この記事は、Catoユーザーリスクレベル、その計算方法、およびセキュリティポスチャーを改善するための実装方法についての情報を提供します。
CatoのユニバーサルZTNAおよび継続的な評価と検証のアプローチの一環として、Catoは組織内の各ユーザーに対して動的なユーザーリスクレベルを計算し、それらがもたらすリスクを評価します。
ユーザーリスクレベルは、セキュリティポスチャーと適応アクセス機能を改善するのに役立ちます。 このレベルに基づいてリソースへのアクセスを決定するためのさまざまなポリシーにルールを作成できます。 例えば、高リスク以上のリスクレベルを持つユーザーからのセンシティブな会社のリソースへのトラフィックをブロックするルールを作成します。
SDPライセンスを持たない場合でも、組織内のすべてのユーザーのリスクレベルを見ることができます。 これは、全体的なセキュリティポスチャーの指標を提供します。 さらに、特定のユーザーに接続されたすべてのセキュリティイベントを確認して、そのリスクレベルを判断することができます。
注: ユーザーリスクレベルを表示するには、アクセス管理者ロールで必要な権限を持っている必要があります。
ABC企業はSaaSアプリケーションを利用しており、セキュリティのベストプラクティスに従い、必要な人だけがこれらのアプリケーションにアクセスできるようにしたいと考えています。 さらに、認可されたグループ内でリスクレベルが高いまたはそれ以上の人がこれらのアプリケーションにアクセスできないことを確認したいと考えています。
会社はインターネットファイアウォールにルールを作成し、SaaSアプリケーションへのトラフィックをブロックします。
ジョン・ドウがSaaSアプリケーションにアクセスできない場合、彼は彼のリスクレベルが高く設定されていることをIT部門に確認します。 しかし、IT部門がレベルを決定したイベントをレビューした後、彼がリスクを生じないと判断し、必要なアプリケーションにアクセスできるようにレベルをリセットします。
すべてのユーザー活動は監視およびログされ、Catoの共有コンテキストを活用して、さまざまなデータポイントを考慮した独自のアルゴリズムに基づいてユーザーにリスクレベルが動的に割り当てられます。 次にリスクレベルは、インターネットとWANのポリシーで使用され、リスクが最も低いユーザーのみがアクセスを許可するように調整されます。
Catoは次の属性を収集します。
ポリシーにマークされたユーザー属性は、ポリシーで使用できます。 詳細については、クライアント接続ポリシーをご覧ください。
|
アイテム |
属性 |
例 |
|---|---|---|
|
1 |
トロイの木馬活動 |
Dridex、Peacomm、PeacommBanking |
|
2 |
バンキングマルウェア |
Bancos、Banload、Banker |
|
3 |
情報盗人 |
Zeus/Zbot、エージェント、Symmi |
|
4 |
バックドア活動 |
MITRE ATT&CK技術にマッピングされたさまざまな署名 |
|
5 |
ボットネットトラフィック |
Mirai、さまざまなC2署名 |
|
6 |
DNSトンネリング |
複数のDNSトンネリング検出 |
|
7 |
ビーコン活動 |
通常の指揮および制御のチェックイン |
|
8 |
複数のドメインコミュニケーション |
複数の脅威となるドメインと低評価のサーバー |
|
9 |
ランサムウェア通信 |
SMB活動および外部通信 |
|
10 |
暗号化行動 |
ファイルシステムの暗号化活動 |
|
11 |
ランサム通知の配信 |
ランサム通知の配置または配信 |
|
12 |
マイニングプール通信 |
CryptInject、Cryptomineext、Groupfabric Bitcoinminer |
|
13 |
リソース利用 |
マイニングの異常なシステム使用 |
|
14 |
疑わしい宛先へのデータ転送 |
システム情報のエクスフィルトレーション、RaiDrive エクスフィルトレーション |
|
15 |
資格情報の盗難 |
資格情報の盗難活動とエクスフィルトレーション |
|
16 |
大量データ転送 |
異常に大きなアウトバウンド転送 |
|
17 |
CVEの悪用 |
CVE-2018-0101、CVE-2017-0199、CVE-2021-44228(Log4Shell) |
|
18 |
ゼロデイ悪用 |
新たな脅威に対する署名 |
|
19 |
コマンドインジェクション |
検出されたコマンドインジェクションの試行 |
|
20 |
ディレクトリトラバーサル |
パストラバーサルの挙動 |
|
21 |
ファイルアップロードの試行 |
疑わしいファイルのウェブアプリケーションへのアップロード |
|
22 |
SQLインジェクション |
SQLi攻撃の試行 |
|
23 |
クロスサイトスクリプティングとCSRF |
XSSとCSRFの検出 |
|
24 |
難読化されたフィッシング |
隠されたフィッシング戦術の検出 |
|
25 |
資格情報フィッシング |
フィッシングページへの機密データの挿入 |
|
26 |
ブランド偽装 |
DHL関連のフィッシング |
|
27 |
自動化されたスキャンツール |
Nikto、Nessus、OpenVAS |
|
28 |
標的型脆弱性プローブ |
CVE中心のスキャン |
|
29 |
ネットワーク列挙 |
ポートスキャンおよびネットワーク発見 |
|
30 |
既知の悪意のあるIP/ドメイン通信 |
低評価のドメインアクセス、TOR/プロキシー |
|
31 |
ユーザーのメール |
(ポリシー - 下を参照) |
|
32 |
ユーザーグループ |
(ポリシー - 下を参照) |
|
33 |
ユーザー信頼度レベル |
(ポリシー - 下を参照) |
|
34 |
プラットフォーム |
(ポリシー - 下を参照) |
|
35 |
国 |
(ポリシー - 下を参照) |
|
36 |
接続元 |
(ポリシー - 下記参照) |
|
37 |
リモート実行 (SMB経由) |
PsExec, PAExec, RemCom, CSExec |
|
38 |
WinRM リモート実行 |
WinRSコマンドシェル、WinRM PowerShell |
|
39 |
Impacketリモート実行 |
Impacket PsExec, Impacket SMBExec, Impacket DCOMExec |
|
40 |
WMI リモート実行 |
DCOM経由での WMI 実行 |
|
41 |
リモートサービス操作 |
SVCCTL サービスの作成、開始、削除 |
|
42 |
リモート スケジュールタスク |
schtasks リモート、ATタスクの実行(atsvc経由) |
|
43 |
LDAP 偵察 |
LDAP信頼のダンプ、人、コンピュータ、管理者ユーザー、グループのクエリ |
|
44 |
SAMR / LSARPC 偵察 |
SAMR 管理者ルックアップ、SAMRクエリ表示情報、SAMRローカル管理者列挙、LSARPC内蔵管理者 |
|
45 |
マルチサービス ポートスキャン |
FTP、SSH、RDPサービスを単一ソースIPからスキャン |
|
46 |
クレデンシャル ツール転送 |
Mimikatz SMB転送 |
|
47 |
攻撃的ツール転送 (SMB経由) |
Netcat、Nmap、ADFind、TDSSKiller、PowerShellスクリプト、バッチスクリプト |
|
48 |
ファイル転送ツール (SMB経由) |
WinSCP、FileZilla、PuTTY、MobaXterm |
|
49 |
Rclone 侵出 |
Rclone SSH、Rclone HTTP、Rcloneダウンロード |
|
50 |
クラウドストレージ侵出 |
MEGA API非ブラウザ経由でのアップロード、低人気のクラウドサービスへのアップロード |
|
51 |
Pastebinボットアクセス |
ブラウザ以外の方法でのPastebinへの未加工コンテンツアクセス |
|
52 |
疑わしい宛先へのFTP |
低評価IP、低評価ドメイン、非標準ポートへのFTP |
|
53 |
プロトコル トンネリング |
ウェブポートを介したRDPトンネリング、非標準ポートでのRDP (TLS使用) |
|
54 |
RMM ツールダウンロード |
TeamViewer、AnyDesk、ScreenConnect、Splashtop、SimpleHelp、Atera、Zoho Assist |
|
55 |
RMM アクティブ接続 |
TeamViewer WAN/インバウンドセッション、AnyDeskリモートデスクトップ、Splashtopリレー、SimpleHelp横/UDP |
|
56 |
RMM ツール転送 (SMB経由) |
AnyDesk SMB転送、Splashtop SMB転送 |
|
57 |
疑わしいCLIツール使用 |
curl / wgetによる低評価サイトへのアクセス、curl / wget のバイナリダウンロード |
|
58 |
PSToolsスイートダウンロード |
PSToolsダウンロード後に大量のPsExec実行 (10分で15ホスト以上) |
Catoはリスクのある行動を判断するために多くの異なるインジケータを見て、それらを上記の4つのカテゴリに分類します。 これらのインジケータには次のものが含まれます。
-
すでに侵害されているシステムのインジケータ - 2500以上の署名、含む。
-
マルウェア、例としてトロイの木馬、金融ベースのマルウェアおよびさまざまなバックドア技術
-
ボットネットトラフィック、DNSトンネリング、複数ドメイン通信などのコマンド&コントロール通信
-
暗号化の振る舞い、ランサムノート配布、ランサムウェア通信などのランサムウェア活動
-
クリプトマイニング、マイニングプール通信やリソース使用率など
-
エクスフィルトレーション活動、疑わしい宛先へのデータ転送、認証情報窃盗、大規模なデータ転送など
-
-
感染につながる可能性のあるブロック済みの試行のインジケータ - 2300以上の署名、含む。
-
リモートコード実行の試み、CVEエクスプロイト、ゼロデイエクスプロイトの試み、コマンドインジェクションなど
-
ウェブアプリケーション攻撃、ディレクトリトラバーサル、ファイルアップロードの試み、XSS/CSRFなど
-
フィッシング活動、認証情報フィッシング、ブランドの偽装など
-
脆弱性スキャン、例えば自動スキャンツールの使用とネットワーク列挙
-
-
ポリシー違反やリスクのある活動、1500以上の署名、含む。
-
横方向移動の試み、psexec使用、WinRM使用、PowerShellリモートなど
-
情報開示、機密データの漏洩、エラーメッセージの漏洩、ディレクトリリスティングなど
-
評判に基づく指標、TORまたはプロキシ使用、疑わしいドメインアクセス、既知の悪意のあるIPアドレスとの通信など
-
Dynamic Preventionの動作ベースのセキュリティエンジンによってトリガーされたイベントをブロックします。 Dynamic Preventionとは?の詳細をご覧ください。
-
ユーザーリスクレベルはネットワークおよびセキュリティチームにとって重要なツールであり、内部アプリケーショントラフィックとインターネットトラフィックの両方を保護するためのゼロトラスト動的アクセス制御ポリシーを可能にします。 リスクの態勢に関する貴重なインサイトを提供し、進化する脅威に対応してセキュリティ戦略を動的に調整できます。
インターネットおよびWANファイアウォールにリスクベースのポリシーを作成して、アプリケーションへのアクセスをブロックできます。
アクセス > ユーザーページは、システム内のすべてのユーザーとそのリスクレベルの可視性を提供します。
ページ上の情報をリスクレベルに基づいてフィルタリングし、組織にとって最大の脅威をもたらす可能性のあるユーザーを簡単に見つけることができます。 リスクレベルの値は以下の通りです:
-
重大
-
高
-
中
-
低
このページから、リスクレベルに基づいてユーザーセッションの取り消しやリスクレベルのリセットなど、特定のアクションを実行できます。
ユーザーのリスクレベルを判断するために、特定のユーザーをクリックして、ユーザーリスクページに移動し、そのリスクスコアダッシュボードを表示できます。 ユーザーリスクスコアダッシュボードを使用して、特定のユーザーのリスク態勢を調査し、即時の対策を講じます。 このダッシュボードを使用すると、ユーザーのリスクが時間とともにどのように変化するか、そのリスクに寄与する要因、および関連するセキュリティイベントを理解し、調査から迅速に対策に移行できます。 ユーザーズディレクトリからダッシュボードにアクセスします。
特定のユーザーに関する情報を表示するには、アクセス管理者ロールの一部として必要な権限を持っている必要があります。
-
なし - 特定のユーザーのリスクスコアダッシュボードにアクセスできません
-
表示 - リスクスコアダッシュボードを表示できますが、いかなるアクションも実行できません
-
編集 - リスクスコアダッシュボードを表示し、セッションを取り消す、リスクスコアをリセットするなどのアクションを実行するための完全な権限を持っています
ダッシュボードのビューを使用して、ユーザーのリスクスコアがどのように変化したか、何がそれに寄与しているかを調査します。 時間の経過とともにリスクをレビューし、スコアのスパイクやトレンドを特定し、リスクの寄与要因を確認して現在のスコアを推進する要素を確認し、ユーザーに関連するセキュリティイベントを表示し、スコアの変動に寄与する特定のイベントを確認するためのスコア寄与イベントを確認します。それぞれ以下のために。
-
IPS
-
アンチマルウェア
-
疑わしい活動
-
ファイアウォール
-
動的な防御
任意のセクション内のリンクをクリックすると、たとえば、すべてのIPSイベントを表示をクリックしてイベントページに移動すると、そのユーザーとイベントタイプでフィルタリングされます。
0件のコメント
サインインしてコメントを残してください。