エージェントレスによる脆弱性と脅威の検出

ビュー:

エージェントレスによる脆弱性と脅威の検出を使用して、クラウド環境内の脆弱性と不正プログラムをスキャンおよび検出します。

エージェントレスによる脆弱性と脅威の検出は、接続されたクラウドアカウントで有効になっているサーバーレス関数です。この関数は、他のリソースや実行中のアプリケーションに影響を与えることなく、サポートされているクラウドリソースの脆弱性や不正プログラムをスキャンします。この関数はスキャン中のみアクティブになり、設定されたリソース制限内でスキャンプロセスのニーズに応じて動的にスケールします。収集されたすべてのデータはサーバーレス関数内で分析され、メタデータのみがTrend Vision Oneに送信されます。お客さまのデータはクラウドアカウントを離れることはありません。

重要

エージェントレスによる脆弱性と脅威の検出は検索の前にクラウドストレージリソースのスナップショットを撮影し、スナップショットにタグtrend-micro-product:avtdを付けます。このタグを使用して、検索待ちのスナップショットを識別し、設定した自動削除プロセスからスナップショットを除外します。検索が完了すると、スナップショットはクラウドアカウントから自動的に削除されます。

エージェントレスによる脆弱性と脅威の検出は現在、次のクラウドプロバイダーをサポートしています:

脆弱性スキャンは、既知のCVEについてクラウドリソースを検査します。不正プログラム対策スキャンは、ウイルス、トロイの木馬、スパイウェアなどの潜在的な不正プログラムを特定するためにクラウドリソースをスキャンします。スキャンは、クラウドアカウントに初めて接続して機能を有効にしたときから1日1回実行されます。デプロイ後のスキャン時間は設定できません。

注意

AWSアカウントではデフォルトで不正プログラム対策スキャンが有効になっていません。この機能を有効にすると、次の日次スキャン時に不正プログラム対策スキャンが開始されます。

スキャン結果は確認のためにTrend Vision Oneに送信されます。結果に脆弱性や不正プログラムが含まれている場合、[Cyber Risk Exposure Management] → [Threat and Exposure Management]の関連するリスクイベントに対して推奨される修復オプションが表示されます。

次の表は、エージェントレスによる脆弱性と脅威の検出がサポートするクラウドプロバイダのリソースを示しています。

機能	クラウドプロバイダ	スキャンに対応するリソース
脆弱性スキャン	AWS	EC2インスタンスにアタッチされたEBSボリューム、含む: 暗号化されていないEBSボリューム AWS管理キーで暗号化されたEBSボリューム顧客管理キーで暗号化されたEBSボリューム "latest" タグ付きの ECR イメージ Lambda関数とアタッチされたLambdaレイヤー
	Google Cloud	Compute Engineインスタンスに接続されたHyperdisksおよびPersistent Disks Artifact Registryコンテナイメージ
	Microsoft Azure	VMに接続されたマネージドディスクコンテナレジストリコンテナイメージ
不正プログラム対策スキャン	AWS	EC2インスタンスにアタッチされたEBSボリューム、含む: 暗号化されていないEBSボリューム AWS管理キーで暗号化されたEBSボリューム顧客管理キーで暗号化されたEBSボリューム ECR リポジトリ内のコンテナイメージサーバーレスLambda関数
	Google Cloud	Compute Engineインスタンスに接続されたHyperdisksおよびPersistent Disks Artifact Registryコンテナイメージ
	Microsoft Azure	VMに接続されたマネージドディスクコンテナレジストリコンテナイメージ

脆弱性の検出は、Trend Vision Oneコンソールの次の場所で利用できます:

[Cloud Risk Management] → [クラウドのセキュリティ状態]
[Cyber Risk Overview] → [リスクの概要] → [クラウドアセット] → [リスク要因]
[Cyber Risk Overview] → [露出の概要] → [脆弱性]
[Threat and Exposure Management] → [リスク削減策]
[Threat and Exposure Management] → [すべてのリスクイベント]
[Threat and Exposure Management] → [脆弱性]
[Attack Surface Discovery] → [クラウドアセット] → [クラウドアセットリスト]のクラウドアセットプロファイル画面

脆弱性の検出を表示する際、リスト上の関連するリスクイベントを展開して、利用可能な修正または緩和オプションと検出に関連するメタデータを確認してください。提供されたメタデータを使用してXDR Data Explorerでクエリを実行し、検出について詳しく学んでください。

一度修正または軽減されると、ほとんどのクラウドリソースの脆弱性検出に関連するリスクイベントは、次の日次スキャン後に[Cyber Risk Exposure Management]に表示されなくなります。コンテナイメージの脆弱性は、パッチ適用後7日間[Threat and Exposure Management] → [脆弱性]に表示され続けます。

不正プログラムの検出は、Trend Vision Oneコンソールの次の場所で利用できます。

[Cloud Risk Management] → [クラウドのセキュリティ状態]
[Threat and Exposure Management] → [すべてのリスクイベント]
[Threat and Exposure Management] → [リスク削減策]
[Threat and Exposure Management] → [脅威の検出]
[Attack Surface Discovery] → [クラウドアセット] → [クラウドアセットリスト]のクラウドアセットプロファイル画面

不正プログラム検出を表示する際、関連するリスクイベントを展開して、検出に関連するメタデータを確認します。メタデータを使用してXDR Data Explorerでクエリを実行し、脅威をさらに調査します。利用可能な修復オプションについて学ぶには、リスクイベントの下にある[表示オプション]をクリックしてください。

ヒント

XDR Data Explorerでクエリを実行する際、不正プログラムを含むパーティションをファイルシステムのユニバーサルユニーク識別子 (UUID) を使用して検索できます。検出メタデータにファイルシステムUUIDがない場合、CLIコマンドを使用してUUIDを見つけることができます。

修復後、ほとんどのクラウドリソースの不正プログラム検出に関連するリスクイベントは、次の日次不正プログラム対策スキャン後に[Cyber Risk Exposure Management]に表示されなくなります。コンテナイメージの不正プログラム検出は、修復後7日間[Threat and Exposure Management] → [すべてのリスクイベント]に残ります。