606 Views
October 31, 24
スライド概要
Cato Networks社 の Catoクラウドの「Product Update October 2024」日本語資料となります。
・Importing Custom IoC's(Indicator of Compromise)
・EPP Windows Version 1.2
Supprt Windows Server
・Digital Experience Monitoring
Cato DEM pillars
Enabling DEM
DEM Network path topologies
DEM Probe Policy
Unified Users
Experience Anomaly detection
Experience Reports
Sanctioned applications
TLS Inspection
・Cato NOC as a Service (NOCaaS)
※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。
Product Update Oct 2024
Importing Custom IoC’s これからEA
Importing Custom IoC’s Threat Intelligence Feeds CISA Cybersecurity and Infrastructure Security Agency ML Models Data science Cato SASE Cloud Converged Network and Security MDR NVD National Vulnerability Database Cato Threat Intelligence Feeds MAPP Microsoft Active Protection Plan IPS Signatures Homegrown Feedback Loop Social Media Threat Simulation “what if” 250 IOC Feeds (IPs, URL, Domain) millions of records MITRE Mapping Commercial Feeds and specialized feeds Data Collec*on Billions of Flows and Events per day
Importing Custom IoC’s Indicators of Compromise What are IoC’s? • 侵害の兆候とは、ネットワーク上またはシステム上で確認される アーティファクトであり、潜在的な侵害や悪意のある活動を⽰唆するものです • 不審な⾏為や悪意のある⾏為を特定するのに役⽴ち、 脅威の検出に役⽴つ実⽤的な情報を提供します。 Examples of IoC’s • • • • IP Addresses URLs/FQDNs File Hashes Email Addresses 1010 1010 Hash Values Malicious Atrifacts Digital Footprints Dangerous IP Addresses
Importing Custom IoC’s Bring Your Own IoC Why Use Custom IoC Lists? • カスタマイズされた脅威の検出︓ 組織は、業界、地理、環境に特有のユニークな脅威に遭遇することがあります。 カスタム IoC により、これらの脅威に対する標的型防御が可能になります SOC MSP Open-Source TI • プロアクティブな脅威インテリジェンス︓ 企業は、さまざまなソース(オープンソース、脅威共有コミュニティ、または独⾃フィード) からのインテリジェンスフィードを統合し、脅威の防⽌を強化することができます • セキュリティポリシーの強化︓ カスタム IoC を組み込むことで、セキュリティチームは、ネットワークに関連する特定の悪意のある⾏為や侵害さ れた資産をブロックまたは監視することができます
Importing Custom IoC’s Indicators of Compromise What is added? • コンテナ - コンテナは同種のオブジェクトの集合体です • IoC リストでサポートされるタイプ • • IP Address / IP Range FQDN * ファイルハッシュ、URL、メールアドレス、その他は今後追加予定 • リストあたり最⼤ 100 万エントリ • コンテナはインターネット FW ポリシーの述語として適⽤可能
Impor/ng Custom IoC’s Indicators of Compromise Working with Containers • Located under Assets > Categories > Containers • Creating • Can be type of – • • • FQDN IP Address (including CIDR) IP Ranges • Textual formats – csv, txt • Updating – • 新しい IoC リストをインポートすると、既存のリストが置き換えられます • IoC リストの更新は、⼿動または API を使⽤して⾏うことができます • FW ポリシー内のコンテナが⾃動的に更新されます
Importing Custom IoC’s Manual Creation of IoC Lists
Importing Custom IoC’s Automated API Import
Importing Custom IoC’s Indicators of Compromise まとめ • カスタムのIoCリストを追加し、セキュリティポリシーで使⽤可能 • タイプ付きコンテナを⼿動で作成するか、⾃動処理にはAPIを使⽤ • コンテナは、IPアドレスとFQDNをプレーンテキスト形式でサポート • 1つのコンテナで最⼤100万件のエントリをサポート EAの予定 Start date – Oct 27th ※変更になる可能性もございます。
EPP Windows v1.2
Recap: Cato EPP | 12
Recap – What is EPP • EPPは複数のセキュリティエンジンを使⽤することで、エンドポイントにおけるさまざまな脅威を阻⽌ • 既知および未知の脅威の両⽅に対応 • 実⾏前および実⾏後のマルウェアから保護
Bitdefender – Industry Leader Most 1st place in ANY 3rd party tests av-comparaLves.org (Real world, Mar-Jun 2024) Bitdefender achieved 100% detection of all major evaluation steps with the highest possible level of description for each step for the third consecutive year
EPP Protection Engines Pre-execution Prevention (“Anti-Malware”) RunFme PrevenFon (“Behavioral”) • 300+ file types support • ML for zero-day threats • Heuristic-based analysis • Fileless Malware Protection • Un-archivers and archivers • Executable unpackers • Polymorphic Detection • Signature-based protection • Advanced Anti-Exploit • ML for zero-day threats Automatic Containment Monitor • block • quarantine • kill process 15
Single Context
Cato’s EPP Uniqueness Layered ProtecFon クラウドとエンドポイントの保護 BitDefenderは業界をリードする ConsolidaFon ポイントソリューションは管理が難しい すべてのエンティティからのアラートを単⼀のUIで表⽰ Single Context 個別イベントを関連付け、包括的なストーリーにまとめる ZTNA、セキュリティ、ネットワークからイベントを⾒つけるのに、単⼀のフィルタを利⽤する
New: Support for Windows Server | 18
Windows Server Support • Windows Server 2016、2019、2022に対応 • 「スタンダードエディション」サーバーのみ (Windows Server エディションについてはこちらをご覧ください) • Windows Server は GUI が必要です § Windows Server の最⼩インストール(server-core、server-nano など)には対応していません。 • Windows Server 2016では、.exeインストーラーを使⽤する場合でも、.NET 4.8以 降は⼿動でインストールする必要があります。
Exci9ng Improvements • ライセンスがない場合、エージェントの“Scan now”ボタンが無効になります • ⼿動登録時のエラーメッセージが改善されました • BitDefenderライブラリを最新バージョンにアップグレードしました
Digital Experience Monitoring Training
What is DEM? Digital Experience Monitoring
User and Applica/on Experience Routine scenario There is an issue with my application My network is the issue Alice | 23
User and Application Experience Routine scenario When did it happen? L ll ? s t g Is i e n i n pp ha Was there really an issue? ? Ar em p ex eo ore pe pl e iss rie n c u e in s? g ? Issue with the Network ? Jane Alice Issue with the application? Issue with User’s Device? | 24
User and Application Experience Routine scenario Ill open CMA ? Jane | 25
Cato’s Digital Experience Monitoring Enables the admin to be proactive by aggregating all resources (sites, cloud, apps, users and devices) Deal with issues before the end user complains Poor Fair Good Experience score over time 8:00 8:10 8:20 8:30 Experience score: User Policy Device Performance Wi-Fi Performance LAN Performance Socket Performance 8:50 8:40 9:00 9:10 Fair Last Mile Performance Overlay Performance Application Performance | 26
Cato DEM pillars
Digital Experience Monitoring Three pillars of DEM Real User Monitoring Device Monitoring DEM Experience Scores Business Outcomes Synthetic Probe Monitoring | 28
Digital Experience Monitoring Three pillars of DEM Real User Monitoring Device Monitoring GA Synthetic Probe Monitoring New New Cato SPACE User Device Performance Wi-Fi Performance LAN Gateway Performance Socket Performance App underlay Performance Data Store Advanced AI | 29
Real User Monitoring GA Real-time user experience from the perspective of the application • すべてのホストタイプで動作するクライアントレスソリューション • すべてのアプリケーションとユーザーからメタデータを収集し、AI を使⽤してアプリケーションごとにスコアベンチマークを作成 • カスタムアプリケーションを含むインターネットおよびWANアプリケーションを監視 Real User Monitoring Internet Cato SPACE User Custom App Device Advanced AI | 30 Data Store
Real User Monitoring App Performance score Account level view Single user view | 31
Real User Monitoring GA App Performance score metrics • Time to First Byte (TTFB) § ユーザーまたはクライアントがHTTPリクエストを⾏ってか らページの最初のバイトを受信するまでの期間 • TCP Latency § TCP接続を確⽴するのにかかる時間 • TLS Connect § TLS接続を確⽴するのにかかる時間 • HTTP/S Latency § リクエストとレスポンスの間の時間の⻑さ • HTTP/S Error Rate § HTTP エラーの割合 (レスポンス 400〜) | 32
Real User Monitoring GA App Performance score calculaMon • Applicationスコアはreal user trafficに基づきます • AIと⾼度な統計を活⽤し, Catoバックボーン経由で使⽤されるアプリケーションごとに通常のベースラインを作成し ます § すべてのApplicationに対し、TCP/TLS/HTTP/HTTP Error rateに基づく § カスタムアプリケーションを含む • ベースラインは正規曲線を作成するGLOBAL threshold であり、これはアカウント間でシェアされます • スコアは、この正規曲線と⽐較して、ユーザーごと、アプリケーションごとに計算されます。 Poor Fair Good Fair Poor | 33
Device Monitoring + Synthetic Probe Monitoring New Deliver the Network Path Analysis problem indicators Average Score Per Hop | 34
Device Monitoring + Synthetic Probe Monitoring New Deliver the Network Path Analysis problem indicators Average Score Per Hop Metric over time | 35
Device Monitoring + Synthetic Probe Monitoring Network path Cato Cloud ISP ISP IPsec Site Socket Site IPsec ISP Remote user Socket Router LAN LAN LAN CRM App Wi-Fi Wi-Fi Wi-Fi Office User host host Office User host host Remote User | 36
Device Monitoring + Synthetic Probe Monitoring High-level overview of Probes – Remote user User Router Cato PoP ApplicaLon Hardware metrics (WiFi, CPU, Memo) LAN checks Underlay checks (out of tunnel) Overlay checks (in tunnel) Applications checks | 37
Device Monitoring + Synthetic Probe Monitoring High-level overview of Probes – Remote user | 38
Device Monitoring + Synthetic Probe Monitoring High-level overview of Probes – Socket Site Host Socket Cato PoP Application Device Discovery (No Client) Underlay checks (out of tunnel) Overlay checks (in tunnel) Applications checks | 39
Device Monitoring + Synthetic Probe Monitoring High-level overview of Probes – Socket Site | 40
Device Monitoring + Synthetic Probe Monitoring High-level overview of Probes – Office User User Socket Cato PoP Application Hardware metrics (Wi-Fi, CPU, Memory) LAN Underlay checks (out of tunnel) Overlay checks (in tunnel) Applications checks | 41
Device Monitoring + Synthe/c Probe Monitoring High-level overview of Probes – Office user | 42
Enabling DEM
Enabling DEM Simple with no extra deployments • リアルユーザーメトリクス § Cato Cloud経由のあらゆるフローについて⾃動的に収集 • Site Device Metrics & Synthetic Probes § デフォルトで有効化されています。 • User Device Metrics & Synthetic Probes § ライセンスが有効になっている場合、プローブポリシーが有効になり、Catoクライアントを搭載したデバイスに適⽤されます。 § 特定のユーザーグループまたは特定のサイトのみに機能を限定して有効にするかどうかを選択できます。 | 44
DEM Network path topologies
DEM Network path topologies Supported metrics Cato Client(Windows、macOS)がインストールされたデバイスを使⽤しているユーザー Device Wi-Fi LAN gateway Socket/Router Internet Tunnel Application Remote User ✔ ✔ ✔ - ✔ ✔ ✔ User (with client) in Socket Site ✔ ✔ ✔ Coming soon ✔ ✔ ✔ User (with client) in an IPsec Site ✔ ✔ ✔ - - ✔ ✔ User (with client) in a Cloud Inter-connect site ✔ ✔ ✔ - - - ✔ | 46
DEM Network path topologies Supported metrics Cato Client(Windows、macOS)がインストールされていないデバイスを使⽤している場合 Host details Socket/Router Internet Tunnel Application Socket Site ✔ Coming soon ✔ ✔ ✔ IPsec Site ✔ - - ✔ ✔ Cross Connect Site ✔ - - - ✔ Host (no client) in Socket Site ✔ Coming soon ✔ ✔ ✔ Host (no client) in an IPsec Site ✔ - - ✔ ✔ Host (no client) in a Cloud Interconnect site ✔ - - - ✔ ※Host detailsにはxxxが含まれます。 | 47
DEM Network path topologies Network path Cato Cloud ISP ISP IPsec Site Socket Site IPsec ISP Remote user Socket Router LAN LAN LAN CRM App Wi-Fi Wi-Fi Wi-Fi Office User host host Office User host host Remote User | 48
DEM Network path topologies High-level overview of Probes – Socket Site Host Socket Cato PoP Application Device Discovery (No Client) Underlay checks (out of tunnel) Overlay checks (in tunnel) Applications checks | 49
DEM Network path topologies High-level overview of Probes – Office User in a Socket Site User Socket Cato PoP ApplicaLon Hardware metrics (Wi-Fi, CPU, Memory) LAN Underlay checks (out of tunnel) Overlay checks (in tunnel) ApplicaJons checks | 50
DEM Network path topologies High-level overview of Probes – Office User in an IPsec Site User IPsec with tunnel to Cato Cato PoP ApplicaLon Hardware metrics (Wi-Fi, CPU, Memory) LAN Overlay checks (in tunnel) Applications checks | 51
DEM Network path topologies High-level overview of Probes – Socket Site Host IPsec with tunnel to Cato Cato PoP Application Device Discovery (No Client) Overlay checks (in tunnel) ApplicaJons checks | 52
DEM Probe Policy
Device Monitoring + Synthe/c Probe Monitoring Unified Account Synthetic Probe Policy for Socket Sites and Users • Socketサイトとユーザー向けの単⼀アカウントレベルポリシー § 以前はサイトレベルのオーバーライドが存在 § リモートおよびオフィス管理ユーザーに適⽤ • 新たなアカウント向けのOut-of-the-box config § 既存の構成をアカウントレベルに移⾏する • Socketサイト § ICMP probes + bypass (トンネル外) § ICMP probes + Cato (トンネル経由) § ICMP, TCP, HTTP, HTTPS, DNS – Socket V21 • Users § ICMP, TCP, HTTP, HTTPS, DNS - Windows v5.11, MacOS v5.7 | 54
Experince Monitoring Policy CollecMons > Experience Monitoring Probes
Device Monitoring + Synthetic Probe Monitoring Misc • ドキュメント § Cato Knowledge Baseで「DEM」を検索して詳細を確認 • 可⽤性 § 合成プローブポリシー - すべてのアカウントに徐々に展開 § ユーザープローブにはDEM Proライセンスが必要 § [email protected]までご連絡いただくと、EAに無料で参加できます • Notes § リモートアクセスおよびユーザーアイデンティティエージェントと同じエージェントを使⽤します § エージェントがインストールされたデバイスに関してはより多くのメトリクスが収集可能 | 56
Unified Users
Unified Users One user no matter if working remotely or from a site • One entity § Remote or from the office • Easy search § By synced user awareness with Cato • Slice and dice view § Unified View § Remote/Office View | 58
Experience Anomaly detection
Experience Anomalies Sanction applications as business-critical applications in the DEM screens • Auto-detection of Experience Anomalies on Sites and Applications | 60
Experience Reports
Experience Reports Core and Pro reports • Easy generate reports § one-Lme reports § Scheduled reports • 2 reports § Site and Site Hosts report § Site and Hosts report | 62
Sanctioned applications
Sanctioned Applications Sanctioned applications as business-critical applications • SancFoned ApplicaFon § 必要なセキュリティ要件をすべて満たす組織 向けの承認済みアプリケーション • ApplicaFon types § SaaS applicaLons § Custom applicaLons • DEM and SancFoned ApplicaFon § 以前まで、この機能はCASBライセンスアカ ウントでのみ利⽤可能でした § 事前定義済みのアプリケーションのリストとと もに、すべてのアカウントで承認済みアプリ ケーションを作成および構成する機能がリ リースされました | 64
Sanctioned Applications Sanctioned applications as business-critical applications in the DEM screens • No config needed § リアルユーザー・モニタリング は、ネットワークで使⽤され ているすべてのアプリケー ション(15,000以上のアプ リケーション)を可視化しま す。 • Easily filter § 認可されたアプリケーション を使⽤してフィルタリングす る | 65
TLS Inspection
Real User Monitoring App Performance score metrics • Time to First Byte (TTFB) § ユーザーまたはクライアントがHTTPリクエストを⾏ってか らページの最初のバイトを受信するまでの期間 • TCP Latency § TCP接続を確⽴するのにかかる時間 • TLS Connect § TLS接続を確⽴するのにかかる時間 • HTTP/S Latency § リクエストとレスポンスの間の時間の⻑さ • HTTP/S Error Rate § HTTP エラーの割合 (レスポンス 400〜) | 67
TLS Inspection and Real User Monitoring HTTPS flows scoring • TLSi enabled § TTFBはHTTPフローが測定されるまで § HTTPのレイテンシとエラーレートが考慮されるまでア プリケーションのスコアは算出されない • TLSi disabled § TTFBはSSLフローが測定されるまで § HTTPのレイテンシとエラーレートはアプリケーションの スコアに含まれない | 68
Cato NOC as a Service (NOCaaS)
Cato NOC as a Service (NOCaaS) There for partners who need it • Cato NOCaaSとは何ですか? § エンドユーザー向けのネットワーク・オペレーション・センター(NOC)サービスです。 • Cato NOCaaSはどのようなお客様を対象としていますか? § マネージドNOCサービスを提供するパートナーをお持ちでないお客様です。 • CatoのマネージドSASEパートナーを対象としたサービスですか? § Cato NOCaaSは、マネージドSASEサービスの⽴ち上げや拡⼤の際の市場投⼊までの時間を短縮する お⼿伝いをします。 • Cato NOCaaS には、以下のサービスも含まれます。 § ハンズフリー § ILMM | 70
Managing the network can be a challenge ネットワークへの過度な依存 Tension ... 24時間体制の監視と迅速な対応が必要 ネットワーク・オペレーション・センター(NOC)の管理は 複雑で費⽤がかかる。 Performance & Reliability Hassle & Cost of Resources | 71
Cato NOC as a service (NOCaaS) Cato SASEのお客様がネットワークを⾃ら管理する⼿間、リスク、コストを削減するお⼿伝いをします。 24時間365⽇対応のグローバルNOCエージェント - Catoサービスの管理に 精通した専⾨家が対応します。 安⼼してお過ごしください スピード、効率性、先⾒性を⾼める Performance & Reliability Hassle-free. Predictable cost ⼿間と予算の複雑さを軽減 | 72
How Cato NOCaaS works Cato NOCaaS Review & Best PracGce guidance Onboard Monthly reports Monitor Cato Services (Hands Free) Investigate Proactively Incident identified Keep customer informed until resolved Incidents Network Stories in XDR System Alerts Signals Status Signals, Ping results, Jitter, Latency, DNS reachability and response Sources Cato Platform API, ISPs, routers SD-WAN, Integrations Last Mile ISP (ILMM) Resolve and address root cause
How Cato NOCaaS works – key features Cato NOCaaS Review & Best PracGce guidance Onboard Monitor Monthly reports Cato Services (Hands Free) Investigate Proactively Last Mile ISP (ILMM) Resolve and address root cause Keep customer informed until resolved Active monitoring, 24x7x365 アカウント内のすべてのネットワークイベントを確認する。 Expert support 専⾨家のネットワーク構成レビューとベストプラクティスのガイダンス。 定期的なサービス利⽤状況と健全性レポート。 Full visibility and transparency 解決まで継続的な進捗状況のアップデート。 Fastest time to resolution Catoサービスの専⾨家が対応し、社内でのエスカレーションも可能 | 74
Cato NOCaaS service scope Catoサービスとラストワンマイルをサポート Cato NOCaaS supports Cato Services Cato NOCaaS supports the Customer’s IT Team | 75
Cato NOCaaS incident scope Cato NOCaaSのスタッフは、幅広いネットワークインシデントに対応します。 Internet Connectivity Cato Cloud Connectivity Socket (Edge SD-WAN) Device WAN and LAN The incidents covered are listed in the NOCaaS Supported Stories page. | 76
Cato NOCaaS repor/ng • 前⽉の問題の概要を提供 • 恒久的に解決するために追加の対応が必要な継続的に発⽣している問題を強調
Why Cato NOCaaS? ネットワークの管理にかかる⼿間、リスク、コストを削減 Peace of mind Catoの専⾨知識を提供 Proactivity, お電話いただく必要はありません。 Hassle-free, 予測可能なコスト | 78