コンテナとカスタムIoCリストの統合

この記事では、コンテナオブジェクトを使用して、カスタムIoCリストをCato Securityサービスと統合する方法について説明します。

概要

組織の業種または所在地の特定の要件を満たすために、Cato アカウントの脅威インテリジェンスにカスタム IoCリストを追加できます。 IoCリストは、コンテナを使用して構成されます。コンテナはユーザー定義のカテゴリであり、IPアドレスやFQDNなど、アイテムのグループを管理するのに役立ちます。 例として、組織のSOCセンターによって識別された、またはサードパーティの脅威インテリジェンスサービスによって提供された悪意のあるIPアドレスのリストを含むコンテナを作成します。

管理アプリケーション内でまたは自動化されたAPIプロセスを通じて、IoCリストを使用したコンテナを直接設定し、その後、コンテナをインターネットファイアウォールルールに含めることができます。 コンテナのAPIについての詳細は、Cato Networks GraphQL API リファレンスを参照してください。

コンテナには様々な種類があり、それぞれの種類は単一のデータタイプのみを含むことができます。 以下はコンテナの種類です:

  • IP - 単一のIPアドレス、サブネットマスク(ドットデシマルまたはCIDR表記)、およびIP範囲を含むことができます

  • FQDN - 例えば、www.shop.example.comのような完全修飾ドメイン名

以下は、コンテナを使用してカスタムIoCを統合するための例です:

  1. IoCとして識別されたIPを含むコンテナを設定します。

  2. アプリ/カテゴリフィールドで設定されたコンテナを使用してインターネットファイアウォールルールを作成し、ブロックアクションでルールを設定します。

  3. コンテナを最新の状態に保つには、新しいIoCリストをコンテナにアップロードします。 コンテナを更新すると、ファイアウォールルールは自動的に新しいIoCを強制します。

コンテナの使用

カテゴリページでコンテナを作成する方法:

  • URLからファイルを同期する

  • コンテナ用のデータを含んだソースファイルをアップロードする

  • アイテムを手動で追加する

コンテナを作成すると、コンテナタブのテーブルに表示されます。 コンテナ内の値を更新するために、新しいソースファイルをアップロードするか、手動でコンテナを編集できます。

URLからIoCを同期する

Ioc.png

IoCをURLから直接アップロードでき、外部の脅威インテリジェンスフィードや頻繁に更新されるインジケーターリストを自動的に取り込むことができます。 通常の自動更新により、迅速な脅威対応時間が可能になり、人的エラーを減らして正確性を確保します。 これらのIoCが同期する頻度を毎時または毎日で設定できます。

同期が失敗した場合、15分以内に自動で3回再試行され、通知が送信されます。 その後、次の1時間内に最大7回追加の試行が続けられます。 メンバー列のコンテナテーブルで表示されたインジケーターを使用して、現在の同期ステータスを確認できます。

Sync_sucessful.png

コンテナテーブルで関連するコンテナの横にある3つのドットを選択し、今すぐ同期するをクリックすることで、URLから手動で同期をトリガーすることもできます。

ファイルからIoCをアップロードする

Container_-_新しい.png

ファイルからIoCをアップロードして、IoCのコンテナを一括で作成できます。 コンテナはFQDNまたはIPの種類にすることができます。 IPコンテナには、単一のIPアドレス、サブネットマスク(ドットデシマルまたはCIDR表記)、またはIP範囲のリストを含むことができます。

コンテナソースファイルの要件

  • コンテナのソースファイルは、以下のフォーマットのいずれかでなければなりません:

    • 値が以下のデリミタで区切られているTXTファイル:

      • カンマ

      • スペース

      • 改行

    • ヘッダーのない列Aにリストされた値を持つCSVファイル

    • STIX形式のJSONファイル

  • ソースファイルは最低1つの値と最大100万の値を含む必要があります

  • FQDNコンテナの場合、アルファベットまたは数字のみがサポートされ、特殊文字はサポートされません

コンテナの作成

ファイル、URL、または手動でIoCを含むコンテナを作成します。

コンテナを作成するには:

  1. ナビゲーションパネルからリソース > カテゴリを選択し、コンテナタブを展開します。

  2. 新規 をクリックします。 新しいコンテナパネルが開きます。

  3. コンテナの表示名を入力してください。

  4. コンテナの種類を選択します。 考えられる値: FQDN, IP

  5. コンテナ用の説明を入力します。

  6. 以下の方法でコンテナソースを選択します:

    • ファイルをアップロードする

      • ファイルタイプ(CSVまたはSTIX)を選択し、ファイルをドラッグアンドドロップしてファイルアップローダーに追加するか、ブラウズをクリックします。

    • URLからファイルを同期する

      • ファイルタイプ(CSVまたはSTIX)を選択し、URLを追加して同期するファイルの間隔を選択します。

        注意: コンテナを保存する前にコンテナをテストするをクリックしてください

    • アイテムを手動で追加する

  7. トラッキングオプションを選択します。 詳細情報は、アラートを参照してください。

  8. 保存をクリックしてください。 コンテナは作成され、コンテナテーブルに表示されます。

コンテナの更新

新しいソースファイルをアップロードするか、手動で変更を加えることで、コンテナ内の値を更新します。 新しいソースファイルをアップロードすると、既存のファイルが置き換えられ、新しいソースファイルの値のみがコンテナに含まれるようになります。

コンテナを更新するには:

  1. ナビゲーションパネルからリソース > カテゴリを選択し、コンテナタブを展開します。

  2. コンテナの行で、edit_rule.png をクリックします。 コンテナを編集パネルが開きます。

  3. ソースの下で、コンテナに含める値を持つファイルをドラッグ&ドロップするか参照してアップロードするか、手動で変更します。

  4. 保存をクリックしてください。 コンテナが更新され、新しいソースファイルの値を含んでいます。

インターネットファイアウォールルールでのコンテナの使用

インターネットファイアウォールルールのアプリ/カテゴリフィールドでコンテナを設定します。 コンテナの種類を選択し、次に規則に含める特定のコンテナを選択します。 ルール内で同じタイプの複数のコンテナを設定できます。

コンテナ_-_FW_ルール.png

インターネットファイアウォールルールでコンテナを設定するには:

  1. ナビゲーションメニューから、セキュリティ > インターネットファイアウォールを選択します。

    インターネットファイアウォールページは、既存の未公開の改訂版、または最新の公開済みの改訂版に開かれます。

  2. 新規作成をクリックしてください。

  3. アプリ/カテゴリの下でFQDNコンテナまたはIPコンテナのいずれかを選択します。

  4. ドロップダウンメニューから1つ以上のコンテナを選択します。

  5. ルールの他の項目を設定して、ルールを保存します。 インターネットファイアウォールルールの設定に関する詳しい情報は、管理インターネットファイアウォールポリシーを参照してください。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント