インテリジェンスセキュリティイベント
クラウドまたはクラスタネットワークで特定のイベントが発生したときにアラートをトリガーするようにIntelligence を設定できます。Intelligence は、クラウド環境またはKubernetes クラスタからのログ情報をリアルタイムで監視し、イベントに応答してアラートを生成できます。あなたや他の受信者は、このアラートを電子メールまたは別のタイプの通知として受け取るため、イベントにほぼ即座に応答できます。
アラートを受信するには、ポリシーを設定する必要があります。このポリシーには、選択したクラウド環境(VPC) またはKubernetes クラスタに適用される、特定のIntelligence アラート定義を含むルールセットが含まれます。このポリシーでは、アラートを受信する場所を指定する通知を関連付けます。インテリジェンスには、定義済みのCloudGuard管理ルールセットとポリシーが多数含まれます。
インテリジェンスメニューでは、独自のルールセットとポリシーを設定できます。
利点
エンタープライズニーズに合わせて設定されたクエリに基づいた、クラウド環境とクラスタの自動および継続的なモニタリング
ユーザ定義の通知ターゲットに発行される、特定のイベントとしきい値に基づくほぼリアルタイムのアラートの自動生成
多くの一般的なエンタープライズニーズをカバーする組み込みルールセットを使用して、環境に適用し、Kubernetes クラスタをボックス外にクラスタ化します。
悪質なIP分類
悪意のあるIP を識別するインテリジェンスルールでは、CloudGuard はCheck PointのThreatCloud テクノロジを使用します。各IP カテゴリの意味を次の表に示します。
分類 | 説明 |
|---|---|
非分類 | サービスがIP を分類できませんでした。このリソースに関する十分なデータはありません。 |
アドウェア | IPドメインは、法律の灰色の領域で動作し、ユーザ上のプライベートデータを収集し、ダウンロードするサブアプリケーションを含む不要なコンテンツまたはWebサイトを表示する |
Volatile | IPドメインには、悪意のあるソフトウェア(ハッキングWebサイトなど)が含まれています。 |
良性 | 悪意のある目的を果たさない合法的なIP |
CnC サーバ | マルウェアのコマンドと制御 |
侵害サーバ | ハッキングされ、現在は悪意のある目的を果たしている合法的なIP |
フィッシング | IPドメインは、しばしば悪意のある理由で、電子通信における信頼できるエンティティとしてマスカレーディングすることによって、ユーザ名、パスワード、およびクレジットカード詳細(および時には間接的に、お金)などの機密情報を取得しようと試みる |
感染源 | IPドメインは、訪問者にマルウェアを感染させる可能性があります。 |
Webホスティング | IPドメインを使用すると、Webサイトのビジネス領域をレンタルできるようになります。 |
ファイルホスティング | IP ドメインを使用すると、ストレージの領域をレンタルしてビジネスを行うことができます。 |
パーク | IP ドメインには永続的にコンテンツがありません。登録されているが、オリジナルコンテンツがまだないページに広告コンテンツが含まれている場合があります。 |
スキャナ | IPは公知のインターネットスキャナである |
匿名化装置 | IPは既知のトー(オニオンルータ)匿名性プロキシサーバである |
クリプトマイナー | IPドメインは、暗号化のために使用される |
スパム | IPドメインはスパムに使用されます。 |
被害ホスト | 被害者の知的財産 |
アクション
ルールセットへのルールの追加 Intelligence メニューのRulesets ページに移動します。
ルールを追加するルールセットを選択します(または、以下の手順に基づいて新しいルールセットを作成します)。
右上のNew Rule をクリックします。
ルールの名前と説明を入力します。
必要に応じて、ルールの修復テキストを入力し、ルールが示す問題を解決するために実行できる手順を示します。後で「イベント」ページにテキストが表示されます。
ルールの重大度を選択します。
- 検索の定義を入力します。これは、以下の詳細で構成されます。
AWS および Azure ルールの場合、アラートのソース (トラフィックまたはアクティビティログ)。
アラートのGSL 文。
イベントが発生したエンティティ(送信元または宛先)。これは、VPC フローログからのイベントにのみ関連します。
Saveをクリックします。
ポリシーの作成 インテリジェンスポリシーは、ルールセット(イベント定義を含む)、イベントが適用される1 つ以上の環境、および所見を送信する場所を示す通知 で構成されます。
Intelligence メニューのPolicies ページに移動します。
右側のAdd Policy をクリックします。
ポリシーを適用するプラットフォームを選択し、Next をクリックします。
ポリシーが適用される1 つ以上の環境を選択し、Next をクリックします。
リストからポリシーのルールセットを1 つ以上選択し、Next をクリックします。
リストから1 つ以上の通知を選択します。
Saveをクリックします。
ルールセットの作成 インテリジェンスルールセットは、一連のルール定義です。ルールは、ガバナンス仕様言語(GSL) 定義に基づいて、VPC または CloudTrail ログ内の特定のイベントを照会します。
インテリジェンスには、複数の組み込みルールセットが含まれます。これらをポリシーに含めて、環境に適用できます。
また、特定のニーズに合わせて独自のカスタマイズされたルールセットを作成することもできます。
Intelligence メニューのRulesets ページに移動します。
右側のAdd Ruleset をクリックします。
ルールセットの名前と説明を入力し、プラットフォームを選択します。
Createをクリックします。
イベントの表示 Intelligence ポリシーによって生成されたイベントは、Events メニューのThreat and Security Events ページで確認できます。このページには、ポリシーにアタッチされた通知でInclude in the alerts console オプションを設定した場合にのみ、イベントが表示されます。
Events(イベント)ページの詳細については、ポスチャの検索とセキュリティイベント を参照してください。
