公開日
2022年10月13日
更新日
2024年7月8日
Trend Vision One™ XDRトライアル
はじめの一歩
本記事では、トレンドマイクロのセキュリティ運用プラットフォームであるTrend Vision One™を使って、EDR(Endpoint Detection and Response)のトライアルを実施する流れを画面イメージ付きで詳しくご紹介しますので、是非見ながら一緒にトライアルを実施してみてください!
1.Trend Vision Oneとは?
まず初めに、今回の主役となるTrend Vision Oneについて、ざっくりとご紹介します。
Trend Vision Oneはトレンドマイクロが提供するSaaS型のセキュリティ運用支援のプラットフォームです。
このプラットフォームには、インシデント対応の支援や、リスクの可視化やアクセス制御といったゼロトラストへの道のりを支援する機能が搭載されており、日々アップデートされています。
図1. Trend Vision Oneの概念図
※IoT Securityについては2023年7月7日現在は未実装です。(今後実装予定あり)
2.XDRとは?
今回はその中の1つの要素である、XDRを体験していきます。
XDRとは、eXtended Detection and Responseの略称で、その名の通り拡張された対象についてのインシデント対応の機能を提供します。
具体的には、エンドポイントだけではなく、サーバ、メール、ネットワークといった幅広いレイヤーを対象としたDetection and Responseが可能となっているのが特徴です。
3.トライアル(無料体験)の流れ
さっそくTrend Vision One XDRの体験の流れを見ていきます。
●事前準備
・エージェントのシステム要件の確認
・通信要件の確認:エンドポイントからクラウド上のTrend Vision Oneで利用するURLにポート:443でアウトバウンド通信ができることを事前に確認します
・トラフィック量の確認
●注意事項
・既にApex One SaaS/Cloud One – Workload Securityをご利用のお客様は、2023/7/31まではトライアルでご利用いただくTrend Vision One環境との統合作業を実施いただくことができません。
トライアル環境を単独でご利用いただくことは問題なく可能です。詳細については以下の製品Q&Aをご確認ください。
[Trend Vision One]2023年7月3日以降にApex One SaaSとCloud One – Workload Securityを統合させる際の注意事項
トライアルユーザ登録
1.トライアルユーザ登録ページにアクセスし、フォームにメールアドレスなどを入力して申し込みをします。
2.登録したメールアドレスを認証し、ユーザ登録を進めます。
※既存のCLPアカウントに「トライアル版のVision One環境を紐づけすることはできません。
3.30日間の無料体験の有効期限を確認し、下部の許諾を確認し、[Activate]をクリックします。
4.Trend Vision Oneコンソールへの初回アクセスの際に、データセンターのロケーションを選択します。
United States->Japanへご変更下さい。
※後ほど変更はできません。
5.Executive Dashboardの画面が表示されたら、初回のコンソールへのアクセスの手順は完了です!
●トライアルについての補足
・トライアル期間は30日間です。
・既にTrend Vision Oneをお使いのお客さまは、上記のサイトから無料トライアルを実施することはできません。
・2回目以降のコンソールへのアクセスについては、ログインページに直接アクセスします。
コンソールの設定
●利用言語設定
右上のアイコンをクリックし、言語設定を選択し、日本語を選択します。
●時間設定
UTC 日本標準時間設定:上部の時間表示をクリックしConsole Settingsを選択し、アジア/東京を選択します。
●検出時の通知設定
初期設定でTrial登録時のメールアドレスがアラート通知先として登録されています。通知先を追加したい場合には以下の設定をご確認ください。
1.Trend Vision Oneコンソールの左ペイン最下部 >> をクリックしメニューを展開します。
2.Account > Notificationをクリックします。
3.新しいWorkbemchアラート > [受信者] に、検出時に通知を行いたいメールアドレスを追記します。
※テスト通知を実施したい場合は、[テストメッセージを送信]をクリックします。
4.Endpoint Basecamp(センサー)のインストール、有効化
1.Trend Vision One コンソールにログインします。
2.左のメニューアイコン:Endpoint Inventory 右上の歯車マークをクリックし、センサーの設定をします。
a.一般センサ設定 > "センサのみ"の中の設定2か所を有効にします。(初期設定で有効になっています)
–Endpoint Sensorの検出と対応:センサーを自動有効化する場合、オンにします。
–Advanced Risk Telemetry:端末の脆弱性などのリスク可視化を有効化する場合、オンにします。
※Advanced risk telemetryを有効化した場合、Trend Vision Oneコンソール->Risk Insights->Operations Dashboardにて、リスクのある脆弱性等、企業の全体的なリスク指標に関する情報を表示出来るようになります。
参考:Operations Dashboard
b.グローバル設定 > センサ設定 > センサのダウンロード帯域幅の欄にてエージェントの最大同時ダウンロード数を設定します。
※数値の調整は、Trend Vision Oneアカウント単位で設定します。
例:「2」と設定した場合、2台同時にダウンロードを開始し、内1台でも終了すれば次の1台がダウンロードを開始し、全台のダウンロードが完了するまでこれを繰り返します。但し、同時にダウンロード出来るのは2台までです。
※XDR Endpoint Sensor有効化、無効化、アップグレードの展開動作がこの機能の影響を受けます。Endpoint Basecampのインストールには影響しません。
※Windows、Mac OSのみが本設定の対象となります。
c.グローバル設定 > プロキシ設定にてプロキシの設定を入力します。今回はEDRの機能のみを検証するため、Sensor Onlyのプロキシを設定します。
※設定したプロキシ経由で接続できない場合、Agentは直接接続を試みます。
3.左のメニューアイコン:Endpoint Inventoryよりセンサーのインストーラをダウンロードします。
4.ダウンロードしたファイル(32bitのWindowsの場合は"TMSensorAgent_Windows_32.zip")を対象エージェントに配置・展開し、"EndpointBasecamp.exe"を実行してインストールします。
※今回は検証用の一時的な仮想マシン上に導入します。
5.Endpoint Inventory > すべての管理対象エンドポイント > センサのみが表示されることを確認します。
a.一定時間置いても表示されない場合、以下の確認を行ってください。(※エージェント側で操作)
6.左ペインからXDR > Searchをクリックし、上部検索窓にホスト名等の情報で検索し、エージェントのアクティビティデータがTrend Vision Oneに送信されていることを確認します。
注:データはセンサー有効化後から5分おきに送信されるので、有効化後一定時間あけてからご確認ください。
5.攻撃シミュレーションツールを実行する
攻撃シミュレーションツールのダウンロード
1.Trend Vision Oneコンソール下部のアイコンから、[シミュレーション] – [Workbench] – [シミュレーションを試す] - [エンドポイント攻撃のシナリオ]をクリック。
2.T1003-OS資格情報のダンプ[デモスクリプトのダウンロード]をクリック。
3.[デモスクリプトのダウンロード]下部に記載されたパスワード*を使い”T1003_Demo_Script.zip”を解凍。
攻撃シミュレーションツールの実行
1.XDRセンサーが有効な端末でT1003_Demo_Script.batを実行する。
2.コマンドプロンプトが起動し、#Type 1,2 or X, and press ENTER: 表示後、1を入力しEnter
3.続行するには何かキーを押して下さい… 表示後、Enter
4.再度、#Type 1,2 or X, and press ENTER: 表示後、2を入力しEnter
5.続行するには何かキーを押して下さい… 表示後、Enter
6.再度、#Type 1,2 or X, and press ENTER: 表示後、Xを入力しEnter。プロンプトが閉じる。
6.Trend Vision One コンソールでインシデントの検出を確認する
Workbenchで検出アラートを確認する
1.Trend Vision Oneコンソールの左側"X"アイコンからWorkbench“に移動します。
2.Demo - Credential Dumping via Registryアラートが発令されていることを確認し、Workbench IDをクリック。
3.攻撃シミュレーション概要が表示され、影響範囲を確認。影響範囲にある端末・ユーザアイコンクリックすることでホスト名、ユーザ名を特定する。
●アラート内容を確認します
1.実行されたコマンドの確認:左側のハイライトよりオブジェクトコマンドとなったもの(objectCmd)を確認。
2.不審ファイルの確認:左側の赤枠のマークをクリックし、実行プロファイルを表示すると、” T1003_Demo_Script.bat”を不審ファイルとして確認することができます。
アイコンが表示されない場合、エンドポイント名を右クリック – [実行プロファイルを確認する]をクリックします。
3.実行プロファイルは常備右上のボタンより別タブで開き、残しておきます。(後ほど使います)
●論理隔離
1.上部タブよりWorkbenchに戻り、対象のWorkbench IDをクリックします。
2.ハイライト - [ホスト名]を右クリック – [Isolate Endpoint]をクリック。
3.左メニューResponse Managementより、当該隔離タスクが緑のチェックマークで成功していることを確認。当該エージェントにてインターネットブラウザを開き、インターネット接続出来ないことを確認。
4.Response Managementから、実施した隔離タスクの[…]をクリックし、[接続の復元]を実施。当該エージェントにてインターネットブラウザを開き、インターネット接続出来ることを確認。
●不審ファイルの回収/解析
1.先ほど別タブで開いていた実行プロファイルに戻り、T1003のアイコンを右クリック – [Collect File]をクリック。ポップアップウィンドウより、[Create]をクリック。
※Collect Fileには20分ほど時間がかかる可能性があります。
2.左メニューResponse Managementより、検体ファイルをダウンロードする。
※今回はデモファイルなので解析は不要です。
実際のインシデント対応の場合は、以下の手順を実施します。
・不審ファイルをトレンドマイクロへ送付し解析依頼を行う。
・パターンファイルに反映されたら、端末上でパターンのアップデートとフルスキャンを実行し、対応完了。
お疲れ様でした!
以上で、Trend Vision Oneトライアルの流れの解説は終了です。
ここまで読んでいただきまして、どうもありがとうございました。
最新情報
最新のVision Oneについての情報については、Online Helpをご確認ください。
Vision Oneのトライアルはこちらからお申込みください!
執筆
トレンドマイクロ株式会社