681 Views
April 27, 24
スライド概要
Catoクラウドの「Product Update April 2024」日本語資料となります。
※ ドクセルのテスト中です ※ 最近は、ゼロトラスト、特に SASE(SSE)、Catoクラウドのエバンジェリスト活動が多くなっていますが、クラウドセキュリティ(CNAPP、CSPM、xSPM)にも力をいれています。 趣味はランニングです。
Tech Update Apr 2024
Generic Device Posture Checks
Generic Device Posture Checks • Feature overview: 1. ベンダ/プロダクトのAny指定 2. 管理者またはCISOは、すべての企業ユーザーと請負業者に対して適応型アクセス制御ポリ シーを導⼊することができます 3. 以下のデバイスチェックをサポート: Anti-Malware, Firewall, Patch Management, Data Loss Prevention. • Best Practices: 1. ニーズに合った⼀般的なDevice Postureチェックを作成し、適切なプロファイルに割り当てます。 2. これは快適性をもたらすための機能であり、インストールされている製品やベンダーを予測できない デバイスを使⽤しているユーザーにのみ使⽤されるべきです。 3. 製品やベンダーが特定可能なのであれば、そのユーザーグループ専⽤のプロファイルを作成するの が常にベストプラクティスです。
Generic Device Posture Checks Check for Any Supported Anti-malware Vendor or Product Check for Supported Anti-malware by Microsoft & Any Product
Generic Device Posture Checks
New Client Releases
iOS v5.3 • Feature overview: • Device Posture機能にてDevice Certificateのチェックに対応: デバイスポ スチャプロファイル内にデバイス証明書のチェックを含めることができるようになりました。 デバイスポスチャープロファイルは、クライアント接続およびセキュリティポリシーに含める ことができます。 • New Bypass Mode for Always-On:管理者の承認を待たずにインターネッ トに⼀時的にアクセスすることが できます。ユーザはクライアントに理由を⼊⼒し、⼀ 時的に常時接続をバイパスしてクライアントを切断することができます。 • Always-On Recovery Mode: Cato Cloud への接続が利⽤できない場合 でも、ユーザーはインターネットにアクセスできます。例えば、キャプティブポータルがクラ イアントが Cato Cloud に接続できない場合でも、ユーザーはインターネットにアクセ スできます。ただし、Catoのセキュリティはバイパスされます。 • Increased Visibility of Connection Data: クライアントのStatisticページ で、Sprit TunnelポリシーとProxy Configuration ポリシーのステータスが表⽰される ようになりました。 • Bug fixes and enhancements From April 6th, 2024, the iOS Client version 5.3 will gradually be available for download from the App Store. You can download this version for testing before it is rolled out to your users here.
macOS v5.6 • Feature overview: • Device Posture Check for Disk Encryption:デバイスポスチャプロファイルにディスク 暗号化のチェックを含めることができるようになりました。デバイスポスチャプロファイルは、クライアント 接続およびセキュリティポリシーに含めることができます。 • Updated Client Tray Icon: クライアントのトレイアイコンが接続または切断のステータスを ⽰す⽅法を改善しました。 • New Indication of System Notification Status: 設定ページで、システム通知のス テータスを追加し、メッセージを改善しました。 • Bug fixes and stability improvements From March 31st, 2024, we are starting the rollout of macOS Client v5.6.
Usability enhancement in XDR Mute Stories
XDR Mute Stories – Usability Enhancement 1. XDR ストーリーからストーリーのミュートルールを 作成するプロセスを簡素化するために、ソースと 宛先の値がストーリー データに基づいて⾃動的 に⼊⼒されるようになりました。 2. ⾃動的に⼊⼒される値は次のとおりです。 1. Story Direction 2. Source and Destination values like IP Address, Domain, FQDN etc. | 10
Query API for XDR
Query API for XDR Reminder – how can XDR be consumed? 1. Cato Management Application UI 2. XDRデータのエクスポート 1. Eventsfeed 経由でAPIをクラウドストレージ (S3 または Azure) にプッシュ 2. query API経由 New Reminder: XDR Stories events are generated in the XDR Response Policy (for Eventsfeed) | 12
Query API for XDR • Cato XDR ストーリー⽤の新しいQuery API を導⼊します。これにより、フローを⾃動化 し、SIEM または他のシステムとの統合を実装できるようになります。 • Why? • この新しいQuery API により、顧客とパートナーは CMA の外部、他の SIEM、独⾃の ⾃動化フロー、および他のシステムで XDR ストーリーを利⽤できるようになります。 | 13
Comments for XDR Stories
Comments for XDR Stories Collaboration around XDR stories 1. SOCやNOCにて, 複数のチームメンバーが同じXDR Storyの調査を⾏うことが可能となり ます 2. 調査プロセスのコラボレーションと効率を向上させるために、Story上で⾏われたアクションを 伝達する⽅法が必要です | 16
Comments for XDR Stories XDR ストーリーにコメントを追加できるようになりました Why? 調査プロセスを⽂書化し、チームメンバー間のコラボレーションを強化します。 XDR Core および XDR Pro の顧客が利⽤できます。 セキュリティストーリーとネットワークストーリーの両⽅にコメントを追加できます。 | 17
Multi Language Support
Expanding Language Reach Introduction • グローバル管理者へのサービスを向上させるために、8つの新しい⾔語を Cato 管理アプリケーションに統合しました。 Why? • プロセスを合理化してユーザーエクスペリエンスを向上させます • 継続的な改善活動を通じてユーザー満⾜度を優先します。 • お客様からの洞察を重視して、当社の製品を改良し強化します。 | 19
Network XDR Indication for LAN Socket Port Status
LAN Socket Port Status Today 1. UI表⽰ 2. イベント、電⼦メール/Webhook アラートもありません Socket Web UI Cato Management Application UI | 21
LAN Host Monitor Today 1. XDR でのストーリー 2. Eventと電⼦メール/Webhook アラート の両⽅の提供 3. 特定のポートに問題があるかどうかは⽰さ れません | 22
New Story for LAN port down New: 2分半以上のLANポートダウンに関するストーリー To learn more search for “Reviewing XDR Network Stories” in our Knowledge base | 23
New Story for LAN Port Down Easily configure Responce Policyを使⽤したイベントと電⼦メール/Webhook LAN Port Down To learn more search for “Reviewing XDR Network Stories” in our Knowledge base | 24
GitHub New SaaS Security API (EA)
What do we monitor? • GitHub 組織アカウント • 複数の個⼈アカウント間のコラボレーション • 各プロジェクトのコード、ファイル、改訂履歴、コンテンツを保存するリポジトリが含まれます 監視対象のアクティビティ • Cato の API は、組織内のリポジトリにプッシュされたコミットを監視します • コネクタは、「すべてのリポジトリ」をスキャンするか、「特定の組織」をスキャンするように構成できます。 • スキャンと監視からのファイルの除外 • ファイル属性 (ファイル名または種類) に基づく セキュリティエンジン • データ保護スキャン (DLP) はコミットごとに実⾏されます • 変更のみをスキャン
Events • Event Type - Security • Sub-Type - SaaS Security API Data Protection • • • • Action – Monitor Application Activity - Push Matched Data Types – DLP Profile URL - link to the commit diff comparison
Demo
Additional Details Connecting to same Organization twice 組織ごとに単⼀のコネクタ • Enterprise アカウントには複数の組織を含めることができます • 組織は複数のコネクタを持つことはできません 必要な権限とライセンス • GitHub アカウントは、Cato Connector に次の権限を付与する必要があります: “read access to code, members, and metadata” • コネクタは、特定のライセンス要件なしでプライベート アカウントとパブリック アカウントの両⽅にインストールできます。 • SaaS Security APIには専⽤のライセンスが必要です Timeline • EA: Apr 7th • GA: Apr 20th For and additional details [email protected]
Workplace by Meta New SaaS Security API (EA)
What do we monitor? Monitored Activity • Workplace Posts, Comments,ChatをCato APIにてモニタします。 • スキャンされるオブジェクトは以下となります: o Message body - Posts, Comments, and Chats o Attachments - Posts, Comments, and Chats can also have Attachments § アタッチメントはPostsとComments (not Chats)でスキャンされます § アタッチメントはOpen Groups)のメッセージでのみスキャンされます(Closed/Secretは含まれません) Security Engine • Data Protection scan (DLP)はそれぞれのPost/Comment/Chatで実⾏されます
Events • Event Type - Security • Sub-Type - SaaS Security API Data Protection • • • • Action – Monitor Application Activity - Post/Comment/Chat/Attachment Matched Data Types – DLP Profile URL into Application Activity
Demo
Additional Details 要求される権限とライセンス • Administrator権限 が組織のWorkplace accountにて必要となります。 • Workplace アカウントは、Cato Connector に次の権限を付与する必要があります。 • Read user timeline • Read all messages • Read group membership • Read group content • Read user email • SaaS Security APIは有償ライセンスが必要となります。 Timeline • EA: Apr 7th • GA: Apr 20th For and additional details [email protected]
EPP Agent v1.1
Check for other EPPs • Generally, running more than a single EPP is bad practice • Cato EPP now checks if another EPP is installed on the device • During installation: Installation will fail • After upgrade: • Protection will stop • Error message will be shown both in CMA and in Agent
Bug fixes and improvements • Agent stop showing “New Configuration” notification • Improved detection of required dependencies • When installing the .msi, Cato EPP needs C++ redistributable • During installation, Cato EPP now checks if it exists • This is part of the .exe • If driver installation failed, try to automatically fix • Added missing fields to On-Demand event • Allow list improvements
Granular Untrusted Server Certificate Policy
Granular Untrusted Server Certificate Policy Streamlined TLS inspection deployment Why? • 独⾃/⾃⼰署名証明書を使⽤して OEM ベンダーや請負業者と連 携するケースは多くあります • これらの証明書は信頼できないとみなされます • TLSインスペクションの実装に課題をもたらすアカウントレベルのポリ シー • Either Prompt/Block any Untrusted Certificate • Alternatively, Allow any Untrusted Certificate
Granular Untrusted Server Certificate Policy Streamlined TLS inspection deployment What is added? • カスタマイズされたTLS インスペクションルールのためのルールレベルの詳細な 信頼できないサーバー証明書の設定 • Allow/Prompt/Blockをインスペクションルール毎に設定 • デフォルトの Inspect ANYルール
Socket Upgrade from CMA
Cato’s Automatic Scheduled Upgrade Process Recap • Cato は四半期ごとにSocketのメジャーバージョンをリリースします • 各アカウントには 2 時間のメンテナンスウィンドウがあり、すべてのサイトはローカルタイムゾーンに従って分割されて います。 • アップグレードプロセスの2つの段階があります。 § 5 つの「Starter」サイト - このステップは、バージョンが各アカウントで正しく動作することを確認するために⾏われます。 § 残りのサイト - 5 つの「Starter」サイトで致命的なエラーが検出されなかった場合、残りのサイトはアップグレードされます。 Starter Socket Sites 0 min Remaining Socket Sites 54 min | 42
Socket Upgrade Process Recap 1. 2. 3. 4. 5. 6. 7. アップグレードがトリガーされる SocketはCMAから新たなバージョンをダウンロードします Socket Imageの検証 (md5 checksum) ソケットイメージのインストールと切り替え(120 seconds以内のダウンタイム) is-stable タイマーによるソケットの安定性の検証(10 min) CMA は、最初のコマンドが送信されてから 17分後にアップグレードステータスを確認 CMA はイベント、電⼦メール通知、CMA 通知を⽣成します 1 2 3 4 5 6 7 To learn more search for “Understanding Cato's Managed Socket Upgrade Service” in our Knowledge base | 43
Manually Upgrading Sockets from CMA | 44 | 44
Upgrading a Socket from CMA Notes and Limitations • バージョンの選択はドロップダウンでサポートされています • ダウングレードはサポートされていません • 成功/失敗時にイベント、メールアラート、通知が⽣成されます • デフォルトおよびベストプラクティスは、最新バージョンを使⽤することです • 新しいバージョンが利⽤可能な場合にのみソケットをアップグレードできます | 45
Monitoring Manual Socket Upgrades Event, Mail Alert and CMA Notification | 46
Socket Upgrades Mechanisms Explained Cato Cloud Initiated (Recommended) CMA commanding the Socket to perform an upgrade Upgrade Command 1. アップグレード アクションは、「Cato Cloud init」というメカニ ズムでトリガーされます。 2. CMA がプロアクティブにUpgradeコマンドを送信する 3. トンネル経由で完了 Socket Initiated Mechanism After reboot, Socket sends an upgrade request Upgrade Request 1. アップグレードアクションは「Socket Init」としてのメカニズムでトリ ガーされます 2. ソケット バージョン アップグレードのリクエストを CMA に送信しま す 3. CMA が承認し、ソケットがバージョンをダウンロードしてアップグ レードを開始できるようにします。 4. ソケットがPoP へのトンネルを確⽴できないが、CMAと通信できる 場合、トンネルの外側で実⾏されます。 | 47
Best Practices • トンネルが稼働している場合は、Cato Cloud Initiated メカニズムを使⽤したアップグレードが推奨されます。 • HA:まずプライマリをアップグレードし、通知を待ってからセカンダリに進みます To learn more search for “Manually upgrading Sockets” in our Knowledge base | 48