[Cortex XDR]端末のロケーションに基づいてHost Firewallポリシーを動的に割り当てる

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
この記事は役に立ちましたか? はい いいえ
評価なし

 

組織の場合、本社・事業所・工場・海外拠点など、リモートワークの場合自宅の環境・公衆Wi-Fiであったり、

様々なネットワークが存在します。場所によってルールの強度を変えたいときに、Host Firewall機能の

 

・端末情報を用いたポリシー適用の条件の設定

・名前解決によるロケーションチェックの機能

 

用いることで、それぞれロケーションに合わせてHost Firewall ポリシーへ動的に変更することが可能です。

この記事では例を挙げて、Host Firewallポリシーを動的に割り当てる方法について説明します。

Host Firewallの概要を理解するにはこちらを参照ください。

 

端末情報を用いた条件設定でポリシーを動的に割り当て

端末のIPアドレスを条件に指定する

 

端末のIPアドレスをポリシーの適用条件に用いることで、ポリシーを動的に変更します。

例えば以下のスクリーンショットのように拠点AのIPレンジがX.X.X.X、拠点BのIPレンジがY.Y.Y.Yの場合といったように、

拠点毎のポリシーを作成しておきます。

(以下のスクリーンショットの青枠のところ)

 

端末はそれぞれの拠点のネットワークに接続した時に、割り当てられたIPアドレスが評価され、拠点毎のポリシーが適用されます。

どのIPレンジにも含まれないIPアドレスが割り当てられた場合、一番最後に適用されるWindows Defaultというポリシーが適用されます。

「社内のIPアドレスレンジ以外のアドレスが割り当てられた場合」という条件にして社外ルールを作成することも

アイデアの1つとしてあると思います。

以下のスクリーンショットのオレンジ枠のところ)

 

massaito_0-1672123854286.png

 

 

 

IPレンジで拠点・事業所など社内ネットワークを表現する場合、
Range」という演算子を使って社内ネットワークのIPアドレスの範囲で定義し、
端末のIPアドレスを評価するようにします。
massaito_0-1672128675911.png

 

 

一方、社外ネットワークを表現する場合、

Not In Range」という演算子を使って社内ネットワークのIPアドレスの範囲で定義し、

端末のIPアドレスを評価するようにします。

massaito_1-1672128917788.png

 

 

指定したホストの名前解決を用いて内部・外部ネットワークを判定しFWルールを動的に割り当て

 

この方法はAgent SettingsにあるNetwork Location Configurationという機能を用います。

社内ネットワークにいる場合、内側からしかアクセスできないシステムなどがあると思います。

そのシステムの名前解決ができることを根拠にして内部ネットワークに位置する、

という判断をするのがこの機能の役割です。

反対に名前解決できなければ外部ネットワークに位置すると判断されます。

 

内部ネットワークと判断されると、Host Firewallプロファイル内のInternal Rule Groupsで定義したFirewallルールが適用されます。外部ネットワークと判断されると、Host Firewallプロファイル内のExternal Rule Groupsで定義したFirewallルールが適用されます。

つまり、会社の外にいると社外用のFWルールが、社内にいると社内用のFWルールを適用する、

といった運用ができるようになります。

 

例えば、以下のようにHost Firewallプロファイル内でInternal Rule Groups(ルールなし)とExternal Rule Groups(外用のルールあり)が構成されており、

massaito_3-1672132093292.png

 

Network Location Configurationにと或るホストとIPアドレスを定義するとします。

massaito_0-1672130651607.png

 

端末側において、設定したホストの名前解決ができている場合、

massaito_1-1672130962776.png

 

内部ネットワーク用のルール(Internal Rule Groups)が適用され、管理コンソールで以下のようなメッセージが表示されます。

massaito_2-1672131058775.png

 

一方、名前解決ができない場合、

massaito_4-1672132357043.png

 

外部ネットワーク用のルール(External Rule Groups)が適用され、管理コンソールで以下のようなメッセージが表示されます。

 

massaito_5-1672132414282.png

 

 

このように社内・社外でルールを分けて適用したい場合、Cortex XDRは2つの方法を持っています。

運用環境に合わせてこれらの機能を活用いただければと思います。

 

 

Tech Doc

Network Location Configurationの詳細はこちら

 

 

 

この記事を評価: