Netskope　Alert通知内容の紹介

Netskopeでポリシー違反が発生した際に出力されるAlertの紹介を行う記事です。
シャドーITの対策などで「誰が、何のアプリで、どのような操作を、いつ行ったのか」を知ることが可能です。

はじめに

昨今、リモートワークの普及により自由な場所で仕事を行いやすくなっている反面、個人がどのような端末で仕事をし、どのようなWebサイトへアクセスしているのか管理するのが難しくなりました。この問題はシャドーITと呼ばれています。

このシャドーITに対して、Netskopeを用いることで容易に対処することが可能となります。

Netskopeは、SASEの製品です。VPNやファイアウォール、CASBなどの複数のセキュリティ機能をクラウド上で提供するセキュリティモデルがSecure Access Service Edge(SASE)であり、そのSASEのうちCloud Access Security Broker(CASB)に強みを持つ製品がNetskopeです。

 

本記事ではシャドーITを利用した際にどのように表示されるのか、どの程度の情報が表示されるのかを紹介いたします。

BoxがシャドーITであると仮定したポリシーの作成と、利用者がBoxにアクセスするのをブロックし、出力されたAlertの詳細について解説していきます。

その他、DLP(Data Loss Prevention)ポリシー、Malsite、MalwareなどのThreat ProtectionポリシーのAlertについてもあわせて紹介させていただきます。

 

ブロックポリシーの作成

簡単なブロックポリシーを作成します。

今回はBoxを対象にブロックするポリシーを作成して、通知されたAlertについてみていきます。

「Policies＞Real-time Protection」からポリシーを作成します。

DestinationにApplicationからBoxを選択します。

Profile＆Actionでブロックを選択し、ブロック通知画面のTemplateを設定します。

今回はブロックを選択していますが、サイトの利用を禁止せず、利用状況を監視、警告する場合はAlertを選択することで、サービスの利用は可能でも警告としてポップアップを出力することが可能です。

以上を設定し、セーブをしたらBoxにアクセスします。

Boxへのアクセスが無事ブロックできました。これでAlertが生成されました。

次にAlertが生成された場所を見ていきます。

 

Alertの出力場所

アラートは、「SkopeIT＞Alerts」にログが記録されます。

開くと以下のような画面が表示されます。

Alertが時系列順に表示されています。

この画面で出力されたAlertについての概要を知ることができます。

Alertの詳細を確認するには、ログの左側に表示されている虫眼鏡マークをクリックして開くことで詳細を確認することが可能です。

 

Alert　内容紹介

作成したポリシーによってブロックされた際に出力されたポリシー違反の通知について詳しく見ていきます。

ポリシー違反時のAlertの詳細は以下の画像のような通知が出力されます。

 

通知の最上部に何によってこのAlertが出力されたのか、このポリシー違反に対してどのような処置を行ったのかについての情報が記載されます。その後、内容ごとにGENERAL、USER、APPLICATION、SOURCE、DESTINATION、SETTIONと分類された通知が記載されます。

 

分類されたそれぞれの項目には主に以下の情報が含まれています。

GENERAL

App Suite：ポリシーの対象となっているアプリが記載されています。

Policy Name：適用されたポリシーの名前です。

USER

ポリシー違反をしたUSERに関する詳細がここに記載されます。

詳細の内容は画像の通りです。

User key：ユーザーのアドレスが記載されています。

Normalized：ユーザーのアドレスが記載されています。

APPLICATION

ポリシーに関わっているアプリケーションの情報が記載されています。

CCI：Netskope独自の調査によるアプリケーションの安全性を評価する指標です。評価基準の例として、クラウドストレージアプリの場合は保存データを暗号化しない場合は評価が低くなります。

CCL：CCIを5段階の評価に落とし込んだもの。CCIの評価20ごとにCCLのレベルが上がります。

Activity：ユーザーがサービスに対してどのような操作を行ったかが表示されます。今回は、閲覧しようとした際にブロックされたため、ブロックされました。

Category：Netskopeが定義するカテゴリを表示します。上記以外にもBusiness、Technologyなど、Webサイトの内容ごとにカテゴリが分けられています。

Other Category：Netskopeによる事前定義ではなくテナントごとに定義しているカテゴリが表示されます。

SOURCE

ポリシー違反をした人がどこからアクセスしているかが記載されています。

DESTINATION

接続先の情報が記載されています。

今回はBoxのロケーションやIPが記載されています。

 

シャドーITの利用状況を調査する際、知りたい情報は「どのユーザーが、何のサービスにたいしてどのような操作を行ったか」であると思います。こちらを知るためには、「SOURCE」、「APPLICATION」を確認することでそれらの情報を知ることが可能です。

 

その他の通知

Alertの内容次第ではそれ以外の情報が記載されることがあります。

DLPポリシーに違反した際のAlert、Malsite、MalwareなどのThreat Protectionポリシーに違反した際のAlertを例にAlertの通知内容について詳しく見ていきます。

これらのAlertも「SkopeIT＞Alert」に出力されます。

1.DLP

DLPのAlertには、下記の内容が追加で記載されます。

DLP

設定してあるDLPのルールがどのように違反されているのかが示されています。

DLP Profile：適用されたプロファイルの名前です。

DLP Rule：プロファイルに設定されているDLPルールが表示されます。ルールには特定のワードが含まれている場合ポリシーを適用するなどが設定可能です。

DLP Rule Count：何度ルールが適用されたかを示しています。

DLP File：違反したファイルが何かを示しています。

 

DLPのProfile、Ruleなどについての詳細は下記ブログにて紹介させてい頂いています。

NetskopeのDLP機能を用いたChatGPTの制御

 

FILE

違反したファイルがどのような形式のファイルで、容量がどの程度あるのかが示されています。ハッシュ値は違反したファイルを特定するためのものです。

 

2.Malsite

Malsiteの場合は次のような情報が追加されます。

GENERALの内容がポリシーによるアラートと異なります。

Malsite Category：Phishing 、Botnet 、Malicous URLなどの場合Malicious Siteと表記されます。

Malsite Country～Malsite Region：Malsiteが運営されている場所を示します。

SeverityLevel Id：1の場合URL、IP、ドメインから検出されたことを示しており、2の場合OEM DB Malsiteカテゴリに基づいて検出されたことを示します。

Threat Match Field：Netskopeの持つデータからIP、URL、ドメインのうちどれが脅威として検知された根拠なのかを示します。

Threat Match Value：Threat Match Fieldが危険と示したものが表示されます。

 

3.Malware

Malwareの場合は次のような情報が追加されます。

Malsiteと同様にGENERALの内容がポリシーによるアラートと異なり、Malwareと検知されたものに関する情報が記載されます。

GENERAL

Malwareだと判定されたファイルを示す情報、そのファイルのハッシュ値が追記されます。

 

MALWARE

Netskopeが検知したMalwareについての情報が記載されます。

Malware Type：検知されたファイルがどのようなMalwareとして検知されたのかの情報が記載されます。例としてAdware、Dialer、Malicious App、Spam、Phishing、Spyware、Virusのように検知されます。

Detected Engine：Malwareを検知したシステムの名前が記載されます。

 

FILE

今回はMalwareとして検知されたファイルについての詳細が記載されています。

 

 

おわりに

今回はポリシー違反、Malware検知した際に出力されるAlertについて紹介しました。

Netskopeではこのように違反に関する詳細なAlertが通知されます。この情報を基に、利用が許可されていないシャドーITを利用した人は誰なのかを特定することやMalwareやMalsiteにアクセスしてしまった人を特定し対処することが容易となります。