Cloud App SecurityとVision Oneを連携することによるメリット、連携手順

1.CAS with XDRとは？

CASはMicrosoft 365 やGoogle WorkspaceなどのクラウドアプリケーションとAPI連携を行うことでデータ保護が可能となります。
また、その中でもメールについては、Microsoft 365 のExchange Online、Google WorkspaceのGmailを保護対象とすることができます。

しかしながら、CASで十分に保護されているからといって安心はできません。
昨今のメール脅威は巧妙化しているため、他社のセキュリティサービスも同様ですがCASのみでは100%の防御を保証することが難しくなってきています。

それでは、万が一のメール脅威のすり抜け、メール脅威起点でのインシデントが発生した場合、どのように対応したらい良いのでしょうか。
Vision Oneと連携することで、それが解決できますよ。

2.CASとVision Oneの連携メリット

それでは、Vision Oneと連携すると、どういったメリットがあるのでしょうか。
主には以下が挙げられます。

■メール脅威に対する検知の強化
・Vision One 独自ルールによるメールを再検査することで巧妙化しているメール脅威の検知力を強化させることができます。

■メール脅威起点のインシデント調査・対応の強化
・XDRアラートで起点となっているメール脅威の詳細を調査することができます。
・調査した結果、対応が必要なメール脅威をコンソール上で数クリックで隔離処理を行うことができます。
・同一攻撃犯による複数ユーザに対するばらまき型メール脅威に対する調査・メール隔離を一括でまとめて実施することができます。

他にも、CASにて検知されていないメールを含めたすべてのメールログの確認、およびメールに対する隔離処理も可能となります。
さらにAzure ADやOffice365アプリと連携することでアカウント乗っ取り攻撃兆候の可視化なども実現できます。

3.CASとVision Oneの連携

CASでの検知ログとメール属性データをVision Oneに連携することで、Vision Oneの独自アルゴリズムによるメール脅威の再検査を行い、脅威検出を行います。
CASとVision Oneを連携してみましょう！

■構成図

■事前準備と注意事項
●必要なアカウント
・ Vision Oneアカウント
・Microsoft 365 グローバル管理者のアカウント情報（ユーザ名/パスワード）

■連携手順
3-1. Vision Oneのコンソールにログイン
Vision One コンソールにログインします。
Vision One コンソールへのログイン方法は以下の2通りとなります。

①Customer Licensing Portal(CLP)からログイン
ログインIDとパスワードを入力し[ログイン]ボタンをクリックします。

ログイン後、[Trend Vision One]の[コンソールを開く]をクリックします。

②Vision OneのコンソールログインURLより、CLPへログインする際に使用するユーザID・パスワードを入力
※Vision OneコンソールURL：https://portal.xdr.trendmicro.co.jp/

Vision Oneのログイン後の画面です。

3-2. メールサービスへのアクセス権限の付与
画面左メニューより、[Email Security Operations]>[Email Account Inventory]を選択してください。

連携するメールサービスを選択し、[Get Started]ボタンをクリックします。（下図では「Exchange Online」を選択しています。）

Vision OneにExchange Onlineメールボックスへのアクセス権限を付与します。
「Use the Graph API to access all mailboxes.」の[Click Here]ボタンをクリックします。

Microsoftのサインイン画面が表示されるので、Microsoft 365のグローバル管理者のアカウントにてサインインします。

連携に必要な権限（Exchange Onlineメールボックスへのアクセス権限）が表示されますので、確認のうえ、[承諾]ボタンをクリックします。

各ユーザープロファイル情報へのアクセス権限を付与します。
「Access the user profiles and mailboxes.」の[Click Here]ボタンをクリックします。

再度Microsoftのサインイン画面が表示されるので、Microsoft 365のグローバル管理者のアカウントにてサインインします。

連携に必要な権限（各ユーザープロファイル情報へのアクセス権限）が表示されますので、確認のうえ、[承諾]ボタンをクリックします。

メールボックス情報の同期、および連携設定処理が開始されます。

3-3. 連携対象ユーザ、グループの選択
以下のように[Manage Email Sensors]ボタンがグレーアウトから青色に遷移したら、連携対象のユーザ、グループを選択します。
画面上の[Manage Email Sensors]ボタンをクリックします。

左の「All Users/Groups」から連携対象のユーザ、グループを選択のうえ、中央の[>]ボタンをクリックします。
右の「Selected Accounts」に選択したユーザ、グループが表示されていることを確認し、最後に[Save]ボタンをクリックします。

Vision OneとCASの連携有効化について確認画面が表示されますので、[Confirm]ボタンをクリックします。

3-4. 連携結果の確認
連携結果については、Email Account Inventory、またはProduct Connectorにて確認できます。

【Email Account Inventory】
画面左メニューより、[Email Security Operations]>[Email Account Inventory]を選択してください。

「Users/Groups」に連携済みのユーザが一覧に表示されている場合は、正常に連携されています。
※すべてのユーザを対象として設定した場合はは、以下のように表示されます。

【Product Connector】
画面左メニューより、[Point Product Connection]>[Product Connector]を選択してください。

「Trend Micro Cloud App Security」の接続ステータスが「接続済み」と表示されている場合は、正常に連携されています。

3-5. アラート内容の確認
画面左メニューより、[XDR Threat Investigation]>[Workbench]を選択してください。

Vision Oneにて検出されたアラート一覧が表示されます。
アラートの詳細を確認するには、Workbench IDをクリックしてください。

以下のようにアラートの詳細を確認できます。

上記画面にてメールアイコンを右クリックすることで、レスポンス処理（メールの隔離、削除）も可能となります。

4.最後に

CASとVision Oneの連携については以上になります。
最後まで読んでいただきまして、どうもありがとうございました。

最新のVision Oneについての情報については、Online Helpをご確認ください。
Vision Oneの無料体験版はこちらからお申し込みください！