コンテンツにスキップ

CloudOne連携#

FutureVuls と Trend Micro CloudOne の連携が可能です。 2021年8月以降に作成した CloudOne における FutureVuls との連携方法については「こちら」を参照してください。

Trend Micro Cloud One Workload Securityとの連携方法#

Trend Micro Cloud One Workload Security(以下、CloudOne)と連携することでFutureVulsに以下の2点の機能を追加可能です。

  1. 侵入防御ルール最適化機能

    FutureVulsで検知したCVE-IDのリストを元に、CloudOneの侵入防御ポリシーを自動生成する。 実際に検知したCVE-IDを元にルールを自動生成するため、最適化されたルールを生成できます。CloudOneには [Vuls] {サーバのロール名} という形式でポリシーが作成されます。サーバのロールはCloudOneで同じポリシーとして管理する単位で分割ください。(ロールの作成方法)

  2. 侵入防御ルール表示、自動トリアージ機能

    CloudOneにて防御中のCVE-IDを一覧画面に表示し、該当するタスクのステータスをWorkAroundに設定する。 CloudOneのエージェントをインストールしたあと、FutureVulsで再スキャンする必要があります。

どちらの機能もFutureVulsでスキャンされたタイミングに実行されます。

2021/6/18リリースにて、FutureVulsで検知した脆弱性に対応するCloud One侵入防御ルールが存在する場合は Available ステータスのアイコンが表示されるようになりました。 Availableステータスは「グループ設定>Cloud One外部連携」が未設定でもデフォルトで表示されます。また侵入防御ルール有無の情報はFutureVulsサービス側で数時間に一度の間隔で同期されます。 高リスクな脆弱性を検知したが、すぐにはアップデートできない状況。一時的な回避策として、Cloud Oneに該当する脆弱性の侵入防御ルールが存在するかを確認したいケースで便利な機能です。

認証設定#

CloudOneでの操作#

1. リージョン情報の確認#

  1. CloudOneのアカウントのリージョン情報を確認する

image

2. FutureVuls用の「役割」を作成#

  1. 管理 > ユーザ管理 > 役割で役割を作成

image

※ コンピュータの侵入防御ルールを取得するために、コンピュータの「編集」権限が必要になります。編集権限の必要性については、トレンドマイクロ社に現在問い合わせ中です。

3. FutureVuls用のAPIトークンを発行#

  1. ユーザ管理 > APIキー で「新規」を選択
  2. 先ほど作成した役割を元にキーを発行
  3. 発行したキーと最初に確認したリージョン情報を、FutureVulsの外部連携画面に入力

image

  • 2021年8月に行われた、CloudOneのアカウントシステム変更に伴い、新システムとレガシーシステムではAPIの取得方法が異なります。
  • 公式サイトで説明されているように、ログインページのバナーの色を参考にどちらのシステムを利用しているのか判断してください。
  • 旧CloudOneの管理画面を利用している方はこちらのページを参考に、APIトークンを取得する必要があります。

FutureVulsでの操作#

グループ設定の 外部連携 から設定できます。 先ほど作成した APIトークン を入力して、「保存」ボタンを押下します。

このとき、ポリシーの自動生成とトリアージの設定の有無も一緒に設定できます。

image

連携設定#

0. 上記の手順に沿って、グループ設定画面で連携#

1. FutureVuls画面で「ロール」を作成#

分割したい単位でロールを作成します。 ロールの単位は、CloudOneのポリシー単位で作成すると、管理がしやすくなります。

2. CloudOne画面で「ポリシー」を作成#

ポリシー作成時、[Vuls] {ロール名} の命名規則で作成すると、侵入防御ルールが自動更新されます。 たとえば default という名前のロールであれば、 [Vuls] default というポリシー名をCloudOne上で作成します。

※ ポリシー名が存在しない場合、上記の命名規則で、あらたなポリシーが作成されます。

create_policy.png

新規作成の場合は、ポリシーの「設定 > 一般 > 推奨設定」にて「推奨設定の継続的な検索を実行」を「はい」か「いいえ」に設定してください。どちらでもない場合、侵入防御の反映に失敗します。(「継承(はい/いいえ)」「初期設定(はい/いいえ)」の場合、処理が失敗します)

recommend_policy.png

また侵入防御を「オン」にしてオンにしておくと、設定したルールが有効になります。

prevention_policy.png

3. FutureVuls画面で、サーバをロールに割り当てる#

サーバのページにて、複数のサーバを選択して、一括でロールを変更できます。

4. CloudOne画面でポリシーとコンピュータを割り当てる#

computer.png

5. スキャンの実行#

CloudOneと連携するには、設定後に再度スキャンする必要があります。 CloudOneとの連携が完了するまで、数分お時間いただく場合があります。

6. 連携の確認#

サーバ一覧画面の「CloudOneステータス」に、侵入防御ルールが有効になっているかのマークが表示されるようになります。

タスク一覧画面では、CloudOneで設定された侵入防御ルールが反映された場合、「CloudOneステータス」列に状態が反映されます。 また、状況に応じてタスクのステータスも変更されます。

連携後

  • CloudOneで防御 :「✔」のアイコン、タスクステータスがWorkaroundに
  • CloudOneで検知 :「!」のアイコン、タスクステータスは変更なし
  • 侵入防御ルールあり :「ファイルに虫眼鏡」のアイコン、CloudOneに侵入防御ルールはあるがルールは未適用のためタスクステータスは変更なし

状態が変化した場合#

  • CloudOneで防御→検知に変更 : タスクステータスがNewに変更される
  • CloudOneの連携を解除 : CloudOne情報が削除される

注意点#

  • 現在、オンプレミスのCloudOneとの連携はできません。
  • CloudOneとの連携を解除した場合、すでにCloudOne連携によってWORK_AROUNDに設定されていたタスクのステータスは元に戻りません。

ポリシー設定は、ロールごとに作成されるため、連携の効果を高めるためには、適切にサーバをロール管理する必要があります。