Catoクラウド製品アップデート情報（2025年5月版）

Product Update May 2025

Advanced Device Posture Mac v5.9 Windows v5.15

Adaptive Access – Verify the User, Validate the Device, Limit Access WAN Internet Remote User (Managed) 4 1 Controlled application access ユーザーを認証および識別する 動的なデバイスポスチャーを用いる Site 3 2 Office user Conditional Access デバイスとその状況を検証し、ネット ワークへのアクセスを許可する

Advanced Device Posture • デバイスポスチャーは、Cato Clientが接続される前からバックグラウンドで継続的に収集されるようになります。 • デバイスポスチャーが収集されるたびに、安全にキャッシュされます。 • エンドユーザーが接続する際には、直近で収集されたポスチャー情報を使用します。 • セキュリティ態勢とエンドユーザーエクスペリエンスの向上のために、この新しいモードへの移行を強く推奨します。

CMA Configuration

Advanced Posture Collection Connect with Posture recently collected 10 minutes POSTURE クライアントが切断されて いる間も、デバイスポス チャーの収集はバックグラ ウンドで実行されます。 10 minutes POSTURE 10 minutes POSTURE POSTURE 10 minutes POSTURE 10 minutes 10 minutes POSTURE POSTURE クライアントが接続されて いる間も、デバイスポス チャーの収集は実行され ます。

Advanced Posture Collection 社内ポリシーにより、デバイスにはアンチマルウェアがインストールされ、稼働している必要があります。 チェック間隔は10分に設定されています。 10 minutes 10 minutes POSTURE 10 minutes POSTURE CONNECT Device is Compliant POSTURE POSTURE Turn off Anti Malware デバイスが非準拠のため クライアントは切断されます

Advanced Posture Collection 社内ポリシーにより、デバイスにはアンチマルウェアがインストールされ、稼働している必要があります。 チェック間隔は10分に設定されています。 10 minutes 10 minutes POSTURE 10 minutes POSTURE CONNECT Device is Compliant POSTURE POSTURE DISONNECT CONNECT デバイスが非準拠のため クライアントは切断されます Turn off Anti Malware

Device Posture on Site Check Interval is configured to 10 minutes 10 minutes POSTURE 10 minutes POSTURE 10 minutes POSTURE POSTURE 10 minutes POSTURE 10 minutes POSTURE 10 minutes POSTURE

Summary • デバイスポスチャーは、組織のUZTNA戦略における重要な基盤要素です。 • 継続的な検証が必要であるため、チェック間隔を10分に設定していることを必ず確認してください。 • セキュリティ態勢とエンドユーザーエクスペリエンスを向上させるために、Cato管理者にはこの新しいモードへの 移行を強く推奨します。

EPP: Delete from Quarantine

Reminder: EPP Protection Engines Pre-execution Prevention (“Anti-Malware”) Runtime Prevention (“Behavioral”) • 300+ file types support • ML for zero-day threats • Heuristic-based analysis • Fileless Malware Protection • Un-archivers and archivers • Polymorphic Detection • Advanced Anti-Exploit • ML for zero-day threats • Executable unpackers • Signature-based protection Automatic Containment Monitor • block • quarantine • kill process Windows 10, 11 Windows Server ‘16, ‘19, ‘22 13

Reminder: EPP Profiles Anti-Malware モニター（Monitor）： 悪意のあるファイルが開かれたことを検知し、イベントを送信する ブロック（Block）： 悪意のあるファイルへのアクセスをブロックする ブロック＆修復（Block & Remediate）： 悪意のあるファイルへのアクセスをブロックし、ファイルを隔離フォルダへ移動する

Reminder: EPP Real-time status

Files in Quarantine Quarantine Actions • 復元：ファイルは元のフォルダに戻され、完全なアクセスが可能になります • ファイルが許可リストに追加されます • 削除：ファイルはエンドポイントから削除されます Action Status in Real Time

Extending Cato UZTNA with Identity for Shared Hosts

UZTNA – User Identity Across all Locations and Enviroments Private Application Internet Remote User (Managed) User Risk Score 1 Remote User (Unmanaged) Controlled application access Authenticate and Identify the user with dynamic device posture check Site 3 2 Office user Conditional Access Validate the device and posture before granting access to the network New ! Identity for Shared Hosts 4

UZTNA - Identity for Shared Hosts Remote Unmanaged device / BYOD Office Application Portal Thin client Terminal Server Thin client Cato Thin client • Cato Clientは、Windows Terminal Server／Citrix／AVD に接続する複数ユーザーに対するユーザー認識をサポートします。

Reminder Cloud Optimization NG Firewall WAN Optimization Secure Web Gateway Global Route Optimization Provision Self-healing Architecture ✓ ユーザーおよびユーザーグルー プのプロビジョニング ✓ LDAPまたはSCIM Internet MPLS Branch Advanced Threat Prevention UZTNA Cloud and Mobile Security Policies ✓ ユーザーのアイデンティティに基 Converged づいてポリシーを定義 Network & Security ✓ 必要なリソースへのアクセスの みに制限 ✓ ユーザーのアクティビティを完全 に可視化 Agentless Flexible Management Cato • Self-service • Co-managed Client • Fully managed ✓ ユーザー認識のためにCato Clientをインストール PoP Hybrid/Multi Cloud ✓ ZTNAライセンスは不要 ✓ ユーザーアイデンティティは継続 的に報告されます IPSec Client/Clientless SDP Datacenter Mobile 20

The Cato Client as a Platform Cato PoP Software-defined Perimeter (SDP) Endpoint Protection and EDR Internet Security Cato Client on all Device Device Posture Digital Experience Monitoring (DEM) User Engagement User Awareness

GRE Tunnel • Generic Routing Encapsulation（GRE）ト ンネルは、さまざまなネットワーク層プ ロトコルを仮想的なポイント・ツー・ポ イント接続内にカプセル化するプロトコ ルであり、2つのネットワーク間にセキュ アでプライベートなリンクを作成します。 • CMA上で管理者がShared HostsのIPアド レスを設定します。 User Login • ユーザーセッションに はキーが割り当てられ ます • ユーザー識別子とキー のマッピングがCato Cloudに報告されます • ユーザーセッションか らの各パケットには キーがタグ付けされま す • Cato Cloudはキーと ユーザーアイデンティ ティを照合し、ポリ シーを適用します GRE Active Directory DNS Split Traffic from GRE Tunnel • DNS、Active Directory、ファイル共有な どのローカルトラフィックは、場合に よってはローカルにとどまり、Cato Cloudに到達しないようにする必要があ ります。 • CMA上で管理者が除外トラフィックを設 定します。

CMA Configuration

Installing the Cato Client • Supported on Windows Cato Client v5.15 • The Shared Hosts should be behind a site – Socket, vSocket, IPSec • Windows Server 2019 and higher • ./CatoNetworksSetup.msi CATO_INSTALL_UATS=1 • The following registry key will be created • GREMode = 1 (DWORD) • For Azure Virtual Desktop – Windows 10 or Windows 11 • ./CatoNetworksSetup.msi CATO_INSTALL_UATS=1 • Add registry key - GREOverUDP = 1 (DWORD) • Common deployment in Citrix environments is using a Golden Image • The Cato client can be installed on the Golden image

Installing the Cato Client on Shared Host

Installing the Cato Client on Shared Host

Monitoring

Summary • UZTNAへの準拠および完全な可視性を得るために、サイト内のすべてのデバイスにCato Clientをインストールしてください。 • WindowsデバイスかつEntraを利用している場合、ZTNAライセンスは不要です。 • ZTNAライセンスが必要となるユースケース： • Mac または Linux デバイス • Oktaなど、Entra以外のIDプロバイダ（IDP）を使用している場合 • また、共有ホストには Windows Cato Client v5.15 をインストールしてください。

INTERNAL • Early Availability starts on 27 April • #ea-ua-shared-host • The windows client version should ONLY be installed on a Shared Host – please remember this is an EA version and can change during the EA • Customers feedback • Bug fixed • Etc…. • Reminder! o Submit a request on the EA channel and we will enable the TAG for you

Event Filtering ‘Contains’ & ‘Approximate’ Operators

Cato Events A window to your network • アカウント上で発生しているすべての内容をキャプチャ • Events Discovery：分析のために関連するコンテキストへドリルダウン | 31

Finding the Relevant Events Events Filtering • 利用可能なオペレーターを使用して、 フィールド値に基づいてイベントを検索 • Existing Operators: ▪ ▪ Is / Is Not In / Not In Exact Match • Problems: ▪ 具体的かつ正確である必要があります 入力ミスや類似の一致には対応できません | 32

Flexible Events Filtering Enhanced Text Matching • New Operators ▪ Contains → [defend]er-win10 ▪ Approximate Match ≅ Flexible Match → jonh.Dot ≈ John.doe • Goal ▪ 部分一致（含む）や近似値に基づいて イベントを検索します。 | 33

Flexible Events Filtering for Textual Fields ‘Contains’ Operator • What it does ▪ 部分文字列の一致 ▪ 大文字と小文字を区別しません Example: • Domain Contains “defend”: • Defender-win10.sec.content • \\defender-win10.sec.content.local\shared\logs | 34

Flexible Events Filtering for Textual Fields ‘Approximate Match’ Operator • What it does ▪ N-Gram-based fuzzy text search ▪ Allows inaccuracy ▪ Example: ‘jonh.dot’ can match ‘john.doe’ • Example: • Application Approximate Match SBM: ▪ Smb ▪ SMB ▪ SMBV3 | 35

Text Matching Operators Summary & Use Cases Operator Behavior When to Use Supported Fields Is Exact match 正確な値が分かっている場合 All fields In Matches any value from a list 複数の既知の値のいずれかを確 All fields 認したい場合 Contains Substring match 部分的な値が分かっている場合 例)example.com Textual fields Fuzzy match with minor variations or typos 入力が誤字を含んでいたり、正 確ではないが類似している可能 性がある場合 Textual fields Approximate Match • Natural Language Search (NLS) 該当する場合には、上記すべてのオペレーターを自動的に使用します。

Autonomous Policy – Remote Port Forwarding

Autonomous Policy – Remote Port Forwarding (RPF)

Autonomous Policy – Remote Port Forwarding (RPF) What is Remote Port Forwarding (RPF)? リモートポートフォワーディング（RPF）は、インターネットからの接続をCato Cloudを経由して内部LANホ ストへ転送する機能です。 この接続は、Catoの各種セキュリティサービスの保護を受けることができます。 Autonomous Remote Port Forwarding? AIおよび機械学習（ML）を活用して、RPFポリシーの推奨および改善を自動的に行うセ キュリティコンポーネント。 Why? • ヒューマンエラーの削減 • 不適切に構成されたRPFルールによるセキュリティリスクの低減 • セキュリティ管理者の作業負荷の軽減 • スケーラビリティと効率性の向上 • ファイアウォールポリシーの継続的な監査

Autonomous Policy – Remote Port Forwarding (RPF) GAP • コンプライアンスおよびベストプラクティスの監視が不十分 • RPFには、管理者がルールを最適化するための実用的なインサイトを提供する機能がない

Autonomous Policy – Remote Port Forwarding (RPF) What are we adding to RPF rules? • Autonomous RPF insights • Static RPF checks detecting: • Overly risky services exposure • Overly risky OT services exposure • Unnecessary Block RPF rules • Autonomous RPF insights detecting: • Temporary rules • Test rules • Expired and near to expired rules Expand the menu to view insights Consider the tooltip

Autonomous Policy – Remote Port Forwarding (RPF)

Autonomous Policy – Remote Port Forwarding (RPF)

Autonomous Policy – Remote Port Forwarding (RPF) Overly Risky and Permissive Services Exposure

Autonomous Policy – Remote Port Forwarding (RPF) Overly Risky and Permissive Operational Technology (OT) Services Exposure

Autonomous WAN Firewall When? • General Availability – May – 11 - 2025

Cato Autonomous Policy Wait!!! There is more to come

Autonomous Policy Internet Firewall Remediation Wizard When? • General Availability – May – 11 - 2025 | 48

Autonomous Policy – Autonomous Insights Unused Rules For Internet and WAN Firewall Autonomous Policy Contradicting Rules For Internet Firewall Autonomous Policy When? • General Availability – May – 11 - 2025 | 49

BGP for IPsec A/A – EA

Connecting Sites to the Cato Cloud - Recap Criteria Socket/vSocket IPsec Cloud Interconnect Encryption Yes Yes Private Connection Performance Up to 10 Gbps Up to 3 Gbps Up to 10 Gbps Analytics Full monitoring and visibility Partial (e.g no packet loss visibility) Partial (e.g no packet loss visibility) QoS Upstream and downstream Downstream Downstream High Availability Details Full HA – Up to 4 active tunnels, with recovery mechanisms Active/Passive – 2 different Active/Active – 3 tunnels per 2 different PoP Locations PoP Locations Read more! Search for “Connecting Sites to the Cato Cloud” | 51

Routing in Cato Today Dynamic - BGP • Supported for all site types • New これまでは、IPsecのアクティブ-アクティブ構成は サポートされていませんでした。 Static Routes • Cloud Interconnectを除くすべてのサイトタイプで サポートされています。 | 52

IPSec Sites – Single Tunnel Topology Active - Passive Tunnels to Two Different PoP Locations ASH 25 Mbps Branch NY | 53

Multiple Active Tunnels for IPSec – Static Routing 3 tunnels Branch ASH NY But what if I want to have a dynamic network environment? | 54

Multiple Active Tunnels for IPSec – Dynamic Routing ASH Branch • Active Active IPsec sites now supports BGP • Supports up to 6 tunnels per peer New NY New | 55

IPsec Active Active – Configuration Recap Site Configuration > IPsec Table for IPsec Tunnels • HAロールに属するすべてのトンネルは、同一の宛先である必要があります • 1つのロールにつき、最大6本のアクティブトンネルがサポートされます • プライマリトンネルとセカンダリトンネルは、同一のPoPロケーションに接続してはなりません Read more! Search for "Configuring IPSec IKEv2 sites" | 56

IPsec Active Active – Configuration Recap Site Configuration > IPsec • Interface ID はMonitoringページにて使用されます。 • WAN Role はQoSとNetwork RulesおよびEventsにて使用されます。 • Name はNetwork Analyticsにて使用されます。 • Public IP / Local ID はトンネルごとにユニークである必要があります。 • PSKはトンネルごとに定義される必要があります。 • Private IPs はBGPのPeeringに用いられます。 | 57

IPsec Active Active – BGP Configuration review New Site Configuration > IPsec • • BGPピアリング用のIPごとにプライベートIPを設定してください。 各プライベートIPペアは、必ず異なるIPアドレスで構成されている必要があります。 | 58

CMA - BGP Configuration Site Configuration > BGP • 各IPsecトンネルごとにBGPピアを追加してください。 | 59

CMA - BGP Configuration Primary 1 Primary 2 Secondary 1 Secondary 2 | 60

IPsec Active Active – Additional Details BGP Peering Properties: • すべてのピアは同一の設定である必要があります • 同じルートをアドバタイズ（広告）すること • 同じBGPメトリクス（例：WeightやLocal Preferenceなど）を持つこと Primary_1 tunnel BGP session (metric 100) BGP session (metric 100) Primary_2 tunnel BGP is not used for traffic distribution, but for control plane, and link error detection | 61

IPsec Active Active – Additional Details BW Management: • Upstream – By customer’s PBR • Downstream • PoPによって処理されます • 各トンネルのヘルススコアに基づいて処理されます PoP chooses downstream tunnel Primary_1 tunnel BGP session (metric 100) BGP session (metric 100) Primary_2 tunnel Peer choses upstream tunnel BGP is not used for traffic distribution, but for control plane, and link error detection | 62

Failover Explained Primary IPSec Tunnels ASH NY | 63

Failover Explained • アクティブなプライマリトンネルのうち1本がダウンした場合：リンクダウン、フェイルオーバーは発生しません ▪ XDRストーリーが生成され、サイトはDegraded（劣化）モードになります。 • BGPピアリングがダウンした場合：リンクは継続してアップ状態ですが、トラフィックは他のトンネルに迂回されます。 Primary IPSec Tunnels ASH ||64 64

Failover Explained Failover is triggered when: • All "Primary" tunnels go down • All ”Primary” BGP Peers go down Primary IPSec Tunnels ASH NY | 65

EDR integration

CrowdStrike EDR Stories in Cato XDR What is it? • CrowdStrikeとCato XDRを統合 • エンドポイントデバイスの可視性とコンテキストを提供し、インシデント調査を支援します。 Why? • ネットワークとエンドポイントのシグナルを組み合わせることで、脅威に対する完全な可視性を実現 • エンドポイントセンサーなしでは、XDRソリューションは不完全 • CrowdStrikeとの統合を追加することで、CrowdStrikeを利用しているお客様もCato XDRを 導入可能になります。

CrowdStrike EDR Stories in Cato XDR How does it work? • CrowdStrikeとのAPIコネクタを通じて、インシデントデータを取得 • CrowdStrikeの検出結果（Detections）やインシデントはイベントとして取り込まれ、 XDRストーリーに相関付けされます • CrowdStrike由来のストーリーもCato XDRプラットフォームの一部として処理され、 以下のような機能をすべて活用できます： • レスポンスポリシー • レポート生成関連ストーリーとの相関分析 • その他多様なXDR機能

CrowdStrike XDR Story

Simple Connector Configuration

CrowdStrike EDR Stories in Cato XDR

CrowdStrike EDR Stories in Cato XDR How does it work? • CrowdStrikeの各検出（Detection）は、調査に必要なすべての詳細を含むリッチなストーリーとして生成されます。 • 複数のCrowdStrike検出が同一インシデントに属する場合、それらは1つのXDRストーリーに相関付けられます。 • 検出情報にはFalconプラットフォームへのリンクが含まれており、必要に応じてCrowdStrike側での詳細な調査を進め ることが可能です。 • XDRプラットフォームでは、ユーザー情報のデータエンリッチメント（補強）を行い、可能な限りCatoユーザーと関連付け を行います。これにより、ネットワークアクティビティとエンドポイントアクティビティの相関が実現されます。 _ Crowdstrike Cato

CrowdStrike EDR Stories in Cato XDR Why should I connect my CrowdStrike into Cato XDR? • ネットワークとエンドポイントのシグナルを組み合わせることで、脅威に対する完全な可視性を実現 • すべての主要なXDRシグナルを1つのプラットフォーム（Cato XDR）上で一元管理 What value does this integration bring for Cato MDR customers? • MDRサービスは、CrowdStrikeからのエンドポイントストーリーも監視対象に含めることで、お客様にとってより重 要なログソースをカバーするようになります。 What’s coming next? • SentinelOne EDR統合 • サードパーティとCatoベースのXDRストーリー間のより深い相関分析 • サードパーティEDR（SentinelOne）による緩和アクション（Mitigation Actions）の活用 | 73