この記事では、カトクラウド内のさまざまなセキュリティエンジンがトラフィックフロー内のフルパスURLデータをどのように処理するかを説明しています。
HTTPプロトコルのリクエストは、インターネットファイアウォールポリシーに使用されるファイアウォールエンジンと、アプリケーション制御ポリシーに使用されるアプリ制御エンジンによって異なって処理されます。 カトプラットフォームには複数のサードパーティエンジンが含まれており、トラフィックフローを同時に分析および処理します。このため、特定のフローからフルパスURLなどのデータをどのように抽出してイベントにログされるかを理解するのが難しい場合があります。
カトのセキュリティエンジンについての詳細は、Cato SPACEアーキテクチャによるパケットフローの理解を参照してください。
URLはトラフィックフロー内の各HTTPプロトコルのリクエストごとに変わることが多い属性です。 ファイアウォールエンジンは、セキュリティとパフォーマンスのバランスを取るために設計されており、フロー内で発生するすべてのHTTPプロトコルのリクエストを検査しません。 これにより、インターネットファイアウォールイベントのフルパスURLデータが誤解を招く可能性があります。 一方、アプリ制御エンジンは各HTTPプロトコルのリクエストをセッションごとに検査し、フルパスURLのデータをログします。
CASBサービスを利用している顧客の場合、アプリセキュリティトラフィックイベントには関連するクラウドアプリのためにフルパスURLのデータが含まれます。これは、アプリ制御エンジンがそのデータを抽出したためです。 アプリ制御エンジンとファイアウォールエンジンの主な違いは、HTTPプロトコルのリクエストが検査される頻度です。
アプリ制御エンジンとファイアウォールエンジンのメインの違いは、HTTPプロトコルリクエストが検査される頻度です:
-
アプリ制御エンジン:
-
アプリケーション制御ポリシー(CASB)では、トラフィックフローとともにすべてのHTTPプロトコルのリクエストを検査します
-
イベントのためのフローのフルパスURLフィールドをログに記録します
-
-
ファイアウォールエンジン:
-
インターネットファイアウォールポリシーの場合、トラフィックフロー内の最初のHTTPプロトコルリクエストを検査します
-
イベントのフローのフルパスURLフィールドのログインに対する不一致な動作
-
ベストプラクティス: イベントでフローのフルパスURLデータを一貫してログインしたい場合は、アプリケーション制御ポリシーを使用して、次の設定で関連トラフィックのイベントを記録します:
-
アプリケーション - 任意のクラウドアプリケーション
-
基準 - 任意の詳細アクティビティ
0件のコメント
記事コメントは受け付けていません。