1.Trend Vision Oneとは？

まず初めに、今回の主役となるTrend Vision Oneについて、ざっくりとご紹介します。

Trend Vision Oneはトレンドマイクロが提供するSaaS型のセキュリティ運用支援のプラットフォームです。
このプラットフォームには、インシデント対応の支援や、リスクの可視化やアクセス制御といったゼロトラストへの道のりを支援する機能が搭載されており、日々アップデートされています。

図1. Trend Vision Oneの概念図
※IoT Securityについては2023年7月7日現在は未実装です。（今後実装予定あり）

2.XDRとは？

今回はその中の1つの要素である、XDRを体験していきます。

XDRとは、eXtended Detection and Responseの略称で、その名の通り拡張された対象についてのインシデント対応の機能を提供します。
具体的には、エンドポイントだけではなく、サーバ、メール、ネットワークといった幅広いレイヤーを対象としたDetection and Responseが可能となっているのが特徴です。

3.トライアル（無料体験）の流れ

さっそくTrend Vision One XDRの体験の流れを見ていきます。

●事前準備
・エージェントのシステム要件の確認
・通信要件の確認：エンドポイントからクラウド上のTrend Vision Oneで利用するURLにポート:443でアウトバウンド通信ができることを事前に確認します
・トラフィック量の確認

●注意事項
・既にApex One SaaS／Cloud One – Workload Securityをご利用のお客様は、2023/7/31まではトライアルでご利用いただくTrend Vision One環境との統合作業を実施いただくことができません。
トライアル環境を単独でご利用いただくことは問題なく可能です。詳細については以下の製品Q&Aをご確認ください。
[Trend Vision One]2023年7月3日以降にApex One SaaSとCloud One – Workload Securityを統合させる際の注意事項

トライアルユーザ登録

1.トライアルユーザ登録ページにアクセスし、フォームにメールアドレスなどを入力して申し込みをします。
2.登録したメールアドレスを認証し、ユーザ登録を進めます。

※既にトレンドマイクロのCLPアカウントを保持している場合には、CLPのアカウント名を入力することで、既存アカウントに紐づけが可能です。

3.30日間の無料体験の有効期限を確認し、下部の許諾を確認し、[Activate]をクリックします。

4.Trend Vision Oneコンソールへの初回アクセスの際に、データセンターのロケーションを選択します。
United States->Japanへご変更下さい。
※後ほど変更はできません。

5.Executive Dashboardの画面が表示されたら、初回のコンソールへのアクセスの手順は完了です！

●トライアルについての補足
・トライアル期間は30日間です。
・既にTrend Vision Oneをお使いのお客さまは、上記のサイトから無料トライアルを実施することはできません。
・2回目以降のコンソールへのアクセスについては、ログインページに直接アクセスします。

コンソールの設定

●利用言語設定
右上のアイコンをクリックし、言語設定を選択し、日本語を選択します。

●時間設定
UTC 日本標準時間設定：上部の時間表示をクリックしConsole Settingsを選択し、アジア/東京を選択します。

●検出時の通知設定
初期設定でTrial登録時のメールアドレスがアラート通知先として登録されています。通知先を追加したい場合には以下の設定をご確認ください。
1.Trend Vision Oneコンソールの左ペイン最下部 >> をクリックしメニューを展開します。
2.Account > Notificationをクリックします。
3.新しいWorkbemchアラート > [受信者] に、検出時に通知を行いたいメールアドレスを追記します。
※テスト通知を実施したい場合は、[テストメッセージを送信]をクリックします。

4.Endpoint Basecamp（センサー）のインストール、有効化

1.Trend Vision One コンソールにログインします。

2.左のメニューアイコン：Endpoint Inventory 右上の歯車マークをクリックし、センサーの設定をします。

a.一般センサ設定 > "センサのみ"の中の設定2か所を有効にします。（初期設定で有効になっています）

–Endpoint Sensorの検出と対応：センサーを自動有効化する場合、オンにします。
–Advanced Risk Telemetry：端末の脆弱性などのリスク可視化を有効化する場合、オンにします。
※Advanced risk telemetryを有効化した場合、Trend Vision Oneコンソール->Risk Insights->Operations Dashboardにて、リスクのある脆弱性等、企業の全体的なリスク指標に関する情報を表示出来るようになります。
参考：Operations Dashboard

b.グローバル設定 > センサ設定 > センサのダウンロード帯域幅の欄にてエージェントの最大同時ダウンロード数を設定します。

※数値の調整は、Trend Vision Oneアカウント単位で設定します。
例：「2」と設定した場合、2台同時にダウンロードを開始し、内1台でも終了すれば次の1台がダウンロードを開始し、全台のダウンロードが完了するまでこれを繰り返します。但し、同時にダウンロード出来るのは2台までです。
※XDR Endpoint Sensor有効化、無効化、アップグレードの展開動作がこの機能の影響を受けます。Endpoint Basecampのインストールには影響しません。
※Windows、Mac OSのみが本設定の対象となります。

c.グローバル設定 > プロキシ設定にてプロキシの設定を入力します。今回はEDRの機能のみを検証するため、Sensor Onlyのプロキシを設定します。

※設定したプロキシ経由で接続できない場合、Agentは直接接続を試みます。

3.左のメニューアイコン：Endpoint Inventoryよりセンサーのインストーラをダウンロードします。

4.ダウンロードしたファイル（32bitのWindowsの場合は"TMSensorAgent_Windows_32.zip"）を対象エージェントに配置・展開し、"EndpointBasecamp.exe"を実行してインストールします。
※今回は検証用の一時的な仮想マシン上に導入します。

5.Endpoint Inventory > すべての管理対象エンドポイント > センサのみが表示されることを確認します。

a.一定時間置いても表示されない場合、以下の確認を行ってください。（※エージェント側で操作）

6.左ペインからXDR > Searchをクリックし、上部検索窓にホスト名等の情報で検索し、エージェントのアクティビティデータがTrend Vision Oneに送信されていることを確認します。
注：データはセンサー有効化後から5分おきに送信されるので、有効化後一定時間あけてからご確認ください。

5.攻撃シミュレーションツールを実行する

攻撃シミュレーションツールのダウンロード

1.Trend Vision Oneコンソール下部のアイコンから、[シミュレーション] – [Workbench] – [シミュレーションを試す] - [エンドポイント攻撃のシナリオ]をクリック。
2.T1003-OS資格情報のダンプ[デモスクリプトのダウンロード]をクリック。
3.[デモスクリプトのダウンロード]下部に記載されたパスワード*を使い”T1003_Demo_Script.zip”を解凍。