Palo Alto Networks WildFire連携

1 Palo Alto Networks WildFire連携とは?

ForescoutとPalo Alto Networks WildFire(以降Wildfire)を連携することで、下記機能が提供されます。
  • WildFireが発見しレポートする全ての脅威のIOC(indicators of compromise)情報を集約したリポジトリ
  • WildFireでレポートされたIOCに対するWindows端末全てへのスキャン
上記機能により、素早い脅威の検知、感染端末の検知、コントロールを実現することができます。

2 連携の方法

WildFireがダウンロードした疑わしいファイルを解析し、マルウェアと判定された場合、ForescoutのeyeExtendモジュールを介して、IOC情報をForescoutに登録します。Forescoutは登録されたIOC情報を基に感染した可能性があるエンドポイントをチェックします。

図1 ForescoutとWildFireのエンドポイントチェックフロー図

図1 ForescoutとWildFireのエンドポイントチェックフロー図

① エンドポイントが疑わしいファイルをダウンロード
② WildFireがダウンロードしたファイルを解析
③ 解析した結果、マルウェアと判定された場合、WildFireと連携しているPalo AltoからForescoutへ脅威情報、エンドポイント情報をSyslogにて通知
④ 対象のエンドポイントをコントロール
⑤ ForescoutがREST APIを使用して、WildFireで検知した脅威のIOC情報をWildFire Server/Cloudから取得
⑥ Forescoutに登録されたIOC情報を元に、管理下のエンドポイント内にIOCスキャンを実行※1

※1 スキャン対象はWindows端末のみとなります。また、検査には対象のエンドポイントにスクリプトファイルをForescutから送り、IOC情報に一致するかチェックを行っています。

3 連携の動作

設定)

Palo AltoのWildfire解析を行うポリシーのLog ForwardingにForescoutを選択します。

4 まとめ

ForescoutとPalo Alto Networks WildFireの連携モジュールが用意されているため、簡単に連携を実装することができます。
また、連携することで、マルウェアをダウンロードしたエンドポイントだけでなく、そのマルウェアのIOC情報を元にForescoutで管理しているエンドポイント全体の脅威チェックを行うことができます。

Palo Alto Networks WildFire連携 まとめ

Palo Alto Networks WildFire連携

Forescout Platformに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第2営業部
    プラットフォーム営業課

    03-4405-7816

メールでのお問い合わせ
forescout-sales@techmatrix.co.jp

お問い合わせ

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。