Palo Alto Networks WildFire連携
1 Palo Alto Networks WildFire連携とは?
ForescoutとPalo Alto Networks WildFire(以降Wildfire)を連携することで、下記機能が提供されます。- WildFireが発見しレポートする全ての脅威のIOC(indicators of compromise)情報を集約したリポジトリ
- WildFireでレポートされたIOCに対するWindows端末全てへのスキャン
2 連携の方法
WildFireがダウンロードした疑わしいファイルを解析し、マルウェアと判定された場合、ForescoutのeyeExtendモジュールを介して、IOC情報をForescoutに登録します。Forescoutは登録されたIOC情報を基に感染した可能性があるエンドポイントをチェックします。
図1 ForescoutとWildFireのエンドポイントチェックフロー図
① エンドポイントが疑わしいファイルをダウンロード
② WildFireがダウンロードしたファイルを解析
③ 解析した結果、マルウェアと判定された場合、WildFireと連携しているPalo AltoからForescoutへ脅威情報、エンドポイント情報をSyslogにて通知
④ 対象のエンドポイントをコントロール
⑤ ForescoutがREST APIを使用して、WildFireで検知した脅威のIOC情報をWildFire Server/Cloudから取得
⑥ Forescoutに登録されたIOC情報を元に、管理下のエンドポイント内にIOCスキャンを実行※1
※1 スキャン対象はWindows端末のみとなります。また、検査には対象のエンドポイントにスクリプトファイルをForescutから送り、IOC情報に一致するかチェックを行っています。
3 連携の動作
設定)
Palo AltoのWildfire解析を行うポリシーのLog ForwardingにForescoutを選択します。4 まとめ
ForescoutとPalo Alto Networks WildFireの連携モジュールが用意されているため、簡単に連携を実装することができます。
また、連携することで、マルウェアをダウンロードしたエンドポイントだけでなく、そのマルウェアのIOC情報を元にForescoutで管理しているエンドポイント全体の脅威チェックを行うことができます。
また、連携することで、マルウェアをダウンロードしたエンドポイントだけでなく、そのマルウェアのIOC情報を元にForescoutで管理しているエンドポイント全体の脅威チェックを行うことができます。
資料ダウンロード
Forescout Platformに
関するお問い合わせ
テクマトリックス株式会社
東京本社ネットワークセキュリティ事業部
第2営業部
プラットフォーム営業課03-4405-7816
- メールでのお問い合わせ
- forescout-sales@techmatrix.co.jp