この記事では、XOpsストーリーにおける脅威を軽減する方法について説明します。
XOps ストーリーには、特定のユーザーやターゲット(IPアドレスやFQDNなど)からの疑わしい活動が含まれることがよくあります。 例として、ユーザーのリモートセッションが侵害されたり、デバイスがフィッシングと疑われるドメインと通信したりすることがあります。 ストーリー作業台のストーリー概要ページでは、次の方法で両方のタイプの脅威を効果的に緩和できます。
-
ユーザーセッションの取り消し: ストーリーから直接ユーザーのセッションを取り消すことができます。 これは、ユーザーをログアウトさせ、クライアントログイン画面を介して再認証を促し、正当なユーザーのみがアクセスを再開できるようにします。 緩和時にユーザーが接続されていない場合、その認証トークンは取り消され、再接続時に再認証が必要となります。
-
ターゲットをブロックリストに追加: 疑わしいターゲットをコンテナに追加し、ブロックリストポリシーに含めることができます。 これにより、Cato に接続されたユーザーがそのターゲットにアクセスすることはできなくなります。
コンテナは、IPアドレスやFQDN の完全修飾ドメイン名などのアイテムのグループを管理するために役立つユーザー定義のカテゴリです。 コンテナを作成すると、ブロックアクションを持つファイアウォールルールに追加できます。 疑わしいターゲットは、コンテナがファイアウォールルールに含まれると初めてブロックされます。 XOpsストーリーから脅威を緩和する際に、ターゲットを既存のコンテナに追加するか、新しいものを作成できます。 コンテナに追加されたターゲットであっても、ファイアウォールルールに含まれていない場合、ユーザーはアクセスできます。
Example社のアナリストが概要ページでXOpsストーリーを調査し、ユーザーが大量のデータをファイル共有アプリケーションにアップロードしていることを確認しました。 彼らはこのアップロード活動が正当な理由によるものか確信がありません。 さらに、アナリストはこのユーザーにとって異常なユーザーエージェントがこのアップロード活動に使われていることを確認し、対抗者による資格情報の盗難の可能性を示しています。 そこで彼らはデバイスでの再認証を強制するためにユーザーセッションを取り消すことにしました。 アナリストはその後、正しい認証を受けたユーザーのみがネットワークに接続されていることを知り、調査を続行することができます。
ストーリーの概要ページでは、操作メニューから脅威を緩和します。
脅威を緩和するには:
-
ストーリーの概要で、操作ボタンをクリックします。
-
実行したい緩和アクションを選択します。
-
ユーザーを取り消すには、ユーザーセッションの取り消しをクリックします。 ユーザーセッションの取り消しパネルが開きます。 取り消したいアクティブセッションのユーザーを選択します。 パネルはストーリーで特定されたユーザーを自動的に表示します。
-
ブロックリストに対象を追加するには、対象をブロックリストに追加をクリックします。 緩和するターゲットを選択し、それを追加したい既存のコンテナを選択するか、新規作成をクリックして新しいコンテナを作成します。 必ずコンテナをファイアウォールルールに含めてください。
-
-
(オプション)メモを追加します。
-
アクションを確認します。
ホーム > 検出 & 対応ポリシーページのアクションセンタータブで、アカウント内のXOps緩和アクションを確認できます。
アクションセンターは、各緩和アクションに対して次の情報を表示します。
-
時間 - 緩和アクションが送信されたタイムスタンプ
-
操作 - 緩和アクションの説明
-
件名 - アクションが実行されたユーザー
-
ステータス: アクションのステータス。 ターゲットをブロックリストに追加アクションに対するステータス値:
-
成功: セッションの取り消し要求がCatoユーザーサービスに送信されました
-
失敗: セッションの取り消し要求に問題がありました
-
-
作成者: アクションを実行した管理者
-
トリガー: アクションが送信されたストーリーのストーリーID。 クリックしてストーリーの概要ページを開きます
-
メモ: 管理者が入力した任意のメモ
0件のコメント
記事コメントは受け付けていません。