Catoクラウド製品アップデート情報(2025年1月版)
>100 Views
March 29, 25
スライド概要
Cato Networks社 の Catoクラウドの「Product Update Jan 2025」日本語資料となります。
・Application Security - Customized Application Risk
・Firewall Rules - Hit Counter
・BGP Inbound Filters
・BGP for AWS
・Windows Client v5.13
・Clientless Application Portal(EA)
・API Lifecycle and Change Notifications
・XDR Mitigation Actions - Revoke User Sessions
・Multiple Identity Providers
・Autonomous Firewall
・Granular Tenant Control
・Improved Visibility with DNS Sinkhole
・Application Control
・Application Control via APIs
・Custom ML Classifiers
・EPP Windows v1.3
・EPP Excluding Network Drives
・Mutation API for XDR Stories
※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。
関連スライド
各ページのテキスト
Product Update Jan 2025
Application Security – Customized Application Risk
Application Security – Application Risk Application Risk? 各サービスアプリまたはクラウドアプリは、CMAで設定されたリスクスコアを 持ち、このスコアはCato Securityリサーチチームによって算出されています。 Why? • 管理者にアプリのリスクについての指標を提供し、ネットワーク内で使⽤さ れています。 • 管理者が⾼リスクのアプリの使⽤を制限または制御できるようにします。
Application Security – Application Risk GAP • リスクスコアは固定値です。 • 管理者は⾃社のポリシーに合わせてこれを変更することはできません。
Application Security – Application Customized Risk What are we adding? • アプリケーションのリスクスコアをカスタマイズする機能 • 編集履歴の追跡
Firewall Rules – Hit Counter
Firewall Rules – Hit Counter Hit Counter? FWポリシーテーブルの要素で、イベントに基づいて特定のルールがヒットした回数を表⽰します。 Why? • 管理者にルールの動作に関する洞察を提供 • ルールを削除できるか、または削除すべきかを判断する⽀援 • ルールを修正すべきかを判断する⽀援
Firewall Rules – Hit Counter GAP • 私たちは、いかなるポリシーエンジンにもヒットカウンターを提供していません。
Firewall Rules – Hit Counter What are we adding? • インターネットおよびWANファイアウォールポリシーテーブルにおけるヒットカウンター情報 • ヒット値のパーセンタイル計算 • 値は24時間ごとに更新 • 過去14⽇間の概要を提供
BGP Inbound Filters Socket v21.1
Routing in Cato Today Dynamic - BGP Static Routes • すべてのサイトタイプでサポート • クラウドインターコネクトを除くすべてのサイト タイプでサポート • BGPセッションがダウンする、または更新を 送信すると、ルートがルーティングテーブル から削除されます • Socket/IPSecトンネルがダウンしても、ルートは ルーティングテーブルから削除されません Site/BGPページで設定可能 • Site/Networksページで設定可能 • | 11
BGP in Cato Outbound – Advertise Site A Inbound - Accept Site A BGP Update NAM DC Route 1 Route 2 BGP Update NAM DC Route 1 Route 2 R1 R1 LAN Networks LAN Networks | 12
BGP Inbound Route Filters Use Case – Integrating with 3rd parties I only want to migrate 10.1.1.0/24 3rd party site Multiple Sites 10.10.1.0/24 LAN01 10.10.2.0/24 BGP 10.10.3.0/24 10.10.4.0/24 10.10.5.0/24 R1 R1 Routing Table Site A Network MPLS 10.1.1.0/24 MPLS MPLS MPLS 10.10.1.0/24 community 65000:200 65000:100 10.10.2.0/24 65000:100 10.10.3.0/24 65000:100 10.10.4.0/24 65000:100 .. 65000:100 .. 65000:100 .. 65000:100 | 13
BGP Inbound Route Filters Use Case – Integrating with 3rd parties I only want to migrate 10.1.1.0/24 3rd party site Multiple Sites 10.10.1.0/24 BGP Filter 10.10.2.0/24 Accept / Reject 10.10.3.0/24 10.10.4.0/24 10.10.5.0/24 LAN01 BGP R1 R1 Routing Table Site A Network MPLS 10.1.1.0/24 MPLS MPLS MPLS 10.10.1.0/24 community 65000:200 65000:100 10.10.2.0/24 65000:100 10.10.3.0/24 65000:100 10.10.4.0/24 65000:100 .. 65000:100 .. 65000:100 .. 65000:100 | 14
BGP Inbound Route Filters Use Case – Integrating with 3rd parties I only want to migrate 10.1.1.0/24 3rd party site Multiple Sites 10.10.1.0/24 BGP Filter 10.10.2.0/24 Accept / Reject 10.10.3.0/24 R1 R1 Routing Table 10.10.4.0/24 10.10.5.0/24 BGP Network Site A Accept 10.1.1.0/24 65000:200 Reject 10.10.1.0/24 65000:100 10.10.2.0/24 65000:100 10.10.3.0/24 65000:100 10.10.4.0/24 65000:100 MPLS 10.1.1.0/24 MPLS MPLS MPLS 10.10.1.0/24 community 65000:200 65000:100 10.10.2.0/24 65000:100 10.10.3.0/24 65000:100 10.10.4.0/24 65000:100 .. 65000:100 .. 65000:100 .. 65000:100 | 15
BGP Inbound Route Filters Use Case – Integrating with 3rd parties I only want to migrate 10.1.1.0/24 3rd party site Multiple Sites 10.10.1.0/24 BGP Filter 10.10.2.0/24 Accept / Reject 10.10.3.0/24 R1 R1 Routing Table 10.10.4.0/24 10.10.5.0/24 BGP Network Site A 10.1.1.0/24 65000:200 MPLS 10.1.1.0/24 MPLS MPLS MPLS 10.10.1.0/24 community 65000:200 65000:100 10.10.2.0/24 65000:100 10.10.3.0/24 65000:100 10.10.4.0/24 65000:100 .. 65000:100 .. 65000:100 .. 65000:100 | 16
BGP Inbound Route Filters Use Case – Integrating with 3rd parties I only want to accept 10.1.1.0/24 3rd party site Multiple Sites 10.1.1.0/24 65000:200 10.1.1.0/24 65000:200 10.1.1.0/24 65000:200 10.1.1.0/24 65000:200 10.10.1.0/24 BGP Filter 10.10.2.0/24 Accept / Reject 10.10.3.0/24 10.10.4.0/24 10.10.5.0/24 65000:200 R1 R1 Routing Table Site A 10.1.1.0/24 BGP Network MPLS 10.1.1.0/24 MPLS MPLS MPLS 10.10.1.0/24 community 65000:200 65000:100 10.10.2.0/24 65000:100 10.10.3.0/24 65000:100 10.10.4.0/24 65000:100 .. 65000:100 .. 65000:100 .. 65000:100 | 17
BGP Inbound Filters Feature Overview New Condition Match Routes BGP Action Match Community Action Accept/Drop Accept / Drop Site A BGP Update NAM DC Route 1 Route 2 R1 LAN Networks | 18
Recap Oubound Inbound | 19
BGP Route Advertise (Outbound) Options BGP Default Route Advertise Default Route 0.0.0.0/0 10.10.1.0/24 R1 10.10.2.0/24 R1 routing table Networks 10.10.4.0/24 Next MPLS Socket A MPLS MPLS MPLS 10.10.3.0/24 0.0.0.0/0 Site A 10.10.5.0/24 BGP All Routes Advertise All Routes 10.10.1.0/24 10.10.2.0/24 10.10.3.0/24 10.10.4.0/24 10.10.5.0/24 10.10.1.0/24 10.10.2.0/24 R1 R1 routing table Networks 10.10.3.0/24 10.10.4.0/24 Site A Next MPLS Socket A 10.10.1.0/24 MPLS 10.10.2.0/24 MPLS 10.10.3.0/24 MPLS 10.10.4.0/24 10.10.5.0/24 10.10.5.0/24 | 20
Recap Oubound Inbound | 21
BGP Inbound Route Filters New Inbound New New | 22
BGP Filters Configuration Flow 1. Choose Accept Policy Option Accept List Drop all, accept specific filters only | 23
BGP Filters Configuration Flow 1. Choose Accept Policy Option Accept List Drop all, accept specific filters only Drop List Accept all, drop specific filters only | 24
BGP Filters Configuration Flow 2. Configure Filters • Choose Match Crieteria § Routes § Communities • Choose Condition § Routes § Exact § Exact & Inclusive (Including GE/LE) § Communities § Exact • Enter Values § Routes § CIDRs § Communities § ‘0-65535,0-65535’ | 25
Troubleshooting BGP Filters BGP Status Button | 26
BGP Filters Configuration Flow Rotues Match Matches the exact prefix Matches all sub-prefixes | 27
BGP Filters Configuration Flow Rotues Match for a Drop List • Routes Examples Matches all sub-prefixes § 1.1.1.0/25 § Not a match, Accept § 1.1.1.0/24 § Not a match, Accept § 1.1.1.2/32 § Match, Drop § 1.1.1.0/29 § Match Drop 1.1.1.0 | 28
Demo Topology BGP Filter BGP Filter Accept / Reject Accept / Reject MPLS bgp-site-2 MPLS bgp-site-1 R1 BGP MPLS MPLS R1 BGP Networks community Networks 172.17.31.0/24 3333:3333 172.16.32.0/24 100.1.0.0/16 2222:2222 200.1.0.0/16 100.1.1.0/24 6555:100 200.1.1.0/24 111.1.1.1/32 6555:100 | 30
Demo Topology Update Update BGP Filter 172.17.31.0/24 172.16.32.0/24 Accept / Reject 100.1.0.0/16 BGP Filter Accept / Reject MPLS bgp-site-2 MPLS bgp-site-1 R1 BGP MPLS MPLS R1 BGP Networks community Networks 172.17.31.0/24 3333:3333 172.16.32.0/24 100.1.0.0/16 2222:2222 200.1.0.0/16 100.1.1.0/24 6555:100 200.1.1.0/24 111.1.1.1/32 6555:100 | 31
Demo Topology BGP Filter BGP Filter Accept / Reject Accept / Reject MPLS bgp-site-2 MPLS bgp-site-1 R1 BGP MPLS MPLS R1 BGP Networks community Networks 172.17.31.0/24 3333:3333 172.16.32.0/24 100.1.0.0/16 2222:2222 200.1.0.0/16 100.1.1.0/24 6555:100 200.1.1.0/24 111.1.1.1/32 6555:100 172.17.31.0/24 172.16.32.0/24 100.1.0.0/16 | 32
Demo | 33
Notes • この機能には最低限のSocketバージョン(21.1)が必要です • この機能は、SocketsおよびvSocketsでのみ利⽤可能です § IPsecおよびクラウドインターコネクトのサポートは今後提供予定 • BGPフィルターは最⼤500個の異なるフィルターをサポートします | 34
BGP for AWS
Recap - Connectivity Types vSocket IPSec Cloud Interconnect AWS Azure GCP Coming Soon... Oracle (OCI) Private DC (ESXi) | 36
Recap - AWS Marketplace Deployment | 37
Recap – AWS HA Architecture WAN VPC – 10.102.1.0/24 MNG VPC – 10.102.0.0/24 WAN1 WAN2 MNG MNG LAN LAN LAN Primary 10.102.2.0/24 Keep Alive LAN Secondary 10.102.3.0/24 LAN VMs Subnet – 10.102.4.0/24
Recap - BGP support in AWS • これまで、BGPはIPsecおよびクラウドインターコ ネクトでサポートされていました。 • vSocketではBGPはサポートされておらず、静 的ルートのみ使⽤可能です。 | 40
BGP with AWS New • CatoのBGPピアIPが現在構成可能になりました︕ • AWSの各サブネットでは、内部利⽤のために4つの IPアドレスがAWSによって予約されており、ユーザー リソースには割り当てられません。 Site Configurations > BGP > Add BGP Neighbor | 41
BGP for AWS - Example New WAN VPC – 10.102.1.0/24 MNG VPC – 10.102.0.0/24 WAN1 MNG WAN2 MNG LAN LAN BPG Peer 1 LAN Primary BPG Peer 2 LAN Secondary
Windows 5.13 DEM Features & Enhancements
Cato's Digital Experience Monitoring Background • 書⾯によるドキュメント - Catoナレッジベースで「DEM」を検索してください。 • トレーニングビデオ - Catoアカデミーで「DEM」を検索してください。 | 44
Cato Last Mile Background Cato Cloud ISP ISP IPsec Site Socket Site IPsec ISP Remote user Socket Router LAN LAN LAN WAN App Wi-Fi Wi-Fi Wi-Fi Office User host host Office User host host Remote User | 45
Cato Last Mile Background Cato Cloud Cato Tunnel IPsec Site Cato Tunnel ISP A ISP B ISP C ISP D WAN1 WAN2 WAN1 WAN2 IPsec Socket Site Socket ISP E Remote user Remote User | 46
Enhanced Underlay Performance Monitoring in Socket Last Mile Probe PoP IP out of tunnel • 定期的なトンネル外プローブを接続されたPoPに送信する • DEMパスをより多くのトンネル内プローブで強化する out-of-t unnel P IP robe t o PoP oP robe to P P l e n n u out-of-t IP
Enhanced Underlay Performance Monitoring in Client And Sockets Last Mile Probe PoP IP out of tunnel • アンダーレイでの⾼いパケット損失と遅延を簡単に特定する Experience Monitoring > User> Last Mile
DEM enhancement for the use of multiple devices Hostname in device hardware and Wi-Fi metrics • 複数のデバイスを持つ単⼀のユーザーが、デバイスのホスト名とWi-Fiのメトリクスを報告するようになります。 Experience Monitoring > User> Device Metrics
DEM enhancement for different LAN Gateways Multiple LAN gateways in the searched timeframe • 異なるLANゲートウェイ間を移⾏した単⼀のユーザー Experience Monitoring > User> LAN Gateway
[EA]Clientless Application Portal Native Protocols – RDP & SSH
Clientless Application Portal Native Protocols Goal: 管理者が管理外デバイスをVDI / IoT / OTに安全に接続できるようにする How? 1. 標準プロトコル(RDP/SSH)を活⽤してリモートアクセスを実現 2. 管理外デバイスを企業ネットワークへの直接接続から分離 3. ブラウザ上でネイティブな操作体験を提供 Why? ⼤企業は、機密性の⾼いプライベート資産へのアクセスを必要とする外部サービスを利⽤します。 | 52
Clientless Application Portal RDP / SSH HTTPS ZTNA User HTTPS Pop RDP/SSH Private Infrastructure Any Network Clientless Application Portal Use Cases Capabilities Contractors No Direct Connection to Private Assets Technical Support by 3rd Party Password-less Machine Login VDI-Invested Companies Clipboard Control: Copy / Paste Time-to-onboard Reduction File Transfer: Upload via SFTP | 53
Clientless Application Portal Step-by-Step Internal Host: 1. プライベートホストに静的ホストIPが割り当てられていることを確認してください。RDP/SSH Application: 2. 新しいアプリケーションを設定し、希望するプロトコルを選択します。 3. 接続パラメータを⼊⼒します(内部ホストアドレス、ポートなど)。 4. 必要に応じて認証情報を定義します。 5. 新しいアプリケーションをアクセスポリシーのルールに追加します。 | 54
Demo | 55
API Lifecycle and Change Notifications
What is Cato API Automation at Scale • Cato Cloudとの統合を効率化するための主要な⾃動化 § インターフェース構成および監視フローを⼤規模に⾃動化するために使⽤可能 • GraphQL API § RESTful APIツールおよびクライアントと完全互換 § 必要なデータを正確にクエリできる柔軟性と効率性を提供 • スキーマドキュメント § こちらで利⽤可能 • APIエンドポイント § https://api.catonetworks.com/api/v1/graphql2 | 57
API Documentation Internet Firewall Rule Example https://api.catonetworks.com/documentation | 58
API Documentation Internet Firewall Rule Example | 59
API Documentation Internet Firewall Rule Example | 60
API Documentation Internet Firewall Rule Example | 61
API Documentation Internet Firewall Rule Example | 62
API Documentation Internet Firewall Rule Example | 63
Cato API Playing and Exploring • API Playground at https://api.catonetworks.com/api/v1/graphql2 • Many useful references and open source tools at https://github.com/catonetworks • API Community at https://connect.catonetworks.com/category/api | 64
API Lifecycle Details in ”What is the Cato API” KB article API Availability Levels EA Rollout • 限定されたユーザーグルー プにフィードバック⽤として 提供 • 提供範囲は時間とともに 拡⼤ • アクセスには特別な承認や 条件が必要な場合があり ます • 安定性とパフォーマンスを 確保するための段階的な 展開 API Maturity Levels Beta GA • 完全運⽤中 • 安定しており、本番環境 で利⽤可能 • スキーマの変更がより頻繁 に⾏われる可能性あり • スキーマ変更は稀 • 変更通知期間は短く、通 常2週間程度 • 変更や廃⽌通知は最低3 か⽉前、通常は6か⽉前 に提供されます ea@catonetworks.com 1 year Pending Evaluation No Label Fully Rolled Out No Label GA | 65
Staying Tuned API News and Schema Changes • Cato API Change Log 新しいAPIおよび関連ツールに関するニュースと重要なお知らせ 現在、完全なリストではありません • Cato API Potentially Breaking ChangesとEoL Breaking Changes Require a client update Non-Breaking Changes Backward-compatible Conditional Changes May be breaking, depends on usage • フィールドの削除 • フィールドの追加 • 挙動の変更 • フィールドの名前変更 • Enum値の追加 • デフォルト値の変更 • 必須引数の追加 • 必須でない引数の追加 • nullable(null可能)なフィールドを non-nullable(null不可能)に変更 • フィールドを⾮推奨としてマーク • non-nullable(null不可能)なフィール ドをnullable(null可能)に変更 | 66
XDR Mitigation Actions – Revoke User Sessions
XDR Mitigation Actions – Revoke User Session John Snow プレイブックで推奨される調査⼿順 を確認できます。 | 68
XDR Mitigation Actions – Revoke User Session このユーザーに関するさらに多く のストーリーがあります。 John Snow John Snow Looks Like a Phishing Incident John Snow John Snow John Snow John Snow | 69
XDR Mitigation Actions – Revoke User Session このユーザーが正規のユーザでないはない可能 性があるため、ユーザーに対して緩和策を適⽤ することができます。 John Snow | 70
Revoke User Session - Demo John Snow John Snow | 71
Revoke User Session - Demo | 72
XDR Mitigation Actions – Revoke User Sessions ● Cato XDRで脅威を軽減するXDR︓ストーリーが疑わしいまたは悪意がある場合、アナリストは脅威を 封じ込め、攻撃者が組織内に拡散するのを防ぐための緩和アクションを実⾏できます。 ● アクションユーザーをCatoクライアントから切断し、再認証のためにユーザーセッションの取り消しに対応し ました。 ● この機能は、例えばフィッシング攻撃やユーザーが疑わしいまたは信⽤できないと⾒なされるすべての攻撃 タイプに有効です。
Revoke User Session - Demo ● ストーリーおよびストーリーズワークベンチに新しい「緩和(Mitigation)」ヘッダーを追加 ● 緩和アクションに関するタイムラインの更新 John Snow John Snow John Abra John Cena | 74
New Action Center ● これまでに⾏われたすべての緩和アクションを記録する新しいタブを追加 ● 今後のXDRアクションのハブとして機能(例: ターゲットをブロックリストに追加、EDR緩和アクションなど) John Snow John Cena John Abra John Snow John Cena Joan Cena Joan Cena Joan Cena | 75
XDR Mitigation Actions – Revoke User Sessions ● ユーザーセッションの取り消しコマンドが送信されると、セッションの取り消しに最⼤10分かかる場合がありま す。 ● 取り消し時にユーザーがオンラインでなかった場合、次回接続時に再認証が必要です。 ● このアクションは、プラットフォーム、認証⽅法、またはIDPに関係なく、リモートユーザーに対して実⾏可能 です。
Multiple Identity Providers
Multiple Identity Providers for Provisioning and Authentication Key Benefits • Merges and Acquisitions 両組織の従業員が既存の資格情報を引き続き使⽤できるようにすることで、移⾏を⽀援し、業務の 中断を最⼩限に抑え、⽣産性を維持します • Partner and Vendor Access 外部のパートナー、ベンダー、または契約者と協⼒する際に、複数のIDプロバイダーをサポートするこ とで、これらの外部ユーザーが⾃分の資格情報を使⽤して必要なシステムにアクセスできるようにしま す。 • Data Sovereignty and Compliance 複数の地域で活動する組織は、地域ごとのデータ主権法を遵守する必要がある場合があります。複 数のIDプロバイダーを利⽤することで、地域規制に準拠しながら、ユーザーデータを保存および管理 できます。
Configuring Multiple IDP’s
SCIM Provisioning
Provisioning • Users • UPN(ユーザー プリンシパル名)およびオブジェクトIDは、すべてのSCIMディレクトリサービス間で⼀意である必要があります。 • メールアドレスは、1つのSCIMディレクトリ内および複数のディレクトリ間で重複することが可能です • SDPライセンスの割り当ては、ユーザーのメールアドレスに基づきます。 • SDPライセンスは1⼈のユーザーにのみ割り当てられます。 • Users Groups • 同じグループ名が複数のソースからプロビジョニングされることが可能です。
Single Sign On
User Authentication
User Authentication
Authentication • すべてのユーザー認証設定は、CMAの「認証(Authentication)」セクションに統合されました • デフォルトの認証⽅法はSSO(シングルサインオン)です • デフォルトのSSOプロバイダーは、CMA管理者に使⽤されます
Multiple Identity Providers for Provisioning and Authentication Summary • 組織全体でユーザー管理の柔軟性が向上し、簡素化されます。 • 異なる企業のユーザーを簡単にオンボード可能です。 • テナント統合の際に、複雑なITプロジェクトの必要性を軽減し、シンプル化します。
Autonomous Firewall
Autonomous Firewall When And Comes Together
Autonomous Firewall Autonomous Firewall? AIと機械学習(ML)を活⽤して、ファイアウォールポリシーを⾃動的に推奨および改善する セキュリティコンポーネント Why? • ヒューマンエラーの削減 • セキュリティ管理者の負担軽減 • 拡張性と効率性 • ファイアウォールポリシーの継続的な監査
Autonomous Firewall GAP • ファイアウォールウィンドウにおいて、管理者がルールを最適化するための実⾏可能なインサイトを 提供するオプションがない • コンプライアンスおよびベストプラクティスの監視が⽋如している
Autonomous Firewall | 91
Granular Tenant Control GA January 19th
The Need for Tenant Control Addressing Security Concerns in Multi-Tenant Applications Why? • 管理者は、どのテナントが使⽤されているかの可視性と制御を⽋いている • これにより以下の問題が発⽣する可能性があります︓ • • • 機密および分類されたデータが企業テナントから⾮企業テナントへ転送される 攻撃者が正規のクラウドアプリをC2サーバーとして利⽤する 企業ポリシーおよび規制要件に関するコンプライアンス問題 user@private.com CASB user@catonetworks.com
What is Header Injection for Tenant Control? Modifying HTTP headers to enforce tenant restrictions How? • ヘッダーインジェクションポリシー テナントレベルでアクセス制御を強化するために、HTTPヘッダーを追加また は変更します。 • • 許可されたテナントを⽰すヘッダーを挿⼊することで、不正なテナントをブロック またはリダイレクトします。 ユーザーグループ、サイト、アプリケーションに基づくきめ細やかな制御をサポー トします。
Enhanced Header Injection Policy Granular Access Control with Flexible Policy Rules What? • 管理者がヘッダーインジェクションポリシーを使⽤してテナントアクセスを詳細に制御 可能 • テナントレベルでクラウドアプリケーションへのアクセスを制御 • 承認された企業テナントのみがアクセス可能であることを保証 • ユーザーグループ、特定のサイト、またはデバイスの状態に基づいてポリシーを 適⽤
Enhanced Header Injection Policy Granular Access Control with Flexible Policy Rules Key Benefits • • • セキュリティの強化︓ 承認されたテナントのみが特定のリソースにアクセスできるようにすることで、不正アクセスのリスクを⼤幅に軽減します。 条件付きアクセス︓ ユーザー、デバイス属性、または特定のサイトに基づいてアクセスを許可またはブロックします。 カスタムルール︓ 管理者は、さまざまな部⾨や地理的ロケーションに合わせた特定のルールを作成できます。
Improved Visibility with DNS Sinkhole GA January 12th
Why DNS Sinkhole Matters? Main Pain Points Why? • 感染したデバイスが悪意のあるドメインへの接続を試みている場合、それを特定し隔離する 悪意のあるドメインへの外向きDNSリクエストを⾏う感染デバ イスに対する可視性が限定されている インシデント調査中に、DNSクエリを特定の送信元デバイスと 関連付けることが困難である 既存のDNS保護は脅威をブロックしますが、侵害されたエン ドポイントに関する⼗分な可視性を提供していません
What is DNS Sinkhole? Understanding DNS Sinkhole What? • DNSシンクホールDNSシンクホールは、既知の悪意のあるドメインへのDNSリクエストを遮断する防御⼿法です。 • リクエストを悪意のあるIPアドレスに解決する代わりに、「シンクホール」IPアドレスに解決します。 これにより、デバイスが悪意のある⽬的地に到達するのを防ぎます。 • シンクホールIPを利⽤することで、悪意のあるエンティティと通信しようとする感染デバイスを追跡できます。 DNS query for evilwebsite.com DNS Protection User uses the Sinkhole IP and blocked Sinkhole false IP Address returned
What is DNS Sinkhole? Understanding DNS Sinkhole How? •DNSシンクホールの仕組み悪意のあるドメインへのリクエストを遮断し、 シンクホールIPにリダイレクトします。 •リクエストイベントは、送信元IP、時刻、ドメインなどの関連詳細と共に ログに記録されます。 •この可視性により、管理者は外向きのDNSクエリを特定のエンドポイン トと関連付け、迅速なインシデント対応を可能にします。 •シンクホールは接続をブロックするだけでなく、通常は⾒過ごされがちな 感染デバイスを検出するのにも役⽴ちます。
DNS Sinkhole Capability Improved Visibility What? Action in DNS Protection: • シンクホールアクションは、DNS保護ルール(保護ごとに設定可能)で 有効化することができます。 Enhanced Visibility: • シンクホール機能の特徴DNSシンクホールが有効化されたルールにおいて、 イベント内で送信元IPアドレスを取得して公開します。 • 2つのイベントが⽣成されます。 • 管理者は感染したエンドポイントを簡単に特定および監視することができます。
Application Control Enhanced Cloud Activities Dashboard
Cloud Security is in Perfect Storm Remote User Office user Remote User Unmanaged
Cloud Security is in Perfect Storm SaaS Chaos Data Ubiquity 可視性の⽋如 どのアプリが誰によってアクセスされているのか把握で きない IT部⾨の監視がないままSaaSアプリが増加する 制御の制限 多様なアプリケーションを通じて機密データがアッ プロード/ダウンロードされる場所を管理する能⼒ が限定的
CISO Concerns Bulk operations by the same User Ensure regulatory compliance ? Revoke access when employees leave Shadow IT/AI Apps Prevent downloading malicious files ? What SaaS Apps do we use Sign of abnormal User behavior ? Who’s accessing what Block sensitive data uploads Control SaaS on BYOD
New Cloud Activities Dashboard CASBおよびIDP APIからの統合インサイト SaaSアプリの利⽤状況 / SaaSアプリにアクセスしているユーザー / Activities / File / SSOサインインこれらを⼀元的に可視化します。 New
Q&A • What license do I need for the Cloud Activities Dashboard? • CASB license - allows App Control Inline & App Control API with Audit Activities • What if I already have App Control Inline configured • 統合ビューにより、SaaS Appsの利⽤状況、SaaS AppsにアクセスするUsers、Activities、 Files、SSOサインインが可視化されます。 • What is the timeline? • Gradually - Jan 2025
Application Control via APIs Out of Band Audit Activities
Application Control – Today’s Offering App Control by Inline Inspection Sanctioned & Shadow IT Apps Onboard with a toggle CASB Office user Remote User
Cloud Activities with Unified CASB New App Control by API Monitoring App Control by Inline Inspection Sanctioned Apps Onboard with API Connector Sanctioned & Shadow IT Apps Onboard with a toggle ⾮管理ユーザーも対象 Catoへの接続が必須 CASB TLSi不要 TLSi必須 すべてのアクティビティを記録 アプリごとのアクティビティ数 Remote User Unmanaged Office user Remote User 完全な統合CASBソリューションには、 インラインとAPIの両⽅が必要
APIs as a Platform: A Glance Under the Hood APIs Platform Postman: • Cato APIs Platform: APIのテストおよび操作を⾏うためのツール Postman-Collection: • 関連するリクエストを1つのセットにまとめたHTTPリクエスト • 「コンテンツ」はセキュリティリサーチチームによって作成されます Apps ‘Content’ • SaaS Appsテナントに接続 • 定期的に「コンテンツ」やPostman-Collectionを実⾏ • 取得した情報をCato Eventsにマッピング Platform Separating ‘Content’ from the Platform è Faster integrations of new SaaS Apps
Q&A • What are the first supported SaaS Apps? OneDrive SharePoint Exchange Jira Confluence • What license do I need for the Cloud Activities Dashboard? • CASB license - allows App Control Inline & Audit Activities via APIs) • What is the timeline? • Gradually - Jan 2025
Custom ML Classifiers
Machine Learning Data Classifiers Use Case バージョンごとに構造や内容が⼤きく異なる場合でも、機密データを保護する必要があるが・・・ èパターンマッチング(正規表現、キーワード、またはラベル)による分類は⾮常に難しい Legal Document HR Letter
Machine Learning Data Classifiers – Out Of The Box 正確な表現や形式が変化しても、⽂脈的または構造的に類似したコンテンツを検出する How does it work? • Catoアップロードサンプル • MLトレーニングステージ • ファイル分析および特徴を抽出(例︓トピック、表現、構造、関係性) • 特徴をベクトルに変換 èファイルがベクトルの類似性に基づいて⼀致するかを判定 More accurate and less false positives No need for complex rules
Machine Learning Data Classifiers – User Defined Use Case しかし、機密コンテンツが顧客専有のものである場合はどうなりますか︖ Solution è Customize your own ML Data Classifier • サンプルファイルをアップロードします • CatoがあなたのためにMLデータタイプを作成します • DLPポリシーでデータタイプを使⽤します Example: ‘Cato New Won’ Email
Machine Learning Data Classifiers – User Defined User-Defined ML Data Classifier: • ファイル内のテキストのみが処理対象 • ファイル内のテキストのみを処理し、画像や動画は無視されます • 英語のみ対応 • データタイプごとに最⼤10ファイルを受け⼊れ可能 • テキストベースのファイル形式に対応(例: .doc, .pdf, .txt) • ファイルサイズ: 最⼩1KBから最⼤20MB • Catoによるデータの保存は⾏われず、トレーニング後にファイルは破棄されます GA Date: Jan 27th (Included for all DLP Customers)
EPP Windows v1.3 Improved Supportability
EPP Errors Visibility | 122
EPP Errors in Cato Management Application
EPP Errors – New in v1.3
EPP Agent Errors EPP is running in the background, no GUI required So they don’t even know they have an error NEW: Self Healing EPP Agent can recover from errors autonomously
EPP Agent Errors NEW: Self Healing EPP Agent can recover from errors autonomously • EPPエージェントはエラー解決を継続的に試みます • 通常、1回の試⾏でエラーは解決されます • 2分後、次に4分後、8分後と繰り返します • 最終的に2時間ごとに試⾏します
EPP: Excluding Network Drives
Reminder: EPP Profiles & Exclusions • EPP Profiles can be used in different EPP Policies and assigned to different sources
Reminder: EPP Profiles & Exclusions • Exclusions (Allow List) can be set for: File, Folder, Hash, File type • Global: Allow list applies to sources regardless of their profile
Mutation API for XDR Stories
Mutation API for XDR Reminder – how can XDR be consumed? 1. Cato Management Application UI 2. Exporting XDR data 1. Via Eventsfeed push API to cloud storage (S3 or Azure) 2. Via query API But how can we save time on manual work processes and automatically modify XDR Stories? Reminder: XDR Stories events are generated in the XDR Response Policy (for Eventsfeed) | 131
Introducing Mutation API for XDR Cato XDRストーリー向けに新しいMutation APIを導⼊します。このAPIにより、ワークフローを⾃動化して時間を節約 • できます。APIを使⽤して、Story verdictsの設定、statusの変更、コメントの追加が可能です。 Why? • • 顧客やパートナーは時々CMA外でXDRストーリーを利⽤し、トリアージプロセスを⾃動化したいと考えています。 | 132
Mutation API for XDR – Use Case 1 Automated Story Triage and Prioritization 顧客は、事前定義された基準や⾃動分析ツールに基づいてトリアージプロセスを⾃動化できます。 たとえば、PhishingやRansomware検出のような⾼優先度のIndicationsに基づいてストーリーが作成さ れた場合、顧客のMutation APIが⾃動的にそのストーリーのStatusを「Pending Analysis」に設定し、 即時対応が必要であることを⽰すことができます。 Value: • 優先順位付けにおける⼿動介⼊を削減します。 • ⾼重要度のストーリーへの対応を迅速化します。 API | 133
Mutation API for XDR – Use Case 2 MSSP Story Verdict and Comments Automation 複数の顧客を担当するパートナーは、XDR Mutation APIを活⽤して、⾃動分析ツールやワークフローまたはシステ ム内での⼈による判断に基づき、Cato XDR内でstory verdicts(例: 「Malicious」「Benign」)を更新し、コ メントを追加することができます。 Value: • クライアント向けのトリアージおよび対応を迅速化します。 • ⼀貫性のあるレポート作成のためにインシデントの分類を⾃動化します。 API | 134
Mutation API for XDR – Demo API Key Commented
Cato SASE. Ready for Whatever’s Next. Thank You