Cato脅威防止の実装に関するベストプラクティス

Catoのセキュリティサービスの概要

Catoクラウドには、設定が簡単でネットワークの安全を維持するための強力なセキュリティサービスが含まれています。 この記事では、異なる脅威防止サービスの推奨事項とベストプラクティスを説明します。

Catoクラウドはアカウントに対して次の2つの保護層を提供します:

  • アクセス層 - WANおよびインターネットトラフィックのためのファイアウォールを含む

  • セキュリティ層 - Cato脅威防止サービス:アンチマルウェア、次世代アンチマルウェア、およびIPSを含む

Catoクラウドは、トラフィックが許可されるかブロックされるかを決定するためにファイアウォール内のルールを適用します。 さらに、脅威防止サービスはマルウェア、ネットワークベースの脆弱性、悪意のあるネットワーク活動などのトラフィックを分析します。

アクセス層

各ネットワークフローはWANファイアウォールとインターネットファイアウォールによって検査されます。 WANファイアウォールは、サイト、ユーザー、ホスト、サブネットなどの組織エンティティ間のトラフィックを許可またはブロックすることを可能にします。 インターネットファイアウォールはウェブサイトやウェブベースのアプリケーションへのアクセスを制御することを可能にします。

デフォルトでは、CatoのWANファイアウォールはホワイトリスティングアプローチを使用し、ファイアウォールルールで明確に定義されたトラフィックのみを許可し、すべての未識別トラフィックをブロックします。 インターネットファイアウォールはインターネットへの発信トラフィックを制御し、ブラックリスティングアプローチを使用します。 インターネットファイアウォールの最終ルールは暗黙の全て全て許可ルールであるため、インターネットへの接続を明示的にブロックするルールを定義する必要があります。

出荷時で、Catoにはネットワークトラフィックを管理するための多数の事前定義されたカテゴリがあり、数十のサービスとアプリケーションが含まれています。 これらのカテゴリはCatoセキュリティチームによって定期的に更新されます。

デフォルトでは、インターネットファイアウォールには潜在的に危険なトラフィックカテゴリをブロックするルールが含まれています。 このルールを無効にせず、ネットワークに最適なセキュリティを提供することを強くお勧めします。

セキュリティ層

Catoのセキュリティ層には、WANおよびインターネットトラフィックに対してマルウェアおよびセキュリティリスクを分析するための複数のエンジンがあります。

  1. アンチマルウェアはクラウド内のアンチウイルスゲートウェイであり、次のものを含みます:

    • 明確および暗号化されたトラフィックのためのトラフィックペイロードの深いパケット検査(TLSインスペクションが有効化されている場合)。

    • 真のファイルタイプ検出は、ファイルの拡張子やコンテンツタイプヘッダーに関係なく、ネットワーク上のファイルの実際のタイプを識別します。

    • マルウェア検出は、現在知られている脅威に対する保護のために、常に最新の状態を維持するグローバル脅威インテリジェンスデータベースに基づく署名およびヒューリスティックデータベースを使用します。 Catoは顧客のデータが機密であることを保証するために、クラウドベースのリポジトリとファイルやデータを共有しません。

  2. NGアンチマルウェアは、SentinelOneエンジンを実装し、ポータブル実行ファイル、PDF、およびOffice文書内の脅威を検出するためにAIモデルを使用します。 AIモデルは、マルウェアリポジトリの膨大な数のマルウェアサンプルから特徴を抽出することによって開発されます。 その後、監視学習を使用して、無害および悪意のあるファイルのさまざまな特徴を識別し、相関させます。 NGアンチマルウェアは、未知のマルウェアとウイルスを予測して防ぐことができます。

  3. IPS - Catoのクラウドベースのネットワーク侵入防御システム(IPS)は、受信、送信、およびWANトラフィックを検査します。TLSインスペクションが有効化されている場合、TLSトラフィックも含みます。 IPSはモニタモード(IDS)でも動作可能であり、トラフィックをブロックしません。 IDSモードでは、すべてのトラフィックが評価され、セキュリティイベントが生成されます。

脅威防止を有効にするためのベストプラクティス

アカウントで脅威防止サービスを有効にすることを強くお勧めします。 エンドユーザーは、アンチマルウェアおよびIPS処理による遅延を体験しません。 悪意のあるファイルが検出されたときは、ユーザーアクセスがブロックされ、ユーザーはブロックページにリダイレクトされます。

Catoのセキュリティチームは、現在の脅威に対する効果的な保護を確保するために、脅威防止データベースを常に最新の状態に保っています。

次のワークフローは、脅威防止サービスを有効にするためのベストプラクティスです:

  1. すべてのトラフィックに対して監視モードで脅威防止ポリシーを有効にします。 監視モードでは、悪意のあるトラフィックはログされるのみで、ブロックされません。

  2. 必要に応じて、トラッキングオプションを設定してマルウェアが検出されると、電子メールアラートを送信することができます(監視モードではブロックされたトラフィックに対してアラートはありません)。

  3. 数日後、脅威防止イベントを確認し、徐々にポリシーをブロックモードに切り替えます。

  4. TLSインスペクションを有効にして、脅威防止エンジンに暗号化されたトラフィックを分析させます。

注意

注意:最大の検出結果を得るためには、TLSインスペクションを有効にする必要があります。 TLSインスペクションにより、悪意のあるファイルやコードを含む可能性のある暗号化されたトラフィックをセキュリティエンジンが分析することができるようになります。 TLSインスペクションを有効にすることは、アンチマルウェアとIPSを有効にする最後のステップです。

リソース記事

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント