こんにちは、 ネクストモード株式会社 の sobar です。Netskopeの運用に役立つTipsをご紹介します。
異常な振る舞いとしての大量のファイルダウンロードを検知・通知・該当ユーザはその後のダウンロードアクティビティをブロックするといった方法をご紹介します。退職予定者による機密情報の持ち出し、アカウント乗っ取りによるデータ窃取、悪意のある内部関係者によるデータ窃取等、データ漏洩やインサイダー脅威の兆候を検知するためにとても有用な機能となります。
今回はUEBA による異常検知機能としてBulk Download(ルールベース)を利用しユーザスコアを変化させ、ユーザスコアの低いユーザのみ制限としてダウンロードをブロックするポリシー(Real-time Protection)を設定する内容をお伝えいたします。UEBAの基本的な内容について知りたい方は以下のブログをご参照ください。
本内容はユーザスコアに基づいてポリシーアクションを適用する機能を利用するため、Advanced UEBAライセンスがあるケースを想定しております。検証・動作確認の都合上、ユーザの不正な振る舞い(今回は大量のファイルダウンロード)によりユーザスコアを減点するポリシーはルールベースによるポリシーをカスタマイズし利用、異常を検知、ブロックするということで記載いたします。
Advanced UEBAライセンスの契約がある場合にはインサイダー、侵害されたアカウント、およびデータ流出に対する機械学習(ML)ベースの異常検出に加え、本内容でご紹介するUEBAポリシーのカスタマイズ、ユーザスコアに基づいたポリシーアクションを適用できる機能(Real-time Protection)も可能となります。UEBAのライセンス体系の詳細につきましては弊社までお問い合わせください。
今回実施の内容は以下のようなイメージとなります。
以下のような順番で確認していきます。
1.UEBAの違反時のユーザへのスコアの影響を確認・整理
2.スコアの低いユーザのダウンロードをブロックするためのReal-time Protection ポリシーの作成
3.動作確認
それではUEBAの違反時のユーザへのスコアの影響の確認・設定としてBulk Download の項目から確認します。
Policies > Behavior Analytics より「Bulk Download」を検索してクリックします。
今回は以下のように設定。
APPLY CHANGES を忘れずに実施します。
上記により『30分間で5つ以上のファイルダウンロードが行われたらユーザのスコアを350下げる』 といったかたちになります。
※冒頭でお伝えした通りルールベースによる異常検知機能にて検証を実施のため、Machine Learning(機械学習による) を一時的にOFFにし、数時間置いた後検証します。検証後は速やかに設定を元に戻していただければと思います。
次にUEBAのユーザスコアに応じてダウンロードをブロックする Real-time Protection ポリシー を作成します。
Policies > Real-time Protection > NEW POLICY > Cloud App Access をクリックしポリシーを作成していきます。
今回は以下のように設定します。
1.まずは Incidents > Behavior Analytics より検証対象ユーザのスコアを確認します。スコアが「1000」であることが確認できました。スコアは1000点満点の状態であり、不審な振る舞いを検知するごとに点数が減点されます。
2.次に実際にファイルをダウンロードして動作を確認してみます。ファイルをダウンロードする操作を繰り返し実施します。
※Googleドライブは複数ファイルを選択しダウンロード実施時には1個のZIP化されたファイルがダウンロードされますが、その場合にもZIPの中のファイル数(オブジェクト数)をNetskopeは見てUEBAのファイル数を判断しますので、複数ファイル選択によるダウンロードでも検知されてきます。以下はダウンロード化されたZIPの中身として6個のファイルが存在するログとなります。(Application Events)
ユーザスコアが下がった後にファイルダウンロードを実施すると以下のようなポップアップと共にファイルのダウンロードがブロックされることを確認しました。(※以降はユーザスコアが回復しない限りは作成したポリシーに引っかかるためダウンロードがブロックされる動作となります。)
※上記のポップアップはユーザテンプレートより作成をしております。ユーザテンプレートにつきましては以下のブログをご参照ください。
3.Skope IT > Alerts ログでは以下のように Bulk Download としての異常な振る舞いを検知、その後ダウンロード試行に対して作成したポリシーによってブロックされたログが出力されます。
4.再度 Incidents > Behavior Analytics より検証対象ユーザのスコアを確認します。スコアが「650」であることが確認できました。
右下に表示されている『UEBA rule Bulk Download - Download via Client in Google Drive was triggered』をクリックするとそれぞれ検知時のSUMMARY、EVENT TIMELINEを確認できます。
※検知から24時間以内にMARK AS ALLOWED を実施することでスコアの回復(ここでは +350)が可能となります。運用時は必要に応じて、検証時は終了時に必要に応じて実施ください。
※Bulk Download としての異常を検知(Skope ITへのアラート出力後)、Incidents > Behavior Analytics のスコアに反映されるまで数分程度かかることがあり、結果としてBulk Download としての異常を検知からダウンロードのブロックポリシーが適用されるまでにラグが生じることがございます。
今回はユーザの異常な振る舞いとしての大量のファイルダウンロードを検知・通知・ブロック・確認する方法をご紹介させていただきました。Advanced UEBAライセンス が必要となりますが、ユーザスコアが低いユーザのみに動作を制限させるポリシーを適用させることができるため、通常の業務効率を損ねることなくセキュリティを担保することが可能となります。
この記事が皆さまの Netskope 運用の一助となれば幸いです。
Netskope の導入、実践的な活用方法、ライセンス体系や価格についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。