Forescout Platform

資料ダウンロード

Palo Alto Networks WildFire連携

1　Palo Alto Networks WildFire連携とは？

ForescoutとPalo Alto Networks WildFire（以降Wildfire）を連携することで、下記機能が提供されます。

WildFireが発見しレポートする全ての脅威のIOC(indicators of compromise)情報を集約したリポジトリ
WildFireでレポートされたIOCに対するWindows端末全てへのスキャン

上記機能により、素早い脅威の検知、感染端末の検知、コントロールを実現することができます。

2　連携の方法

WildFireがダウンロードした疑わしいファイルを解析し、マルウェアと判定された場合、ForescoutのeyeExtendモジュールを介して、IOC情報をForescoutに登録します。Forescoutは登録されたIOC情報を基に感染した可能性があるエンドポイントをチェックします。

図1 ForescoutとWildFireのエンドポイントチェックフロー図

①　エンドポイントが疑わしいファイルをダウンロード

②　WildFireがダウンロードしたファイルを解析

③　解析した結果、マルウェアと判定された場合、WildFireと連携しているPalo AltoからForescoutへ脅威情報、エンドポイント情報をSyslogにて通知

④　対象のエンドポイントをコントロール

⑤　ForescoutがREST APIを使用して、WildFireで検知した脅威のIOC情報をWildFire Server/Cloudから取得

⑥　Forescoutに登録されたIOC情報を元に、管理下のエンドポイント内にIOCスキャンを実行^※1

※1 スキャン対象はWindows端末のみとなります。また、検査には対象のエンドポイントにスクリプトファイルをForescutから送り、IOC情報に一致するかチェックを行っています。

3　連携の動作

設定）

Palo AltoのWildfire解析を行うポリシーのLog ForwardingにForescoutを選択します。

調査確認方法についてはお問い合わせください。

4　まとめ

ForescoutとPalo Alto Networks WildFireの連携モジュールが用意されているため、簡単に連携を実装することができます。
また、連携することで、マルウェアをダウンロードしたエンドポイントだけでなく、そのマルウェアのIOC情報を元にForescoutで管理しているエンドポイント全体の脅威チェックを行うことができます。

Palo Alto Networks WildFire連携まとめ