はじめに こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです...
はじめに
こんにちは、 ネクストモード株式会社 の sobar です。Netskope運用におけるTips(小ネタ)をご紹介します。
Netskope は、柔軟性とアジリティを兼ね備えた DevOps型のセキュリティ製品です。使いながら必要な機能を追加していくことで継続的に改善し、変化に迅速に対応できる点が非常に優れています。詳細はこちらをご覧ください。本記事の内容・背景としては以下のようなものとなります。
Real-time Protection 画面を見ていたら「IPS is disabled」の記載があり、IPSが利用可能であることについて解説します。
以下、概要からまずはご紹介いたします。
概要
NetskopeのIPS (Intrusion Prevention System) は、アプリケーション、サービス、Webサイトの一般的な脆弱性を悪用する既知および未知の脅威からユーザーをリアルタイムで保護します 。また、C2通信に関連するパターンと動作をネットワークトラフィックで分析することで、悪意のあるC2を検出してブロックします 。ワンクリックで有効化できるため、導入しやすいのが特徴です 。
IPS設定をONにすると、Netskope Cloudを経由する通信のうち、Real-time Protectionを通過した通信に対してCVEと照合して脆弱性検査を実施し、合致する通信があった場合はブロックします 。
ブロック時には、デフォルトで以下のようなポップアップが表示され、ユーザーにブロック通知が行われます 。
設定項目・検査内容・ライセンス
以下に設定項目、検査内容、および必要なライセンスを示します。
| 設定項目 | 検査対象 | 必要ライセンス |
| Cloud Apps & Web Traffic | Forward to Proxy または Isolate に設定されたポリシーに一致するトラフィックを除く Webトラフィック(ポート番号443、80)を検査 | Standard Threat Protection または Advanced Threat Protection ライセンスが必要 |
| Non-Web Traffic | 非Webトラフィック(ポート番号443、80以外)を検査 | CFW Plus ライセンスが必要 |
設定してみる
(Settings > Threat Protection > IPS Settings ※Real-time Protection画面の青字「IPS」のリンクからもアクセスできます)
「IPS Settings」より、「Cloud Apps & Web Traffic」を有効化するだけで、Webトラフィック(ポート番号443、80)のIPS機能を利用できます。
IPS違反アラートの表示
検出されたIPS違反は「Skope IT > Alerts」 で確認できます。フィルタを追加する際は「ADD FILTER > Alert Type」で「C2」と「IPS」を選択してください。
以下は、eicar.org サイトからテストファイルのダウンロード時のブロックログです。
過検知や検知内容の調整
ALLOW LIST
ALLOW LISTでは、送信元IP、ドメイン、宛先IPの許可リストを作成可能です 。
- 送信元IP許可リスト: IPSからバイパスする送信元IPアドレスを含むネットワークロケーションプロファイルです 。Webトラフィックの場合はパブリック送信元IPアドレスを追加できますが、Web以外のトラフィックの場合はプライベート送信元IPアドレスを追加する必要があります 。プロファイルの追加・削除は「EDIT」をクリックして行います 。
- ドメイン許可リスト:IPSから除外するドメイン、完全修飾ドメイン名(FQDN)、およびワイルドカードを指定します 。ドメインまたはFQDNをカンマ区切りで入力するには「EDIT」をクリックします 。
- 宛先IP許可リスト:IPSからバイパスする宛先IPアドレスを含むネットワークロケーションプロファイルです 。プロファイルの追加・削除は「EDIT」をクリックして行います 。
※送信元IP許可リスト、宛先IP許可リストで指定するプロファイルは 「Policies > Profiles > Network Location」で事前に作成しておく必要があります。
署名オーバーライド
「SIGNATURE OVERRIDES」から署名の上書きが可能です 。必要に応じてご利用ください 。
NetskopeのIPSシグネチャリリースノートについて
以下をご参照ください
- Netskope Intrusion Prevention System Threat Content Release Notes
https://docs.netskope.com/en/netskope-intrusion-prevention-system-threat-content-release-notes/ - Threat Library
https://threatlibrary.netskopethreatlabs.com/
参考
- Intrusion Prevention System
https://docs.netskope.com/en/intrusion-prevention-system/ - (VIDEO) Enable - Test Netskope
IPS https://community.netskope.com/netskope-threat-protection-50/video-enable-test-netskope-ips-7255
さいごに
この記事が皆様のNetskope運用の一助となれば幸いです。
