[Cortex XDR/XSIAM]クラウドのリソースを可視化する - Cloud Inventory Assets -

massaito · ‎11-09-2022

オンプレミスのシステムがクラウド上にシフトしたり、クラウドネイティブなアプリケーションが開発される中で、

SoCチームの監視範囲は拡大しつつあります。

Cortex XDRはクラウド上にあるリソースを可視化し、SoCチームがクラウド上のリソースの状況を把握する機能を

提供しています。

AWS, Azure, GCP上のリソースのうち

Compute Instance, Disk, Storage Bucket, VPC, Subnet, Security Group(Firewall rule), Network Interface,

Cloud Function(ex. AWS Lambda, Azure Functions)を収集します。

収集したリソースは、Assetsの[Cloud Inventory]の画面から確認することができます。

Comupute Instanceの例

ダッシュボード[Cloud Inventory Dashboard]ではリソースの統計データを確認することができます。

Cloud Instanceの例

Security Groupの例

Cloud Compute Instancesの場合、Agent未導入インスタンスを確認できます(HAS XDR AGENTカラムから)

Quick Launcherから、インスタンスに紐づくIPアドレスでXDR上のNetwork Connectionに関するデータ

を問い合わせすることもできます。

Cortex Xpanseと連携している場合、Internet Exposureカラムで、インターネットに公開されているIPアドレスで観測された

サービス（RDP、SSH etc）を確認することができ、SoCチームがクラウドのインスタンスのリスクを把握することが可能です。

こちらのドキュメントもご確認ください。

Cloud Inventoryを可視化するには、IAMの設定が必要になります。ここではAWSのCloud Inventoryを収集する方法に説明します。

詳細は一番下に記載したリンクからご確認ください。

お客様のAWSアカウントでIAMロールを作成します。ロールは用意されたCloudFormation Templateから作成します。

スタックのステータスを確認し「CREATE_COMPLETE」になることを確認します。

アウトプットにこのロールのARNが値に表示されます。Cortex XDRのコンソールで設定するので控えておきます。

Collection IntegrationsからCloud Inventoryを選択(Add Instance)します。

AWSのアイコンをクリックします。

作成したロールのARNと、external IDを設定します。ここではOrganization LevelをAccountとしています。

設定が正しければ Successful Integrationと表示されます。

データが正しく取得できれば Last Collection Timeがupdateされます。

Cloud Inventory、必要なライセンスについてはこちら