AWSでエージェントレスによる脆弱性と脅威の検出を始める

クラウドリソースの脆弱性と不正プログラムをスキャンするには、CloudFormationテンプレートを使用してAWSアカウントをCloud AccountsのTrend Vision Oneに追加します。エージェントレスによる脆弱性と脅威の検出を有効にしてから、[Scanner設定]をクリックしてスキャンするリソースタイプと、脆弱性、不正プログラム、またはその両方をスキャンするかどうかを選択します。脆弱性スキャンはデフォルトでサポートされているすべてのリソースに対して有効になっています。不正プログラム対策スキャンはデフォルトで無効になっています。スキャンの設定はいつでも変更できます。詳細な手順については、CloudFormation を使用して AWS アカウントを追加を参照してください。

エージェントレスによる脆弱性と脅威の検出は次のAWSリソースタイプをスキャンします:

エージェントレスによる脆弱性と脅威の検出は、EBSボリュームのスナップショットを取得し、ECRイメージ、Lambda関数のzipアーカイブ、およびLambdaレイヤーを収集することによりAWSで動作します。収集されたリソースは、脆弱性や不正プログラムのスキャンが行われます。コンテナイメージでデプロイされたLambda関数は、ECRイメージスキャンによってカバーされます。

スキャン結果はTrend Vision Oneに送信され、[Cloud Posture]、Executive Dashboard、Operations Dashboard、および[Attack Surface Discovery]のアセットプロファイル画面で確認できます。EBSボリューム、Lambda関数、またはLambdaレイヤーの脆弱性を修正したり、不正プログラムを修復したりすると、次の日次スキャン後に検出結果は表示されなくなります。ECRイメージの脆弱性検出は、修正後7日間、[Operations Dashboard] → [脆弱性]に表示され続けます。ECRイメージの不正プログラムの検出は、修復後7日間、[Operations Dashboard] → [すべてのリスクイベント]に表示され続けます。

次の表は、サポートされている各AWSリソースタイプに適用されるスキャンの制限を示しています。 AWSアカウントにエージェントレスによる脆弱性と脅威の検出をデプロイする際の推定コストについては、エージェントレスの脆弱性と脅威の検出AWSの推定展開コストをご覧ください

エージェントレスによる脆弱性と脅威の検出は、AWSアカウントの次のOSインスタンスをサポートしています。

エージェントレスによる脆弱性と脅威の検出は次のAWSリージョンをサポートしています。