購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
279
閲覧回数
0
いいね!
0
コメント

Stealthwatch: UseCase - 自組織ネットワーク内のシャドウ IT を検出する

taknakam
Cisco Employee
Cisco Employee

‎2020-04-22 03:11 PM

 

はじめに

本ドキュメントはセキュリティリスクに繋がる恐れがあるシャドウIT を Stealthwatch で見つける方法について説明します。ここで説明している内容は Stealthwatch バージョン 7.0 で動作を確認しました。

 

ソリューション

Stealthwatch を使用して、ネットワーク内で使用されているアプリケーションの全体像を把握します。これにより、認可されていない利用を制限することができるようになります。また、ユーザ が使用しているアプリケーションを見つけ出し、それらを必要に応じて承認されたアプリケーション一覧に含めます。

 

 

最小要件

Stealthwatch システム構成の最小要件は以下の通りです。

  • Core/Distribution レイヤから全てのホスト間の通信が見えること。
  • Stealthwatch Flow Sensor を使用していること。
  • Stelathwatch のバージョンが 7.0 またはそれ以降であること。
  • ユーザ 情報を取得するために Identity Service Engine (ISE) を使用していること。

 

 

Stealthwatch アプリケーション

全てのシャドウ IT が悪いわけではありません。Office 365 のようないくつかの認可されたクラウドアプリケーションは一般的に利用されており、複数の組織において承認されています。かぎは、使用されているアプリケーションを特定すること、そしてどのアプリケーションを許可すべきか、どれを許可すべきでないかを決定することです。一般的に人気のあるシャドウアプリケーションは、Skype のようなコミュニケーションアプリケーションや、DropBox や Google Drive のようなクラウドストレージアプリケーションなどであり、他にもたくさんあります。Stealthwatch はこれらのアプリケーションを "Applications" として事前に定義した情報を持っています。また、カスタムアプリケーションとして定義する仕組みもあり、ネットワーク上のアプリケーションを簡単にトラッキングすることができます。

”Security Insight Dashboard" において、"Configure" をクリックして "Applications" を選択します。

image.png

 

"Applications"ページが表示されます。このページには、233 個のあらかじめ定義されたアプリケーションの一覧とユーザ が作成したカスタムアプリケーションが表示されます。

image.png

 

 

ネットワーク上で使われているアプリケーションを調べる

ネットワーク上でどのようなシャドウアプリケーションが使われているか調べるには、"Top Application Report" を生成します。このレポートからは、どのアプリケーションがもっとも利用されているかを知ることができます。

"Analyze" タブをクリックして "Flow Search" を選択します。

image.png

この例では、"Top Application Report" を使います。直近 24 時間において Inside ホストグループから Outside ホストグループの通信で使われたアプリケーションの情報を出力するように設定します。これにより、クラウドやストレージアプリケーションのような、自組織ネットワーク内部から Outside への作業で使われるアプリケーションの情報が出力されるはずです。

image.png

検索結果には、直近 24 時間でネットワーク上で使われていた Top Application の情報が表示されます。Skye や DropBox のようなシャドウアプリケーションが使われていることが分かります。

image.png

Skype が使われていますので、この情報をもう少し詳しく見ていきましょう。"FLOWS" カラムのフロー数をクリックします。

image.png

フロー数をクリックすると、Flow Search が実行されます(Skype のフローにヒットさせるための検索条件は自動的に入ります)。Flow Search を実行すると、Skye アプリケーションのアクティビティの詳細が表示されます。検索結果より、Skype を使用しているホスト、通信先のホスト、Skype を使用した日時、動作時間などが分かります。

image.png

もし Stealthwatch を ISE と連携させているなら、フロー検索結果に "Subject User" カラムを追加することができます。このカラムには、ネットワーク上で Skype を使用しているユーザ名が表示されます。このカラムを表示させるには、まず "Manage Columns" をクリックします。"Flow Table Columns" メニューにて、"Subject" タブを選択して、"Subject User" にチェックを入れて "Set" をクリックします。

image.png

"Flow Search Results" ページには、この通信が発生した時間にログインしていたユーザ名が出力されます。

image.png

 

 

アプリケーションを定義する

Stealthwatch のカスタムアプリケーション機能では、任意のシャドウアプリケーションを定義することができます。例えば、多くのシャドウアプリケーションは、クラウドストレージ製品として Box を使います。Box を使用するネットワーク上のアプリケーションを定義するために、カスタムアプリケーションを作成します。

Setalthwatch WebUI にて、"Configure" タブをクリックして "Applications" を選択します。

image.png

"Add Custom Application" をクリックします。

image.png

"Custom Applications" ページが表示されます。この例では、Box クラウドストレージへのトラフィックを探しますので、"DPI Classification" フィールドにて、"Box" Deep Packet Inspection (DPI) classification を選択します。

"Add to Rules" をクリックすると、右側の "App Rules" リストに追加されます。次に右下の "Save" をクリックします。

image.png

カスタムアプリケーションの作成はまだ完了していません。最後に、画面上部に表示される "Apply" をクリックします。

image.png

作成したアプリケーションが Custom Applications リストに表示されます。
image.png

検索でこのアプリケーションを使うと、外部サイトへの通信で Box が使われているかどうか分かります。Analyze タブを選択して "Flow Search" をクリックします。

image.png

この例では、Inside Host ホストグループと Outside Host ホストグループ間の通信で Box が使われているか調べています。
image.png

検索結果より、ネットワーク上で複数の box 通信が見つかりました。

image.png

"Top Applications report" を使う方法でも Box 利用の有無を調べることができます。

image.png

Stealthwatch、Flow Sensor、ISE を組み合わせることで、ネットワーク上のシャドウITをモニタし、自組織に適用するシャドウITポリシーを決定するのに役立ちます。

ラベル:
0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents