Catoクラウド製品アップデート情報(2025年3月版)
>100 Views
March 29, 25
スライド概要
Cato Networks社 の Catoクラウドの「Product Update March 2025」日本語資料となります。
・Detection & Response NOC Enhancements
・Azure vWAN Certified Integration
・Block Page Customization
・Tenant Awareness
・Cato Captive Portal
・Anti Tampering for Windows ZTNA Client
・XDR Mitigation Actions - Add Target to Blocklist
・Lightweight Access Controls for BYOD
・Application Control via APIs
※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。
関連スライド
各ページのテキスト
Product Update March 2025
Detection & Response NOC Enhancements
Detection & Response Key NOC benefits Direct Customer: • 単⼀の情報源で、ネットワーク障害の相関、集約、 および優先順位付けを実現 • 重要度に基づいてインシデントを優先処理 • Cato のノウハウを活⽤して問題を解決 NOC service provider: • 複数アカウント間での可視化と優先順位付け • チケッティングシステムへの容易な統合 The video course is available in the Cato Academy The manual is available in the partner portal |3
New Group Network Stories by WAN Link and ISP Detection and response workbench New Grouping options: • Link name • Provider Example use case: § 過去 1 か⽉間に特定の ISP またはリンクに発⽣した すべての問題を可視化 To learn more: § ナレッジベースで 『Workbench』を検索して ください。 Detection & Response > Stories Workbench
New Group Network Stories by WAN Link and ISP Short demo Detection & Response > Stories Workbench
Additional Muting Conditions for Network Stories Detection & Response New Muting options: • WAN link • Site Type Example use case: § ISP がメンテナンスウィンドウを 持つ際にストーリーを抑制する To learn more: § ナレッジベースで『Muting stories』を検索してください。
Azure vWAN Certified Integration
Cato Networks is an Official Certified vWAN Partner!
Benefits of Being a Certified Partner Certified Solution with Microsoft Azure Simplified Automated Solution
Cato Connectivity SaaS Optimization Multi Cloud Integration Smart Egress• Dedicated IP Cato vSocket • Cloud interconnect • IPsec SPACE Clientless MPLS Cato Socket Edge SD-WAN A/A/A • Path Selection • App/Id Aware QoS • LAN Segmentation or 3rd party IPsec Cato Client Universal ZTNA • EPP/EDR Cato Client Universal ZTNA • EPP/EDR via Web Portal
What is Azure vWAN ? • Azure Virtual WAN (vWAN) ブランチ、データセンター、クラウドアプリケーション間のグ ローバル接続を簡素化するクラウドネイティブなネットワー クサービスです。 • Why companies use vWAN? • • US East Singapore 複数の地域に対応するグローバルソリューション 容易にスケール可能 Sydney
Cato Networks and vWAN integration
How Does It Work? Automation Flow Terraform Module: 1. Prerequisites: vWAN and a Hub is configured 2. Create IPsec connection 1. Azure – Create new VPN Site 2. Cato – Create IPsec Site 3. Configure IPsec Connectivity 4. Creates BGP peering 1. Azure 2. Cato 2.1 VPN Site 4. BGP Peering 2.1 IPSec Site 3. IPSec Primary 3. IPSec Secondary
Summary • Terraform module available in Terraform Registry (Cato Provider -> azure-vWAN) • A guide for vWAN integration available in the KB
Block Page Customization
Cato Warning / Block Page Recap FW CASB DLP DNS IPS NG-AM SAM AM Cato PoP
Cato Warning / Block Page Recap FW CASB DLP DNS IPS NG-AM SAM AM Cato PoP Block Block traffic that violates the company's policy. End-user communication: Explain why access is blocked.
Cato Warning / Block Page Recap FW CASB DLP DNS IPS NG-AM SAM AM Cato PoP Warning Alert users about potential threats End-user communication: Help employees recognize and avoid risky behavior
Cato Warning / Block Page Customization Recap
Enhancement #1 – Hide "Powered by Cato" Footer
Enhancement #1 – Hide "Powered by Cato" Footer
Enhancement #2 – Display Event Reference ID
What is Event Reference ID? • セキュリティイベントの⼀意の識別⼦ • リクエストがブロックされた際に⾃動⽣成
Enhancement #2 – Display Event Reference ID
Seamless Troubleshooting
Tenant Awareness
The Need for Tenant Control Addressing Security Concerns in Multi-Tenant Applications Why? • 企業は SaaS アプリケーションへの依存を強める⼀⽅で、 セキュリティチームは制御されていないマルチテナントアクセスへの対応に苦慮している。 • 可視性がないと、ユーザーが承認されていないテナント (例︓企業の OneDrive ではなく個⼈の OneDrive)にアクセスする可能性があり、以下のリスクが⽣じます。 • • • データ流出のリスク(機密データが管理されていないテナントへ移動) コンプライアンス違反(データが許可されていない場所に保存される) SaaS 利⽤の管理不能 [email protected] CASB [email protected]
Inline Tenant Control Addressing Security Concerns in Multi-Tenant Applications Today • クラウドアプリケーションへのアクセスをテナントレベルで制御– • Login based tenant control • Application based tenant control
Inline Tenant Control Addressing Security Concerns in Multi-Tenant Applications What • "Username" フィールドが、以下のアプリ(App Catalog に記載)におけ るさまざまな詳細なアクティビティで利⽤可能になりました。 o GitHub o ChatGPT o Google Drive o Dropbox o Outlook • "Username" フィールドに対して "Contains" 制限を設定することで、 "Login" アクティビティに関係なく、詳細なアクティビティごとに許可された テナントを制御できます。 • 現在、ブラウザのみ対応しており、ネイティブクライアントには対応していません。
Inline Tenant Control Addressing Security Concerns in Multi-Tenant Applications How • 閲覧セッション中に、ユーザーのメールアドレスやテナントが HTTP レスポンスの⼀部としてサーバーから返されることがあります。 • ⼀度これが発⽣すると、ユーザーのメールアドレスやテナントが抽出され、すべてのサーバーとのやり取りにわたって持続する Cookie ヘッダー に関連付けられます。 • その後、同じ Cookie ヘッダーが含まれる詳細なアクティビティでは、ユーザーのメールアドレスやテナントが復元されます。
Identify Tenant Awareness Use Cases Addressing Security Concerns in Multi-Tenant Applications What would customers ask for? • プライベートな Google Drive インスタンスへのアクセスは許可するが、 アップロードやダウンロードは禁⽌したい」 • 「GitHub へのアップロードは、組織ユーザーのみに許可したい」 • 「ユーザー X、Y、Z または @catonetworks.com のドメインで終わるメールアドレスを持つユーザーのみが ChatGPT と の会話を許可されるべき
Roadmap Addressing Security Concerns in Multi-Tenant Applications What’s Next? • テナント可視性 • 抽出されたテナント名を含むイベントフィールド • 特定のクラウドアプリにアクセスした複数のテナントを表⽰するダッシュボードウィジェット • CASB および DLP ポリシーにおけるテナント認識の強化 • 追加のアプリケーション対応
Cato Captive Portal
Captive Portal Captive Portal キャプティブポータル は、ユーザーがインターネットにアク セスしようとした際に表⽰されるウェブページで、利⽤ 規約の同意や特定の操作を求める仕組みです。 ⼀般的にはホテルや店舗などで利⽤されています。 Shops: 顧客は、店舗の無料インターネットを利⽤するために、 キャプティブポータルでサインインまたは利⽤規約に同 意する必要があります。 Hotels: ゲストは、Wi-Fi に接続する前に、キャプティブポータ ルでホテルの利⽤規約に同意する必要があります。 Enter | 34
Cato Cloud Captive Portal Captive Portal Captive Portal Cato Cloud がキャプティブポータルとして機能 し、ユーザーにブランド化されたウェブページを表 ⽰して、利⽤規約への同意を求めます WiFi Guest 172.10.0.0/24 WiFi Guest 192.168.1.0/24 Site A Site B
Policy for Captive Portal
Captive Portal
Captive Portal
Configuring Cato Captive Portal • インターネットファイアウォールにルールを作成し、ゲストネットワークのトラフィックをキャプティブポータルへリダイレクトする • • • このルールは、ゲストネットワークに適⽤されるように、ルールベースの最上位に配置する必要があります。 インターネットファイアウォールは順序があるため、トラフィックが最初に⼀致したルールに基づいて処理され、以降のルールは無視されます。 ただし、キャプティブポータルのルールは例外 となります。 1. ゲストネットワーク内のホストからのトラフィックは、まずキャプティブポータルへリダイレクトされ、利⽤規約への同意が求められる。 2. 利⽤規約に同意し、ネットワークアクセスが許可されると、キャプティブポータルのルールは無視され、すべてのトラフィックがインターネッ トファイアウォールポリシーに基づいて処理される。 3. ホストのセッション時間が切れると、再びキャプティブポータルへリダイレクトされ、利⽤規約への同意が求められる。 • Branding • • • • • キャプティブポータルページのブランド化 利⽤規約のカスタマイズ 必要に応じてメールアドレスの⼊⼒を追加 リダイレクト URL の設定 セッションの有効期間の設定 | 39
Anti Tampering for Windows ZTNA Client
Recap: SDP Always On • All traffic goes through Cato, ensuring it complies with admin’s policies WAN G IPS Fir B P AM RBI File S CA ew T yp DL Office user NG- Cato SPACE AM SW SaaS ZT NA Remote User al l Cloud Services e
What is Tampering? • Cato クライアントの機能や設定を変更/無効化し、管理者が定義した動作を⾏わなくする試み • 改ざん(Tampering)を試みる主な 2 つのグループ 1. 悪意のある攻撃者やマルウェア: 改ざんや無効化は、多くの標的型攻撃で使⽤される⼿法 2. 意図的なユーザー: 管理者が設定した構成を回避しようとするユーザー Anti-Tamper は、ユーザーが管理者権限を持っていたとしても、リソースの改ざんや無効化の試みから保護します。
SDP Anti Tampering Use Cases: 1. ユーザーは常に接続されており、サービスやプロセスを停⽌できない 2. ユーザーは常に指定された構成とポリシーを適⽤された状態で運⽤される 1. ユーザーはクライアントのレジストリを編集・削除できない 2. ユーザーは必要なファイルを編集・削除できない 3. ユーザーはパスコードなしでクライアントをアンインストールまたはアップグレードできない
Enforcing Anti Tamper with Always On
Demo
Bypass
Bypassing Anti Tamper Bypassing Always on doesn’t bypass Anti Tamper Bypass input is hidden by default; to enable: CTRL+SHIFT+O
Uninstall and Upgrade
Manual Upgrade Anti-Tamper が適⽤されると、パスコードなしでクライアントを⼿動アップグレードできない 1. アップグレードポリシーは「管理者によって管理(Managed by admin)」 1. 各ユーザーごとに個別対応するのは避けたい 2. パスコードの有効期間は 2 週間
Uninstall Anti Tamper is enforced, Users cannot uninstall the Client 2. Admin wants to uninstall 20 Clients § Code valid for 24 hours
Recap 1. Anti Tamper for Windows ZTNA Client 2. Enabled via Always on policy § ユーザーはレジストリやファイルを編集・削除できない § ユーザーはサービスやプロセスを停⽌できない § ユーザーはクライアントをアンインストールまたはアップグレードできない 3. Bypass Always on doesnʼt bypass Anti Tamper 4. Anti-Tamper のバイパスメカニズムは「Always On」と同様 § アンインストールおよび⼿動アップグレード⽤の追加コードが必要
l 1. na Windows only, macOS coming soon r te 1. In Q&A Based on version 5.14 2. ”Red Button” 3. Recurring BSOD detection 4. Exclusions 5. Events 6. Windows Installer (external tools) 7. #ea-windows-sdp-anti-tamper 1.Files: 1. C:¥Program Files (x86)¥Cato Networks¥Cato Client 2. C:¥ProgramData¥CatoNetworks 2.Registry: 1. HKLM¥SYSTEM¥CurrentControlSet¥Services¥CatoClientDriver 2. HKLM¥MACHINE¥SOFTWARE¥CatoNetworksVPN 3. HKLM¥MACHINE¥SOFTWARE¥zcvpn 4. HKLM¥MACHINE¥SOFTWARE¥CatoNetworksInstaller 5. HKLM¥MACHINE¥SOFTWARE¥zcsk01 6. HKLM¥MACHINE¥SYSTEM¥ControlSet001¥Services¥CatoNetworksVPNService 7. HKLM¥MACHINE¥SYSTEM¥ControlSet001¥Services¥CatoNetworksVPN 8. HKLM¥MACHINE¥SYSTEM¥ControlSet001¥Services¥wintun 3.the SDP Process & Service | 52
XDR Mitigation Actions – Add Target to Blocklist
Add Target to Blocklist Triage: Looks like a true positive (Malicious) Suspicious Network Activity John Snow Some targets were blocked, but some were not How can we mitigate this story? | 54
Add Target to Blocklist 確認したところ、⼀部の疑わしいドメインがブロックされていま せんでした。そのため、ストーリーの対象に対して緩和策 (Mitigation Action)を適⽤することができます なぜリアルタイムエンジンでブロックされなかったのか︖ "グレーゾーン" - 評判(Reputation)がなく、リアルタイムでブロックするための⼗分な証拠がないため。 | 55
Add Target to Blocklist XDR ストーリーから疑わしいターゲットを緩和する⽅法: ストーリーのドリルダウンページから、疑わしい IP アドレスや FQDN をコンテナに直接追加できます。その後、このコンテナをファ イアウォールルールに組み込むことが可能です。 「Add Target to Blocklist」 の緩和策は、Security ストーリーの「Actions」メニュー から利⽤できます。 なぜ XDR ストーリーからターゲットをブロックリストに追加する必要があるのか︖ 脅威の緩和: • データ流出の試みを阻⽌脅威の封じ込め • 攻撃者がさらに多くのユーザーに到達するのを防ぐ 本⽇のフォーカス: ネットワークレベルでの封じ込め に重点を置くが、 将来的にはさらなる緩和アクションをサポート予定。 Network XDR ストーリーへの緩和策も含め、より多くの対応が可能に。 | 56
Add Target to Blocklist What is a container? コンテナ(Containers) は、IP や FQDN などのアイテムをグループ化して管理するためのユーザー定義のカテゴリです。 例えば、組織の SOC が特定した悪意のある IP アドレスのリストを含むコンテナ を作成できます。 | 57
Add Target to Blocklist | 58
Add Target to Blocklist • • • 疑わしいターゲット は ドメイン(FQDN) または IP アドレス である可能性があります。 “Add target to Blocklist”アクション は、これらを コンテナに追加する だけです。 その後、顧客はこのコンテナをインターネットファイアウォールなどのさまざまなポリシーに適⽤ できます。 | 59
Add Target to Blocklist ベストプラクティス: • ファイアウォールには、FQDN ⽤と IP ⽤の 2 種類のコンテナごとに 1 つのブロックルールを追加するのが最適 • ルールを作成すると、そのコンテナに追加された将来のターゲットも⾃動的に更新される これにより、XDR ストーリーから疑わしいターゲットを⾃動的にブロックできる仕組みを確⽴ できます。 | 60
Reminder – where can I see the actions done on my stories? • • ストーリーおよび Stories Workbench に新しい「Mitigation」ヘッダーを追加 緩和(Mitigation)アクションのタイムライン更新 John Snow John Snow John Abra John Cena | 61
New Action Center • • すべての緩和(Mitigation)アクションを記録する新しいページを追加 ネットワーク封じ込め、EDR 緩和アクションなど、将来の XDR アクションのハブとして機能 John Snow John Cena John Abra John Snow John Cena | 62
Lightweight Access Controls for BYOD Solving a day-to-day concern of a CISO
Cato’s Browser Extension 64
Demo Cato’s Solution for BYOD How to Demo? Admin: サービスプロバイダーまたは ID プロバイダーで条件付きアクセスを有効化し、Cato の本番 PoP か らのみアクセスを許可 CMA で SSO ログインを有効化(ブラウザ拡張機能⽤) クライアント接続ポリシーを有効化し、ブラウザ拡張機能経由のアクセスを制限 エンドユーザーに ZTNA ライセンスを割り当て End-user: Cato が必要なリソースへのログインを試みる 失敗を確認 Chrome ストアから Cato ブラウザ拡張機能を追加 ユーザー認証情報で認証 接続完了後、再度リソースへのログインを試⾏ 成功を確認 インターネットファイアウォール(FW)および CASB が適⽤されていることを確認 65
Demo Cato’s Solution for BYOD How to Demo? 66
Demo Cato’s Solution for BYOD How to Demo? 67
Cato’s Browser Extension Cato’s Browser Extension complements the Clientless Browser Access offering 68
How to position Browser Extension and App Portal Bring your Own Browser • 容易に導⼊可能 • ユーザーエクスペリエンスの変更を最⼩限 に抑える Least Privilege Access • エンタープライズアプリへのアクセ スには Comply-to-Connect を必須とする • プライバシーに関する具体的なエンドユー ザー管理が可能 • 接続時に特定のリソースへの限 定的なアクセスを許可 • ストア経由の⾃動更新に対応 • ネットワークからセグメント化 Resiliency • インターネットアクセスに対するリ スクを軽減 • Cato バックボーンを活⽤した最 適化 Catoʼs Browser Extension complements the Clientless Browser Access offering 69
Application Control via APIs Support New Integrations
Cloud Activities with Unified CASB New App Control by API Monitoring App Control by Inline Inspection Sanctioned Apps Onboard with API Connector Sanctioned & Shadow IT Apps Onboard with a toggle ⾮管理ユーザーも対象 Catoへの接続が必須 CASB TLSi不要 TLSi必須 すべてのアクティビティを記録 アプリごとのアクティビティ数 Remote User Unmanaged Office user Remote User 完全な統合CASBソリューションには、 インラインとAPIの両⽅が必要
App Activities via APIs – Integrations Catalog See list of supported Apps Connect your Apps
App Activities via APIs – Support Microsoft 365 Apps New Microsoft 365 Apps Microsoft 365 Apps - Suite of 200+ Including Copilot, Teams, OneNote, Planner, Power BI, Visio, Project, and more. License required: MS E3 Example Use Case: User-A interacted with Copilot and uploaded two files - ‘file1.txt’ and ‘file2.txt’
Use Case - Visibility into Copilot interactions
Use Case - Visibility into Copilot interactions [email protected] has uploaded 2 files to corporate Copilot ‘Rachel Green.txt’ and ‘azure_apps_dev (2). json’ Jason.miller@catonetwork...
App Activities via APIs – Support Microsoft Entra ID Microsoft 365 Apps Microsoft Entra ID Track administrative changes, including role assignments, SSO configuration updates, user access modifications, and security policy changes License required: MS E3 New Microsoft Entra ID Example Use Cases: • User-A has granted ‘Admin Permissions’ to User-B , giving full access to all settings in Microsoft Entra ID • User-A changed the SSO authentication method, disabling MFA
App Activities via APIs – Support Box New Microsoft 365 Apps Box Monitor and control file-sharing activities, access permissions, and administrative actions License required: Box Business Plan Microsoft Entra ID Box Example Use Cases: • User-A created Public-Shared-Link for File-X • User-A has been uploading a massive number of files
App Activities – New Applications – Wrap Up Gain visibility and control over users interacting with Microsoft 365 Apps, Entra ID, and Box with App Activities License required: • Cato CASB license • MS 365 Apps / Entra ID: MS E3 (and higher) • Box: Box Business GA Date: • March 24th New Microsoft 365 Apps New Microsoft Entra ID New Box