インテリジェンス

Intelligence では、クラウド環境またはコンテナクラスタへのアカウントアクティビティとネットワークトラフィックの可視化と分析を行うことができます。これにより、たとえば、不要なソースや悪意のあるソースからのトラフィックや、攻撃者がその利点のために使用できる誤った設定を識別できます。

CloudGuard では、インテリジェンス用の事前定義されたクエリーを提供します。また、CloudGuard ガバナンス指定言語(GSL) に基づいて、グラフィカルクエリービルダを使用して追加のカスタムクエリーを作成できます。

Intelligence は、クラウドまたはKubernetes アセットと設定情報を、ネットワークトラフィックログおよびアカウントアクティビティログからのリアルタイム監視データ、および現在の脅威インテリジェンスフィード、IP レピュテーションデータベース、地理位置情報データベースと組み合わせます。これにより、強化されたログと視覚化が強化されます。たとえば、他の AWS エレメントからのネットワークトラフィックのソースはタイプに応じて表示され、悪意のある外部ソースにはそのようなマークが付けられます。

インテリジェンスでは、アカウントアクティビティとネットワークトラフィックをほぼリアルタイムで表示できます。また、過去のログを表示および分析することもできます。クラウド環境で発生する可能性のある特定のイベントに対してリアルタイムアラートを送信し、タイムリーな対応を可能にするようにIntelligence を設定できます。

利点

  • イベントの準リアルタイム表示

  • 特定のイベントおよび脅威ハンティングのための微調整されたクエリ

  • さまざまなログソースからのコンテキスト情報を充実することで、クラウド環境で発生するイベントをより迅速かつ明確に把握することができます。

ユースケース

  1. Streamline Network Security Operations:Intelligence を使用すると、次のようなネットワーク操作を実行できます。

    • リアルタイムトラフィック分析に基づくセキュリティアーキテクチャのレビュー

    • トラフィックフローの可視性を得る

    • 不正侵入やポリシー違反の原因となっている設定ミスのトラブルシューティングと識別

    • 異常なアカウントアクティビティの識別

    • ネットワークアセットにトラフィックを送信している悪意のあるソースを検出する

  2. Reduce meantime for threat detection:インシデント対応者が違反を検出するには、平均で約200 日かかります。Intelligence を使用すると、疑わしいアセットを識別してズームインし、設定とトラフィックアクティビティの両方の観点から完全なコンテキストを理解して、脅威を検出する平均時間を短縮できます。

  3. Detect Privilege Escalation / Credential Compromise:CloudGuard には、アカウントアクティビティと環境内のアセットのタイプに関する完全なコンテキストがあります。インテリジェンスを使用すると、インスタンス化すべきでないアセットタイプのリストを作成できます。暗号マイニング操作や API キーの盗用に使用されている可能性がある高価な EC2 インスタンスを起動し、誤用されている場合、Intelligence はそのような不正な IAM 変更や特定の EC2 タイプトラフィックを検出し、ただちに詳細なアラートを提供できます。

  4. Expedite and assist in Compliance Validation:エクスプローラを使用すると、クラウド環境がさまざまなコンプライアンス基準(制御の有効性)に準拠していることを証明するために使用できるトラフィックの再生を確認できます。

  5. Detect unusual or abnormal use クラウドリソース、ネットワークアクティビティ、ログインなどのたとえば、禁止された地理的な場所からのアクティビティ、不審なポートの使用、または異常なログインや認証の試行を検出します。

インテリジェンスライセンス

CloudGuard ポスチャマネジメントライセンスの一部として、CloudGuard 顧客はインテリジェンスのアカウントアクティビティコンポーネントを取得します。この基本的なIntelligence 機能は、12GB のログを提供し、各Billable Assetsにつき1 か月間保持します。つまり、Intelligence に環境をオンボードする場合、最大12GB のログを分析し、所要時間に関係なく分析し、1 か月以内に保持できます。クォータを削除すると、Intelligence はデータの処理を停止します。

この基本的な機能に加えて、Check Point のクラウドセキュリティ脅威防御分析プラットフォームであるCloudGuard Intelligence Pro のライセンスを購入できます。Intelligence Pro は、ユーザクラウド環境への脅威を検出および軽減するのに役立つだけでなく、アクティビティを分析し、UEBA アルゴリズムを活用してクラウド攻撃を防ぐことができます。基本的なIntelligence と同じく、Intelligence Pro のライセンスは消費に基づいています。すべての処理済みデータは、ライセンスによって設定されたクォータにカウントされます。このライセンスは、容量が残っている間のデータの取り込みを対象としています。

一部のアセットでは、膨大な数のネットワークトラフィックログを作成できますが、Intelligence で分析したくない場合があります。インテリジェンスに搭載する前に、これらの量と、一般的にはネットワークのアーキテクチャを考慮する必要があります。クォータが過度に高速に消費されたり、無関係なデータに費やされたりすることを防ぐには、インテリジェンスにオンボードするログを制御する必要があります。

AWS アセットがIntelligence に送信するネットワークトラフィックログを管理するには:

  1. 関連するVPC、サブネット、またはENI でのみフローログを有効にします。

  2. Intelligence に送信するフローログが、オンボードの特定のS3 バケットに公開されるように設定します。

ライセンスクォータが終了に近づくと、取り込まれたログの量がキャパシティの80%、90%、または100% であることを示す警告メッセージが表示されます。100%に達すると、新しいライセンスが購入されるまで、ログの取り込みは停止します。取り込まれたログは、ライセンスで指定された保持期間全体にわたって保存され、アクセス可能になります。

よくある質問

質問: ログを保持するストレージにファイアウォールがあります。ファイアウォール設定を許可するためにはどのIPまたはIP範囲のインテリジェンスを使えばよいですか?

回答:これらのIP アドレスは、データセンターの場所に従って許可できます(Settings > Account Info > Data Center に表示されます)。

  • 米国データセンターの場合: 34.197.175.194

  • EUデータセンターの場合: 54.228.172.67