Catoクラウド製品アップデート情報（2024年7月版）

Product Update July 2024

XDR Mute Stories support for Interface Subnet and Global ranges

XDR Mute Stories – Support for Interface Subnet and Global Ranges XDR Mute Storiesルールで、アカウントに定義されたGlobal RangeおよびInterface Subnetオブジェクト を使⽤できるようになりました。 Why? これにより、アカウント内の既存のオブジェクトを使⽤して、XDR Mute Stories ルールをより簡単 に定義できるようになります。たとえば、特定の IP 範囲で定義したゲスト VLAN からのトラフィッ クに基づいてストーリーを⽣成しないようにします。 Threat PreventionおよびThreat Hunting storiesで使⽤できます。 Native Range and VLAN defined for a Site |3

Revoke User Sessions

Private Managed Policy engines: Remote User • Internet FW • WAN FW • LAN FW 1 • • • • Authenticate and verify the user/roles SWG CASB DLP File Type 3 2 Validate the user device and posture ネットワークへのアクセ スを許可する前に 4 Site

Cato XDR Pro - User Usage Anomaly John Doe

Revoke Sessions John Doe

Cato Clients – New Releases Windows v5.11 / macOS v5.7

New Releases - Overview Windows Client v5.11: • Device Posture Custom Checks: Running Process, Registry Key • IPv6 Support for Last Mile Connection • Seamless Authentication: Support for Hybrid AD-joined and MFA Challenge • New TLSi Certificate macOS Client v5.7: • Device Posture Custom Checks: Running Process, Property List • IPv6 Support for Last Mile Connection • End-user Notifications for App Control Policy • End-user feedback via Cato Client • New TLSi Certificate |9

Device Posture Custom Checks Running Process: • デバイス上でプロセスが実⾏されていることを確認し、デバイス ポスチャープロファイルを拡張します。 • 要件 : Signer Certificate Thumbprintという名前のプロセス証拠 • サポート対象: Windows クライアント v5.11 | 10

Device Posture Custom Checks Registry Key: • レジストリキー、値名、データがデバイスに設定されていること を確認し、デバイスポスチャープロファイルを拡張します。 • 必要条件: レジストリキーのフルパス • サポート対象: Windows クライアント v5.11 | 11

Device Posture Custom Checks Running Process: • デバイス上でプロセスが実⾏されていることを確認し、デバイス ポスチャープロファイルを拡張します。 • 要件: Team IDという名前のプロセス証拠 • サポート対象: macOSクライアントv5.7 | 12

Device Posture Custom Checks Property List: • プロパティリスト、キー名、および値がデバイスに設定されてい ることを検証し、デバイスの姿勢プロファイルを拡張します。 • 要件: フルプロパティリストパス • サポート対象: macOSクライアントv5.7 | 13

IPv6 Support for Last-Mile Connection What's new: • Catoクライアントは、IPv6のみの環境を採⽤するインターネットサービスプロバイダ（ISP）を使⽤したリモート接続 の確⽴をサポートします。 • Catoクライアントは、IPv4も利⽤可能な場合（デュアルスタック）、IPv4を優先します。 • サポート対象：Windowsクライアントv5.11およびmacOS v5.7 What was the problem? • クライアントがIPv6のみのインターネット接続、またはIPv4を使⽤しないデュアルスタックの場合、Catoへの接続を確 ⽴できませんでした。 Solution • 要件 IPv6からIPv4へのネットワークアドレス変換(NAT64)、ISPによって利⽤可能であること。 • Webの⼤部分はまだIPv4であるため、⼀般的なプラクティス。 • このシナリオを検出するには、NAT64プレフィックスを収集し、IPv6アドレスでCatoに接続します。 | 14

End-User Notifications for Security Policies What's new: • macOSデバイスは、App ControlまたはData Controlルールによってアクティビティが ブロックされると、ユーザーに通知を表⽰します。これにより、どのアプリがブロッ クされたのか、なぜブロックされたのかをユーザーに知らせることができます。 • サポート開始: macOSクライアントv5.7 | 15

End-User Feedback via Cato Client What's new: • リモートアクセスサービスの継続的な改善のため、 ユーザーはクライアントからCatoにフィードバッ クを提供できるようになりました。 • 数ヶ⽉ごとに、ユーザーは評価とコメントをする ように促されます。 • ユーザーは、いつでも⼿動でフィードバックを提 供することもできます。 | 16

Digital Experience Monitoring Network Path Analysis Windows v5.11, macOS V5.7

Digital Experience Monitoring – Network Path Analysis Starting Windows v5.11, macOS V5.7 Real User Monitoring + Crowed Sourcing + AI Device Monitoring GA Synthetic Probe Monitoring New New Cato SPACE User Device Performance Wi-Fi Performance LAN Performance Router/Socket Performance App ISP Performance Data Store Advanced AI | 18

Cato’s Digital Experience Monitoring – Network Path Analysis Coming Soon • Prerequisites § Windows client v5.11 § MacOS client v5.7 • Rollout plan § 2024年7月中旬からEA開始 § EAのプログラムに参加 § 以下にご連絡下さい。 [email protected]

Seamless Authentication to Cato Client

Automatic Login with Windows Credentials to Cato Client Supported with Azure SSO Simplicity Seamless Login with windows credentials End User Zero Touch Connected to Cato successfully

Sign In with Windows Credentials with Azure SSO Pre-requisite • CMAアカウントがMicrosoft Azure for Single Sign Onで構成されている。 • Windows 10以上 • デバイスがAzureハイブリッドADに参加している New • Azure ADは既にサポートされている • Azure Active Directoryを使用したプライマリリフレッシュトークン経由のSSOの詳細はこちら https://learn.microsoft.com/en-us/azure/active-directory/hybrid/connect/how-to-connect-sso

• https://learn.microsoft.com/en-us/azure/active-directory/hybrid/connect/how-to-connect-sso

Full Seamless, Zero Touch Experience to End User • CMAで 'Sign in with windows credentials – Automatically’にチェック • CMAで 'Connect on boot’にチェック • https://support.catonetworks.com/hc/en-us/articles/4417643184529-Protecting-SDP-Users-with-Always-On-Security • デバイスでレジストリキーを'LaunchAuthPageOnStartup=1’ にセット • https://support.catonetworks.com/hc/en-us/articles/4411554844817-Installing-the-Cato-Client%E2%80%8B

• https://support.catonetworks.com/hc/en-us/articles/4417643184529-Protecting-SDP-Users-with-Always-On-Security
• https://support.catonetworks.com/hc/en-us/articles/4411554844817-Installing-the-Cato-Client​

New Simplified Process for Onboarding Remote Users

Private Managed Policy engines: Remote User • Internet FW • WAN FW • LAN FW 1 • • • • Authenticate and verify the user/roles SWG CASB DLP File Type 3 2 Authenticate with User/Password and MFA Validate the user device and posture ネットワークへのアクセ スを許可する前に 4 Site

Domain Lookup – Usability Improvements

Domain Lookup – Usability Improvements GAP • CMAでドメイン検索ページを⾒つけるのが難しい • 編集可能なカテゴリーが不明確（webroot/Catoカテゴリー） • Malicious Scoreの値が不明確

Domain Lookup – Usability Improvements What are we adding? • CMA Mega検索へのドメイン検索 追加 • 編集可能なカテゴリと編集不可能 なカテゴリの定義 • Malicious Scoreの尺度の追加

Anoamly Detection Mute Stories

What are Anomaly Detection (UEBA) Stories? Events Anomaly Usage Anomaly Suspicious activity over time Suspicious activity over time Example: 中国とロシアにアクセスする 不審で異常な地理的活動 Example: 勤務時間外にファイル共有ア プリに異常な量のデータを アップロードしたユーザー ● UEBA - ユーザーとエンティティの⾏動分析 ● UEBAエンジンは、ユーザーとサイトの統計的なベースラインを作成し、異常が検出された場 合に警告を発します。 ● UEBAエンジンは、データ流出、横移動、危険なユーザー⾏動、内部脅威などを指し⽰す可能 性のある不審な⾏動を⻑期にわたって検出します。 ● XDR ProおよびManaged XDRのお客様にご利⽤いただけます。

What are Anomaly Detection (UEBA) Stories?

Anomaly Detection Mute Stories ● XDRミュートストーリーは、管理者が監視したくない特定のストーリーの作成をミュートすることがで きます： ○ メンテナンス中のサイト ○ セキュリティ監査 ● これにより、ノイズを減らし、アナリストが最も重要な脅威に集中できるようになります。 ● 例 私のネットワークでは、ファイル共有アプリケーションへの⼤量のデータアップロード時に、Usage Anomaly ストーリーが多数作成されます。 ● 例 監視していないゲスト Wi-Fi ネットワークがあり、ユーザーが異常な量のデータをダウンロードして いることを⽰すストーリーが作成されている。

Muting an Events Anomaly story ● トラフィックの送信元または送信先を使⽤できます。 ● また、「Events Anomaly metric」 - XDR Stories（IPS、ファイアウォール、アンチマルウェア）の作成から ミュートするセキュリティエンジンイベントの種類を使⽤することもできます。 ● 選択したイベントタイプのイベント異常ストーリーは作成されません。

Muting a Usage Anomaly story ● トラフィックの送信元または送信先を使⽤できます。 ● Application - Usage Anomaly ストーリーの先頭のアプ リケーションがルールに⼀致する場合、ストーリー は作成されません。

OpenSSH CVE-2024-6387 Patched Socket Version

OpenSSH CVE-2024-6387 CVE Information RegreSSHion とは？ • Linux システム上の OpenSSH サーバ (sshd) に存在する、 認証されていないリモートコード実⾏ (RCE) の脆弱性です。 • この脆弱性は、過去のセキュリティ修正(CVE-2006-5051)が上書きされたために発⽣します。 リスクはあるか？ • この脆弱性はクリティカルであるが、今のところ、攻撃は実環境で実⾏するには⾮常に複雑であり、悪⽤可能性は低い。 • 悪⽤を成功させるには、ターゲット（OS、OSアーキテクチャ、コードライブラリ）に関する知識が必要である。 影響を受けるバージョン • OpenSSH 8.5p1 から 9.8 までのバージョン (ただし 9.8p1 を含まない) • 4.4p1 以前の OpenSSH バージョン パッチ管理 • ソケットが v20.0.1843 (OpenSSH の最新バージョン 9.8) で動作していることを確認してください。 • または最新のv19.0.18480を使⽤してください。 | 39

OpenSSH regreSSHion at Cato • Catoのセキュリティ-コンテンツの結論と対応： • • エクスプロイトを部分的に再構築した後、この攻撃専⽤のシグネチャを開発し、配備した。 このエクスプロイトには繰り返しパターンがあるため、既存のブルートフォース防⽌シグネチャでもカバーできるはずで ある。 • 完全な悪⽤は再現されなかったが、これもこの脆弱性の複雑さを物語っている。他のセキュリティ・ベンダーも、再現に 成功していないと述べている。 • ソケットはインターネットに公開されたSSHインターフェースを持つべきではありません。 • • このため、脆弱性を悪⽤することはほとんど不可能である。 たとえ露出していたとしても、ソケットにはインターネットからのブルートフォース（総当たり攻撃）をブロックするセ キュリティ・メカニズムがある。 • 私たちは実環境での試みを⾒ていません。 • 我々はこれを継続的に監視している。 • ブルートフォース・パターンに基づくIPSシグネチャを追加した。 • ベストプラクティスは、CVEに対してパッチを当てることです。 | 40

Physical Sockets & SSH • ソケットはインターネットへのオープンなSSHインターフェースを持ってはならない（例えば、0.0.0.0/0 TCP/22） • X1700ソケットだけが専⽤の管理インターフェイスを持っています。 • これは必須ではありません。 • このインターフェイスは、DTLSトンネル内からだけ、ソケットにSSH接続することができる。 • このため、Catoネットワークの外部から脆弱性を悪⽤することはほとんど不可能である。 DTLS ||41 41

vSockets & SSH • vSocketは、インターネットへのオープンSSHインターフェースを持ってはならない（例えば、0.0.0.0/0 TCP/22） • リモート・アクセスが必要な場合は、TCP/443を使⽤します • ⼀時的に制限されたパブリックIPアドレス（特定の1つ）に対してのみ WAN subnet MGMT subnet MGMT WAN1 LAN1 LAN subnet 詳しくは KB をご覧ください。「 Configuring Azure vSockets 」 で検索してください。 | 42

Timeline • CVEがリリースされてから72時間後にパッチをリリース • Catoは、⾃動アップグレードサービスで管理されている顧客の100%にパッチをリリース July 1st Qualys Discovered the RCE CVE July 3rd July 4th July 7th IPS Signatures Silent Customer Notifications IPS Signatures Block Patch Release July 4th-14th 詳しくはウェブサイトをご覧ください。「OpenSSH RCE vulnerability (regreSSHion) 」で検索してください。 詳しくは KB をご覧ください。「Understanding Cato's Managed Socket Upgrade Service」 で検索してください。 | 43

Azure vSocket Call to Action • Azure vSocket は⾃動アップグレードサービスから除外されているため、⾃動的にアップグレードされません。 • アップグレードボタン（サイト/ソケット/アクション）を使⽤して、ソケットを⼿動でアップグレードできます。 注：Catoは、vSocketをアップグレードする前に、まずD8ls_v5を実⾏していることを確認するか、それにサイズを変更することをお勧めします。 詳細については、「Changing Azure vSockets to a Different VM Size 」で検索してください。

App Catalog – Add Granular Applications Activities

App Catalog – Add Cloud Granular Applications Activities GAP • アプリケーションのアクティビティに関する情報を提供しない • 活動フィールドに関する情報を提供しない • アクティビティとフィールドの情報を得るための複雑なプロセス

App Catalog – Add Cloud Granular Applications Activities What are we adding? • ⼀般的なUXの改善 • ActivityとActivity Fieldを含むアクティビティセクション Activity field Activity

Operational Technology Protocols Discovery and Enforcement

Operational Technology (OT) Protocols OT Protocols? OTプロトコルは、産業システム内のデバイスの通信を可能にする標準規格です。製造業、公共事業、エ ネルギーなど、機械がシームレスに相互作⽤する必要がある分野では⾮常に重要です。 例えば、Modbus、DNP3、IEC 61850などがあります。これらのプロトコルは、リアルタイムでデバイス 間の信頼性の⾼いデータ転送を保証し、効率的な産業オペレーションを促進します。 GAP • WANネットワーク上でOTプロトコルを識別できない • インターネットとWANファイアウォール上でOTプロトコルを強制できない

Operational Technology (OT) Protocols What are we adding? • サービスとしての産業プロトコルの署名 • “Industrial Protocols”カテゴリーにプロトコルを集約 Protocol Name Description Modbus Modbusプロトコルは、産業⽤電⼦機器間でデータを伝送するための通信規格です。 OPC UA OPC UAは、OPC Classicの仕様を1つのフレームワークに統合した、プラットフォームに 依存しないプロトコルです。 DNP3 DNP3（Distributed Network Protocol）は、主に公益事業におけるプロセスオートメー ションシステムのコンポーネント間で使⽤されます。 GE STRP GE Service Request Transport Protocol (GE-SRTP)は、GE Intelligent Platforms社が開発したプ ログラマブルロジックコントローラからのEthernet経由のデータ転送⽤プロトコルです。 • インターネットとWANファイアウォールでシグネチャを使い、プロトコルの動 作を監視・制御する * Additional 8 protocols in WIP

XDR Target Actions Enhancement

XDR Target Actions ● Catoのリアルタイムセキュリティエンジンで、ストーリーのターゲットに対してどのよう なアクションが実⾏されたか？ ● 脅威の深刻度を評価し、適切な緩和策を選択するのに役⽴つ

XDR Target Actions ● 誤設定の特定 - IPSホワイトリスト ● 脅威を軽減する - インターネットファイアウォールのブロックリストに悪意のあるター ゲットを追加する

XDR Target Actions Enhancement ● ● Target Actionsが複数のセキュリティ・エンジンからのデータで強化されました。 : ● IPS ● Internet Firewall ● WAN Firewall ● Suspicious Activity Monitoring ● DNS Protection ● SaaS Security API Data Protection ● Anti Malware Related Eventsからイベントページへ

Cato SASE. Ready for Whatever’s Next. Thank You