0.9K Views
March 02, 24
スライド概要
Catoクラウドの「Product Update Feb 2024」の日本語資料となります。
※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。
Tech Update Feb 2024
Scheduled Reports GA
Scheduled Reports • Current State - Recap • • オンデマンドで作成可能な複数のタイプのレポートをサポートしています。 Whatʼs New • 毎⽇、毎週、毎⽉レポートを⽣成するようにスケジュールできるようになりました • スケジュールされたレポートは、管理者メールや外部メールを含むメーリング リストに送信できます
Scheduled Reports • レポートの確認⽅法 • ⽣成済みレポート • PDFとしてメール送信
XDR - Group Stories by source IP GA
Correlate Different Types of XDR Stories for the Same Source Group by Source IP What is it? • ストーリー ワークベンチの新しい [Group] ドロップダウンメニュー • さまざまな XDR エンジンによって作成されたストーリーを含む、ソース IP に関連するすべてのストーリーを⼀⽬で 確認できるようになりました Why? • 同じソースに対するさまざまなタイプの XDR ストーリーを相関させる • これにより、ネットワークとエンドポイントの両⽅に調査を簡単に拡張できます。 たとえば、同じホスト上で作成され た脅威対策とエンドポイント アラートのストーリーを簡単に確認できます。 |6
Correlate Different Types of XDR Stories for the Same Source Before After |7
XDR Detections Report EA
XDR Detections Report アカウントで検出されたすべての XDR セキュリティ ストーリーを確認します What is it? • 新しい XDR 検出レポートには、ストーリーが調査されたかどうかに関係なく、アカウントのすべての XDR 検出が要 約されます。 • この新しいレポートは、調査が⾏われた記事のみに焦点を当てている既存の XDR 調査レポートを補完するもの です。 • Why? • 組織内の関係者に対して、Cato XDR の包括的な脅威検出機能を強調するのに役⽴ちます。 Available XDR reports: Existing Report: XDR Investigations New Report: XDR Detections |9
XDR Detections Report アカウントで検出されたすべての XDR セキュリティ ストーリーを確認します For who? • ストーリーを調査する機会はなかったが、XDR が何を検出したかを知りたいと考えている XDR Core アカウント。 • ストーリーを調査する機会はなかったものの、XDR が何を検出したかを知りたいと考えている XDR Pro アカウント。 • アカウントに XDR セキュリティ ストーリーがある場合、このレポートにコンテンツが含まれます。 | 10
XDR Detections Report - Demo Review all the XDR Security Stories Detected for your account | 11
Socket Synthetic probes to Internet and WAN Applications Gradual Rollout
Socket Site Destinations Recap Interne t via Ca to Clou Lo ca lb re a d WAN AT&T Verizon d ato Clou Tunnel t Tunnel ko u C WAN via AT&T Verizon | 13
Socket Synthetic probes to Internet and WAN applications Now support probes via tunnel • Probe types § ICMP • Probe destinations § Internet via Internet § Internet via Tunnel § WAN via Tunnel | 14
Socket Synthetic probes to Internet and WAN applications What does this means? § インターネット/Cato 経由で アプリケーションの到達可能 性を継続的に監視します | 15
Port-level and Transport-level Metrics in Site Network Analytics Rollout § “LMM - Last Mile Monitoring” から ”Socket Synthetic Probs”へ名前を変更 § 機能は段階的に展開していきます § ソケット バージョン 20 以降のソケット (および vSocket) サイトでのみ動作します § すでにKBにドキュメントがございます | 16
Port-level and Transportlevel Metrics in Site Network Analytics Gradual Rollout
Socket Site Transport types Interne t via Ca to Clou Lo ca Int er ne tl d t AT&T Tunnel ko u Tunnel br ea Inte WAN Verizon AT&T Alt WAN Lo ca ne er t l In t o C lo u ia Cat v t e n r ou ak e br d t Verizon | 18
Port-level and Transport-level Metrics in Site Network Analytics Points to note • Physical Port POV § Traffic by Port not by Tunnel • Transport types § § § § § Cato Local Breakout Off-cloud Alt WAN LAN | 19
Port-level and Transport-level Metrics in Site Network Analytics Site > Site Analytics • Total bytes by Transport § Socket Interfaceにてフィルタ • Throughput by Transport § Socket Interfaceにてフィルタ • Throughput by Socket Interface § Transportにてフィルタ • Transport types § § § § § Cato Local Breakout Off-cloud Alt WAN LAN | 20
Port-level and Transport-level Metrics in Site Network Analytics What does this means? § Off-CloudおよびAlt WAN トラフィックの可視化と制御 § リンクのデータ量の計算 § Socket LANスループットと利⽤状況 § More… | 21
Port-level and Transport-level Metrics in Site Network Analytics Rollout § 設定不要 § 段階的なロールアウト § Socket v20以上でサポート § KB上のドキュメンテーション | 22
AI-Powered Summaries for Network XDR Stories Gradual Rollout
AI-Powered Summaries for Network XDR Stories Gradual Rollout • AI を利⽤した XDR のネットワーク ストーリーの概要で問題を迅速に理解する • 設定は不要で、すべてのアカウントで利⽤可能 | 24
XDR Report for Network Stories Gradual Rollout
XDR Report for Network Stories Gradual Rollout • XDR からすべてのネットワーク ストーリーに基づいたレポートを⽣成します § Top sites with issues § Top issues per story type category § Stories in the account over time | 26
XDR Report for Network Stories Configuration • XDR からすべてのネットワーク ストーリーに基づいたレポートを取得します | 27
Cato EPP Stories in XDR
Cato EPP Stories in XDR What is it? • Cato XDR に統合する 2 番⽬のエンドポイント プロテクション • ストーリー調査でエンドポイント デバイスの完全な可視性とコンテキストを提供します Why? • XDR ソリューションはエンドポイント センサーなしでは完成しません (ネイティブまたは統合、現在は両⽅が利⽤可能です) • この新しいストーリー タイプにより、Cato EPP の顧客はネットワークとエンドポイントの両⽅に及ぶ統合プラットフォームで脅威調 査を⾏うことができます。 | 29
Cato EPP Stories in XDR How is a story created? • Cato Endpoint Alerts ⽤の新しい XDR エンジンは EPP イベントを監視します: Cato Endpoint Alerts • EPP ストーリーは、24 時間以内に同じデバイスで発⽣したすべての EPP アラートのデータを関連付けます。 | 30
Cato EPP Stories in XDR How is a story created? • Cato Endpoint Alerts ⽤の新しい XDR エンジンは EPP イベントを監視します: Cato Endpoint Alerts • EPP ストーリーは、24 時間以内に同じデバイスで発⽣したすべての EPP アラートのデータを関連付けます | 31
Partner Quoting Tool – New Pricing
Partner Quoting Tool – New Pricing - 2024 • New pricing going live on Feb. 5th, 2024 • New quotes should use the new pricing • The Partner Quoting Tool will support the new pricing from day one (Feb 5th) | 33
Partner Quoting Tool – New Pricing - 2024 Summary • Sites: • New Site license groups • Sockets and Accessories: • New socket – X1600 LTE • Security Services: • Threat Protection (TP) to replace IPS and Anti-Malware • Cato Endpoint Protection (EPP) • Cato XDR Pro • Managed and Professional Services • Managed XDR • Managed Deployment Service Packages | 34
10 Gbps Site Throughput GA | 35
Boosting Site Performance We Now Support Site Throughput of Up to 10 Gbps 5 Gbps 10 Gbps Feb 23 X1700 Cross-connect | 36
10 Gbps Site Performance Breaking Records, Again ! Supported Site Types • X1700(B) • Cross-connect Supported PoP Locations • For now: Frankfurt, Ashburn, Tokyo, Osaka • Soon: Chicago, New York, London, Paris, Amsterdam, and more | 37
Best Practices 2 つのアクティブなポートを使⽤し、ソケットを構成する 1. アクティブな合計帯域幅をサイト ライセンスとして構成します (最⼤ 10 Gbps) § 各リンクは上り/下り 5 Gbps (5000 Mbps) に設定する必要が あります。 | 38
10 Gbps Site Throughput Q&A 1. X1700(A) モデルは 5/10 Gbps をサポートしますか? または将来サポートされる予定ですか? A: No. X1700(A) の最⼤スループットは 3 Gbps です。 2. X1700(A) を使⽤している既存の顧客がサイト ライセンスを 4、5、 または 10 Gbps にアップグレードしたい場合、Cato はソケット ハードウェアを置き換えますか? A: Yes. Cato は X1700 ソケット ハードウェアを無料で交換します。 3. IPsec はいつ 10 Gbps をサポートしますか? A: 2024年末を予定。 4.ソケット構成のベストプラクティスは何ですか? A:サイトに対して少なくとも 2 つのアクティブなリンクを構成します。 5. full duplexか? A: No.たとえば、⼀⽅向では最⼤ 10 Gbps を利⽤でき、反対⽅向では 3 Gbps に達することができます。 | 39
Full Context Enriched Events Gradual GA
The Solution – Enriched Events for Comprehensive Network Visibility より深い可視性と効果的な調査のために複数のイベント サブタイプにフィールドを追加 • Network Rule • Public Source IP (Only for traffic leaving the PoP) • TLS Inspection (Only for TCP/TLS traffic – Boolean value) • Egress PoP Name (Only for Route via / NAT flows) • Source Port Coming soon • Host MAC Address • TCP Acceleration (Only for TCP traffic – Boolean value) • Egress Site (Only for backhauling traffic) • QoS Priority • Congestion Algorithm | 41
Sample Event FTP Session Investigation | 42
Sample Event HTTP(S) Session Investigation | 43
More Information Full Context Enriched Events • 強化されたイベントは、現時点では CMA UI でのみ利⽤可能です § 他のすべてのオプションのサポートは後の段階で提供される予定です (例: EventsFeed) • 新しいイベントは古いイベントから切り離されています § データの開始⽇は 2 ⽉ 4 ⽇です (以前のクエリでは古いイベントが取得されます) § 古いイベントと新しいイベントの両⽅で構成されるクエリは、古いスキームでイベントをプルします。 New Public Source IP Network Rule TLS Inspection Egress PoP Name Source Port Host MAC Address TCP Acceleration Egress Site QoS Priority Congestion Algorithm | 44
Enhanced Automatic PoP Selection EA
The Solution- City Field in Site Creation Form ソケット サイトの PoP 選択の改善 • 新しいサイトを作成する場合の必須フィールド • 国/州を選択した後でのみ選択できます New • 国/州に応じてフィルタリング 46
More Information PoP Selection Enhancement • 「より近い」PoP がある場合でも、国が優先されます。 Marsille Paris Brussel • City フィールドは、国内に 2 つの PoP ロケーションがあるサイトに影響します。 Branch Location : Lille • City フィールドは、国内に PoP ロケーションのないサイトに影響します。 47
City Field in CMA Where? Sites > Site Configuration > General • 既存のサイトを編集する場合のオプションのフィールド • 国/州を選択した後でのみ選択できます • 国/州に応じてフィルタリング • 再接続を引き起こしません New 48
Exact Data Matching for DLP Generally Available | 49
Real-Time DLP – EDM (Exact Data Match) Improve detection accuracy with exact data match 機密データをフィンガープリンティングし 検知精度を向上させます 正確な値を検出して照 合する ハッシュされたデータを アップロードする 特定の機密データをハッ シュする (CSV)
Real-Time DLP – EDM (Exact Data Match) Improve detection accuracy with exact data match Find potential matches DLP Engine • Using REGEX, dictionaries, keywords for any PII data Verify they match actual values User uploads a file with PII to Sharepoint • Check againts the dataset of customer PII Verify they match actual values • Searches Primary key – Specific SSN from the data set Check the surrounding text for combinations • Searches Secondary key – Improve detection accuracy Indicates an exact data match | 51
Real-Time DLP – EDM (Exact Data Match) Improve detection accuracy with exact data match Pattern Matching Exact Data Match Definition 事前定義されたパターンまたはREGEX に基づいてデータを識別します 事前定義された基準とデータを照合しま す。検出には完全⼀致が必要です。 Precision 機密情報を検出し、形式の変更やわず かな変更などのバリエーションを許可しま す 特定のデータ⽂字列または値に焦点を 当てることで、⾼精度の識別を保証しま す。 Use Cases CCN、SSN、メールアドレスなどのデータ 型の識別に有効 特定の機密⽂書、知的財産、または固 有の識別⼦の保護に最適です。 | 52
Real-Time DLP – EDM (Exact Data Match) Improve detection accuracy with exact data match Data Security • 機密性の⾼い顧客データを保存しない • Sha-256 + Salt を使⽤してセキュリティを向上 • 各エントリは個別にハッシュされます • ハッシュされたデータは保存され、マッチング エンジ ンによって使⽤されます。 • データセットのハッシュ化は、PoP ではなく管理者 のブラウザーで実⾏されます。 | 53
Enforce Policies Based on User Location | 54
Single User Identity – Workflow Reminder New! Policy Based on User Location
Summary • Connection Originに基づいたポリシーの強制 o Internet Firewall o WAN Firewall o TLS Inspection • Reminder! o User Email - Return all User Events from site, remote or Cato EPP o User Display Name - Return all User Events from site, remote or Cato EPP o Filter User events on site or remote § Source is Site or SDP User
Windows SDP v5.10 | 58
End User Notifications
Today’s Behavior • それぞれのApllicationは独⾃のエラーを返す • ユーザはなぜ通信がブロックされたのか、理解できないケースが多い
Alerting the End User • ユーザにブロックアクションを通知 • ファイルアップロードのブロックなど(DLP) Cloud Optimization NG Firewall WAN Optimization Secure Web Gateway Global Route Optimization • Showing (when applicable): • Time • Application / URL • Rule Name (Violation) Advanced Threat Prevention Self-healing Architecture Flexible Management Cloud and Mobile Security • Self-service • Co-managed • Fully managed Agentless PoP Hybrid/Multi Cloud In te rn et Converged Network & Security Internet MPLS Branch IPSec Datacenter Client/Clientless SDP Mobile 61
Improvements and Enhacements • 安定性とパフォーマンスの向上 • ネットワーク変更時、再接続の⾼速化 • Trusted Network & OfficeWAN mode: Optimization ネットワーク識 Secure Web Gateway Global Route Optimization Advanced Threat Prevention 別の⾼速化 Self-healing Architecture Cloud and Mobile Security • Embedded Browserの 119.4.30 Cloud Optimization Flexible Management • Self-service • Co-managed • Fully managed Agentless Converged Network & Security PoP Hybrid/Multi Cloud In te rn et • Upgrade失敗時のUI通知の強化 • Bug fixes and improvements NG Firewall • OPSWAT OESISのバージョンアップ4.3.3896 Internet MPLS Branch IPSec Datacenter Client/Clientless SDP Mobile 62
End of Life: Device Authentication Moving to Device Posture and Client Connectivity Policy
End of Life: Device Authentication • 概要: • リモートアクセス時の特定OSのブロック • リモートアクセスのためのデバイス証明書認証 • CMAへのCAのUpload • What would change? 1. これらの機能は、Device Posture, Client Connectivity Policyにてサポート済み 2. iOS向け、デバイス証明書のチェックは次期バージョンでサポート予定 • Rollout plan: 1. ⾃動移⾏ができないアカウントは設定⼿順が通知されます 2. ⾃動移⾏ができるアカウントは予定⽇が記載された通知を受け取ります。 • Head's up: All Accounts would be enabled with Client Connectivity Policy in the upcoming months! § Improved User Experience: Device Posture, Confidence Level, Network Segmentation (read more) § Improved Visibility for User's Connectivity and Usage End of Life: April 20th, 2024
End of Life: Device Authentication • Current:
End of Life: Device Authentication • New:
End of Life: Device Authentication • Device Posture and Client Connectivity Policy: