PA-Series(ハードウェア、仮想版)やPrisma Accessを導入後、最低限の設定追加のみで運用していませんか?もちろん、製品側でシグネチャを含むコンテンツ類などは最新のものに自動でアップデートされていますが、日々変化する攻撃やIT環境の利用状況に対し、定期的に利用状況を確認し、最適な利用状況かを確認することをおすすめしています。
しかし、管理UIでフィルタなどを駆使して状況を確認するのは面倒というのが、運用担当者の方の本音かもしれません。そこで、少しでもその面倒から解放されるよう、パロアルトネットワークスでは無料で利用できるツールを提供しています。
Security Lifecycle Review (以下「SLR」と表記)は、今の利用状況をレポートでわかりやすく可視化してくれるツールの1つです。SLRは、PA-Series(ハードウェア版・仮想版)とPrisma Accessで出力方法が異なりますので、それぞれの使い方を説明します。
レポートを作成する大まかな流れは以下の通りです。
以下で実際の手順を1ステップずつ見ていきましょう。
出力されたレポートの内容を以下に解説します。なお、製品で利用していない機能はレポートの項目として出力されません。また、本稿のサンプル レポートは英語で出力していますが、日本語を含むそのほかの言語でも出力できます。
以下、いくつかレポートの内容に触れますが、アプリケーション利用状況では、PAN-OS標準のAPP-ID機能で識別されるアプリケーションのカテゴリごとに、総合ランキングをリスクと利用頻度の観点からレポートします。
どのような通信が識別可能かはこちらのApplipediaサイトから確認できます。このサイトのサブカテゴリ項目が今回のレポートのカテゴリに該当します。
ファイル転送状況では、どのアプリケーションがどのタイプのファイルをどれくらい転送したかを直感的に確認できます。この結果をもとに、ファイル転送により帯域を多く消費しているアプリケーションを特定し、運用を最適化できます。
脅威検知状況には、ネットワーク上で観測されたアプリケーションの脆弱性、既知・未知のマルウェア、コマンド&コントロールのアクティビティなどがレポートされます。
昨今のサイバー攻撃者は、マルウェアやエクスプロイトの配布にさまざまな種類のファイルを使います。多くの場合、一般企業のネットワークに存在する汎用のビジネス アプリケーション コンテンツが中心に使われます。通常の脅威は大半が実行可能ファイルとして配布されますが、標的型の高度な攻撃では、それ以外のコンテンツでネットワークを侵害することも多くなっています。そのため、リスクの伴うファイルがどれぐらい利用されているかを把握することも大切です。
そのほか、アプリケーションの脆弱性を狙った攻撃の通信が、管理ネットワーク内でどの程度発生しているかを把握することも重要です。脆弱性を狙った攻撃は、インシデントの初期段階で利用されることが多いので、そうした攻撃を受けやすい脆弱なサーバーのパッチ適用を検討するさいに役立ちます。
ネットワーク内のホストがマルウェアに感染した場合、悪意のある振る舞いが見られたり、ネットワーク外に接続しようとすることがあります。こうしたコマンド&コントロール(CnC)アクティビティが確認できた場合、ネットワーク内のホストがマルウェアに感染している可能性が高くなります。そうした通信の有無をレポートで定期的に把握しておくと、エンドポイント対策製品を回避し、感染してしまったホストがないかどうかを把握しやすくなります。
本稿ではレポートの一部をご紹介しました。これ以外にも参考にできる指標がたくさん出力されますので、お手元の環境の実データでレポートを作成し、自社のネットワーク環境の利用状況を把握したり、運用の最適化などのきっかけにしたりしてご活用ください。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.