357 Views
May 30, 24
スライド概要
Catoクラウドの「Product Update May 2024」日本語資料となります。
※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。
Product Update May 2024
Adaptive API Rate-Limiting for Partners
API Rate Limiting How is API Access limited today? • Cato APIは顧客アカウントごとに最⼩API call数制限を提供します • 制限は、特定のアカウントのすべての API キーによるアクセスに基づいて適⽤されます • KB記事“Understanding Cato API Rate Limiting”を参照 Current Limits Scope API Calls Limit All APIs unless stated otherwise 120/minute accountMetrics 15/minute accountMetrics 10/second auditFeed 5/minute entityLookup 30/minute and 1500/5 hours eventsFeed 100/minute
API Access for Partners パートナー API アクセスの特別な点 • パートナーは複数の管理対象アカウントへアクセスする必要がある • パートナーはダッシュボードや統合を管理対象アカウントへ提供している場合がある パートナーが直⾯している課題は何ですか? • パートナーアカウントで⽣成された API キーを使⽤する場合、パートナーに対し単⼀アカウントの制限が適⽤されます 変更点 • パートナーAPI キーを使⽤した API アクセスがターゲット (顧客) アカウントごとにカウントされるようになりました • これにより、パートナー アカウントに適応的なレート制限が適⽤され、管理対象アカウントの数に応じて増加します。 • パートナーはレート制限に早期に達することなく⾃動化および統合フローを作成できます x10 Accounts x10 Rate Limit
Using XDR Query API to create custom dashboards and automation flows
Query API for XDR Reminder – XDRはどの様に利⽤できるか 1. Cato CMA 2. XDRデータのエクスポート 1. Eventsfeed push API to cloud storage (S3 or Azure) 2. XDR API QueriesNew XDR API Queriでは何ができるのか Reminder: XDR Stories events are generated in the XDR Response Policy (for Eventsfeed) |6
Cato XDR stories in Splunk • Splunk との簡単な統合: § json_no_timestamp, "updatedAt" time § "last." timeframeでスクリプトを呼び出すScheduled inputを設定 § オフィシャルな統合はまだだが、ダッシュボードは簡単に実装可能: |7
EPP Remote Uninstall & Delete
Recap – EPP Actions • 保護されたエンドポイントのページからアクションをトリガーできる • アクションはエージェントに送信され、エージェントがオンラインになるとすぐに実⾏されます
Remote Delete and Uninstall • Uninstall • • • • エージェントにUninstallコマンドを送信 Use case: サポート対応等 再インストールしても、同じ構成 version 1.1以降で対応 • Remove Endpoint • 対象アカウントからEndpointを削除 • エージェントはまだホストにインストールされてい ます • プロテクション、Anti-Tamperは無効 • Remove & Uninstall • 上記すべて
Control Client Notifications from CMA
Recap - Todayʼs Behavior • アプリケーション毎に独⾃のエラー • ⼀般的にユーザはなぜエラーに⾄ったのか確認ができない
Recap - Alerting the End User • ユーザーにブロックされたアクションに関する情報を提供 する • file upload block (DLP)など • 表⽰内容 (when applicable): • Time • Application / URL • Rule Name (Violation)
Enabling in Cato Management Application • Client Access内に新たなチェックボックスを実装 • デフォルトはOFF
Enhancements to Cloud Activities Dashboard
Cloud Activity Dashboard Sanctioned SaaSに対するsign-inアクティビ ティと insightsの提供 è ライセンスを必要としない可能性のある、あま り使⽤されていないアプリを特定する è 不正なアクセスの試みを検出 è 場所ごとにアプリの使⽤状況を分析 è 潜在的な脅威を⽰す異常なサインイン Microsoft Entra ID For sign-in Users activities Microsoft Entra ID Protection For sign-in anomalies ライセンス不要 | 16
Visibility into SaaS App Access Type Access type is connected to Cato è インラインセキュリティ検査 Access type is not connected to Cato (ʻOutside Catoʼ) è セキュリティ検査なし Admin options can include: • 外部アクセスを許可するかどうかを決定する • SaaS セキュリティ API の構成 • always-on有効化 • SaaS アプリ側で ACL を構成 | 17
Highlight Main Info Failed Sign-in 失敗したサインイン試⾏の総数 Sanctioned Apps Accessed Outside Cato Cato に接続せずにアクセスされたアプリケーションの総数 Anomalies Anomalyの総数 | 18
SaaS Security APIs – Data Protection includes OCR, ML models, EDM
SaaS Security APIs – new Data Classifiers • advanced Data Classifiersのサポート • OCR (Optical Character Recognition) • EDM (Exact Data Match) • ML Data Classifiers App/Service DLP File Control Threat Prevention (AM) OneDrive SharePoint Exchange Google Drive Gmail Slack Box Dropbox Salesforce ServiceNow GitHub Workplace Meta Supported Integrations | 20
Related Stories View
New Related Stories view • 新しい関連ストーリー ビューにより、XDR 調査のためのより適切なコンテキストが提供されます : アナリストの効率を向上させるために、ストーリーのドリルダウンページに新しいビューを追加しました。 • このビューにより、アナリストは類似のストーリーや同じソースのストーリー、およびそれらの両⽅のス トーリーグループの重要な詳細を迅速にレビューできます。 | 22
25 17
Dynamic PoP Selection for IPsec
IPsec Deployments Today, Using Static IPs Recap 3 2 1. TunnelのためのPoPロケーションを選択 2. 静的IPアドレスの割当 3. 静的IPアドレスをIPsec tunnelのCato IPとして設定 4. Firewall Initiation:ピアは Cato PoP IP へトンネルを開始します Where is the closest PoP to my IPsec site? 1 .. . 4 IPsec Init IPsec IKEv2 FW initiates the connection
Dynamic PoP Selection for IPsec 1 New Flow 1. CMA Configuration:宛先を FQDN になるように構成 § 2. 3. Cato はトンネルの FQDN を⾃動的に⽣成します DNS Mechanism (Behind the scenes - Seamless) § DNS Request:トンネルの宛先として FQDN を使⽤ § DNS Response: Cato Cloudは、選択された PoP ロケーションの動的パブリック IP で解決されます Firewall Initiation of the tunnel:リモート ピアは解決された IP を使⽤ し、IPsec tunnelを開始します 3 DNS res: AMS IP 4 IPsec Init 2 DNS query: FQDN_A IPsec IKEv2 FW initiates the connection
Dynamic PoP Selection for IPsec IPsec トンネルの宛先としての FQDN のサポート New mxqlfjnw1p.ipsec.catonetworks.net IPsec IKEv2 FW initiates the connection | 27
Dynamic PoP Selection for IPsec Leveraging IPsec FQDN Mechanism Connecting to the ideal PoP location 理想的なPoPロケーションへの接続 Simplified IPsec Deployment PoPの場所とIPは動的に選択され割り当てられるため、展 開とプロビジョニングのプロセスが簡素化されます。 mxqlfjnw1p.ipsec.catonetworks.net IPsec IKEv2 FW initiates the connection | 28
Configuring Dynamic PoP Selection for IPsec Site Configuration > IPsec 新たな設定項⽬“Destination Type” PoPロケーションの選択 • IPv4 (Static Allocated IPs) • デフォルトはAutomatic • FQDN ( “Responder Only”でサポート – FW init only) • PoPロケーションの上書き設定が可能 Supported for IPsec IKEv2 only | 29
Dynamic PoP Selection for IPsec Site Configuration > IPsec • FQDNはCatoにより⾃動⽣成 • Primary / Secondaryトンネル毎にユニークな設定が可能 Primary Secondary Secondary | 30
Dynamic PoP Selection for IPsec Best Practices and More Information • 理想的には2つの異なるPoPロケーションに、サイトごとに2つのIPsecトンネルを設定 • ⾃動メカニズムは、2つの異なるPoPロケーションを割り当て Ø 最適な場所がプライマリ・トンネルに選ばれる Ø セカンダリー・トンネルには2番⽬に良い場所が選ばれる • CMA を設定した後、トンネルを開始する前に 3 分間待つ必要あり • ダウンタイムがあるため、メンテナンスウィンドウ中に固定IPv4からFQDNに変更 Ash NY Secondary FQDN Primary FQDN Read more! Search in our KB for “Configuring IPsec IKEv2” IPsec IKEv2 Site location: Ashburn | 31
IPsec IKEv2 Site Provisioning API Add/Update/Remove
IPsec IKEv2 Site Provisioning API APIを使⽤した⼤規模なデプロイメントと設定変更の⾃動化 Cato API Automating deployments Updating configuration Socket Sites, IPsec Sites Socket Site, IPsec Sites New New | 33
IPsec IKEv2 Site Provisioning API New API - addIpsecIkeV2Site
IPsec IKEv2 Site Provisioning API New API - updateIpsecIkeV2SiteGeneralDetails
IPsec IKEv2 Site Provisioning API New API - updateIpsecIkeV2SiteTunnels
IPsec IKEv2 Site Provisioning API Documentation and code samples • Cato Knowledge Base § Sample scripts in the Knowledge Base § Search for “configuration API scripts” and “Using the Cato Site Creation API with Postman” • API Documentation § https://api.catonetworks.com/documentation/
Enhanced Socket Connection SLA
Socket Connection SLA Recap • SocketによるTunnelの品質の常時監視 § Packet loss, latency • ソケットは、SLA違反に対してアクションを実⾏ § Link failover, PoP change • Catoは“Smart SLA”を定義しカスタマイズも提供します § Account level setting § Site level override Socket Site ||39 39
Socket Connection SLA Recap Time Window Quality Parameters Socket Site ||40 40
Connection SLA Mechanism Today Identifies Consistent, Continual Packet Loss (and Latency) すべての時間枠を通じてしきい値を超過 Packet-loss SLA 違反 Time SLA Configuration: 10% packet loss of a 120 seconds time window | 41
Connection SLA Mechanism Today Ignores Inconsistent Packet Loss Issues ほとんどの時間帯で閾値を超える Packet-loss SLA許容内 Time SLA Configuration: 10% packet loss of a 120 seconds time window | 42
New Connection SLA Mechanism Time Windowに対するパーセンテージをコントロールするオプションの追加 時間ウィンドウのX%の間しきい値を超過する Packet-loss SLA違反 Time 10% packet loss of X% of a 120 seconds time window New | 43
Enhanced Socket Connection SLA New Granularity to Control Connection SLA Time Window New Suported for Socket v20 onwards | 44
Enhanced Socket Connection SLA 接続 SLA 時間ウィンドウを制御するための新しい粒度 • スマート SLA を使⽤するサイトのデフォルトを変更しました • カスタマイズされた SLA を持つサイトで変更はありません。新たに時間枠の % を設定できるようになりまし た。 Current Smart SLA Evaluation period: 10 min Packet loss: 10% Latency: 300 ms % of the time window: 100% (hard coded) New Smart SLA Evaluation period : 10 min Packet loss: 10% Latency: 300 ms % of the time window: 50% Socket v20以降でサポート 45
Socket Unacceptable SLA Take Action Upon SLA Issues Cato XDR Read more! Search for “Link Quality SLA Issue – Network Playbook” in our KB | 46