【Netskope】Netskope Advanced Analyticsを実際に試してみた！

Netskope Advanced Analyticsとは？

概要について記載した前回の記事をご覧ください。

Dashboardsを使ってみる

何から初めて良いか分からないあなたは、Netskope LibraryにプリセットされたDashbordsを使って調子を掴んでみましょう。

現時点で39個用意されていますが怯んではいけません。御社環境に必要ないDashboardも紛れているはずです。全部試着してから運用するレポートを決める必要はありません。トキメいたものから優先的に使いましょう。

使えるものをすべてViewしてみた結果、私が今回特におすすめしたいレポートはコチラです。(カッコ内は独断と偏見の一言です)

• SaaS Visibility(SaaS利用傾向)
• Application Activity Summary(データの出入り)
• DLP Incidents Status Monitoring(DLP関係のアラート統計)
• Transaction Events Investigation(イベントの洞察)
• Transaction Events - Activity Summary(イベント統計)
• Insider Threat Dashboard(脅威イベント))
• Coaching Policy Dashboard(User Alertsベースのもの)
• DLP Policies Dashboard(DLP統計)
• Private Application Overview(NPA)
• Data Governance & Privacy Dashboard(データガバナンス)
• Cloud Usage Summary(クラウド利用傾向)
• Cloud Risk Assessment(CCL)
• Category Summary(カテゴリ)
• Data Protection Dashboard(DLPとアプリの相関)
• Security Operations Analyst(DLP関連)
• SecurityArchitect(CCLベースの統計)
• Web Transaction SSL Errors(エラー統計)
• Industry Benchmarks(多種要素を俯瞰)
• Risk Management: Cloud Services(リスクの洗い出し)
• CISO Dashboard(グラフが洗練された各種統計)
• Security Operations(アラート中心のWeb統計)
• Unsanctioned IaaS Summary(IaaS利用統計)
• Web Usage Summary(Web統計)
• User/Organization Unit Summary(アクティビティ)
• Threat Protection Dashboard(マルウェア)
• New Visualizations(カテゴリ別ツリーマップなど)
• GDPR Dashboard(EU宛通信に特化)

ネクストモードで有用そうなレポートが27個もあって絞れませんでした。

申し訳ございません。私は優柔不断でした。

ご利用の参考にしてください。

洞察を得てみる

出力されたレポートから、洞察を得てみます。

※弊社環境の実態が垣間見えてしまうため、セキュリティ観点からモザイクがフル登場する点、ご了承ください。

まずはInsider Threat Dashboardを見てみたいと思います。このレポートは普段出ているアラームを人にフォーカスして整形されたレポートです。冒頭に見えているのはリスキーなユーザーランキングです。ダントツトップは　私　です。
※たくさん検証しているからだよ！

洞察の得方の一つとして、期間レンジを変えてみる方法があります。
先程のレポートはLast 90 Daysだったのですが、今度はLast 30 Daysに変えてみます。

1位は不動でしたが、2位以下が大きく変動しました。(見せられないので察して欲しい)

セキュリティチェックは定点で行うことが多いですが、視点を変えてみることで、見えてくるものがあります。

Intentional RiskyBehaviorを見てみます。これは潜在的に脅威活動が多いユーザーの洞察を得られます。先ほどの件数の割に私の順位が低いことから、新しい洞察を得られていることが分かります。

UEBAの対応はスポットで済まされることが多いですが、レポートを通して俯瞰してみることで、意外なユーザーが浮上してきたりします。

こちらは同レポートの別ウィジェットですが、折れ線グラフと合わせてトレンド線が表現されています。

増加傾向にあるということが、このレポートを見ない限り知る由もなかったと思います。

こちらはCoaching Policy Dashboardのウィジェットの一部です。

ユーザーがアラートを踏んだ後に、その後の行動が本人に委ねられている場合、それでも前に進むか、諦めたかの統計が出ています。

人間性が出てなかなか興味深いですが、洞察の意味では、アラートの煩わしさを解消するためのキッカケになりそうです。

こちらも先程のレポートの統計で、アラートについての「弁明エリア」統計です。

アラートを無視するけど一言申告しておきたい場合などに使います。マメに説明してくださっている方もいれば、感想を書き込んでいる方もいらっしゃいます。SaaSサンクション化の材料に使えそうです。

こちらはData Governance & Privacy Dashboardのグラフの一部です。

どの国からどの国へ、どんなアプリを使って何のアラートに引っかかってきたのか一発で可視化できています。これはサンキーチャートと呼ばれるものです。可視化の例として大変映えますね。特定国に対応したアラートを纏めたい場合などに使えそうです。

こちらはCloud Usage Summaryのグラフの一部です。

セッション数順に並べてはいるものの、Upload/Downloadアクティビティはバラバラです。物量でソートしても結果は洞察の手がかりになります。

サマリだけでなく、逆にこのくらいの粒度で統計を取ることもできます。モザイクで隠れているのは各インスタンスです。

アプリケーション毎に利用している環境を並べて可視化できる点は、管理側にとって大変ありがたいですね。

分析してみる

先程並べたレポートのうち、Transaction Events Investigationを使って詳細を確認してみます。
弊社で取り決めた業務外カテゴリのアラート通知のURL内訳を確認してみます。

アラートが多いと業務生産性が落ちるため、ここをみっちり精査しようと思った場合のケースです。

左ツリーのNetskope LibraryからTransaction Events Investigationを選択→ダッシュボードを検索してViewへと進みます。

これは全景です。ここから目的のアラートを見つけました。

条件を絞るには、アラーム名をクリックするだけです。

すると、ダッシュボードがその場で再描画され、該当するアラートのみの統計に早変わりします。何ということでしょう！

もっと細かく確認したい場合はExplore from hereをクリックして生生のログまで辿れます

不足している値を左側のツリーから補填して、Advanced Analyticsに特化したFilters UIから条件を入れれば、全く別のグラフを生成し直すこともできます(画像はアラートごとのURL内訳を確認してみたものです)

また、カスタムフィルター機能もありますので、コマンド詠唱したいよーって方はこちらも使えます。

触って分かった良さみ

• これまでよりも楽をして、これまでよりもシャープにNetskopeが運用できそう
  • アラートから新しい洞察が生まれて、人間では気が付けなかった穴が見つかる
  • 組織内のアクティビティを俯瞰しやすくなって、意思決定が早くなる
  • より良いチューニングのキッカケにも使える
• Subtotal等を使った任意統計の一覧出力は明らかに便利
  • 任意のピボットでデータ抽出できる
  • 痒いところに手が届くようになる
  • 対応している出力形式も豊富
    

その他おまけ

• ユニークなグラフ(Word Cloud)

• カテゴリ毎のブロック率も興味深いです。

• Migrate Reportsの機能もあるため、既存Reportsの昇格も簡単

• ウィジェットを使い誤るとこんな髪の毛みたいなヴィジュアルと遭遇することもありました。(可視化できてない)
  • グラフは用法用量に合った適切なものを選択しましょう。

• マウスオーバーすると関連要素がフォーカスするので気持ち良い

まとめ 

まずはトライアルしてみてください！(※トライアルの実施には諸条件があります)