに関する脅威および修復アラートを即時にライブ監視できるようにする権限。詳細については、リアルタイムのポスチャ監視を参照してください。
この機能を使用するには、アカウントに対して XDR for Cloud - AWS CloudTrail を有効にする必要があります。
AWS VPC フローログのクラウド検出
XDRを有効にするための機能と権限のセット (仮想プライベートクラウド (VPC) フローログのクラウド監視用)
この機能セットにより、Trend Vision One は VPC フロー ログを収集および分析して、悪意のある IP トラフィック、SSH ブルート フォース攻撃、データ流出などを特定し、アラートを提供できます。
AWS VPC フロー ログは、次の Trend Vision One アプリおよびサービスのデータ ソースとして使用されます:
  • Threat Intelligence Sweeping
  • Observed Attack Techniques
  • Workbench
  • Detection Model Management(カスタム例外およびモデルに使用)
Cloud Activity Data または ネットワークアクティビティデータ を検索方法として選択することで、Searchアプリ を使用して VPC Flow Log イベントを検索できます。詳細については、検索方法のデータソース を参照してください。
この機能には追加の要件と考慮事項があります。詳細については、VPC フロー ログの推奨事項と要件 を参照してください。
重要
重要
XDR for Cloudは、バージョン5以降のVPCフローログの監視のみをサポートします。詳細については、VPC フロー ログの推奨事項と要件を参照してください。
XDR for Cloudの使用にはクレジットが必要です。データ許容量の制限と割り当てられたクレジットを管理し、過去のデータ使用量のグラフを表示するには、[Credits設定] アイコン (gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png) をクリックしてください。
Data Security Posture
Data Security PostureがAWSクラウドアセットの機密データをモニタすることを許可する機能と権限セット。
この機能により、機密データを含むクラウドアセットを即座に可視化できます。Data Security Postureは、組織全体のデータリスクを理解し、最もリスクの高い機密データを含むクラウドアセットを確認および対処するのに役立ちます。
詳細については、Data Security Posture を参照してください。
関連情報