こんにちは、 ネクストモード株式会社 の sobar です。Netskope運用におけるTips(小ネタ)をご紹介します。
Netskope は、柔軟性とアジリティを兼ね備えた DevOps型のセキュリティ製品です。使いながら必要な機能を追加していくことで継続的に改善し、変化に迅速に対応できる点が非常に優れています。詳細はこちらをご覧ください。本記事の内容・背景としては以下のようなものとなります。
Real-time Protection 画面を見ていたら「IPS is disabled」の記載があり、IPSが利用可能であることについて解説します。
以下、概要からまずはご紹介いたします。
NetskopeのIPS (Intrusion Prevention System) は、アプリケーション、サービス、Webサイトの一般的な脆弱性を悪用する既知および未知の脅威からユーザーをリアルタイムで保護します 。また、C2通信に関連するパターンと動作をネットワークトラフィックで分析することで、悪意のあるC2を検出してブロックします 。ワンクリックで有効化できるため、導入しやすいのが特徴です 。
IPS設定をONにすると、Netskope Cloudを経由する通信のうち、Real-time Protectionを通過した通信に対してCVEと照合して脆弱性検査を実施し、合致する通信があった場合はブロックします 。
ブロック時には、デフォルトで以下のようなポップアップが表示され、ユーザーにブロック通知が行われます 。
以下に設定項目、検査内容、および必要なライセンスを示します。
| 設定項目 | 検査対象 | 必要ライセンス |
| Cloud Apps & Web Traffic | Forward to Proxy または Isolate に設定されたポリシーに一致するトラフィックを除く Webトラフィック(ポート番号443、80)を検査 | Standard Threat Protection または Advanced Threat Protection ライセンスが必要 |
| Non-Web Traffic | 非Webトラフィック(ポート番号443、80以外)を検査 | CFW Plus ライセンスが必要 |
(Settings > Threat Protection > IPS Settings ※Real-time Protection画面の青字「IPS」のリンクからもアクセスできます)
「IPS Settings」より、「Cloud Apps & Web Traffic」を有効化するだけで、Webトラフィック(ポート番号443、80)のIPS機能を利用できます。
検出されたIPS違反は「Skope IT > Alerts」 で確認できます。フィルタを追加する際は「ADD FILTER > Alert Type」で「C2」と「IPS」を選択してください。
以下は、eicar.org サイトからテストファイルのダウンロード時のブロックログです。
ALLOW LISTでは、送信元IP、ドメイン、宛先IPの許可リストを作成可能です 。
※送信元IP許可リスト、宛先IP許可リストで指定するプロファイルは 「Policies > Profiles > Network Location」で事前に作成しておく必要があります。
「SIGNATURE OVERRIDES」から署名の上書きが可能です 。必要に応じてご利用ください 。
以下をご参照ください
この記事が皆様のNetskope運用の一助となれば幸いです。