[Cortex XDR/XSIAM]Host Firewallを使用して通信を制御する

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

この記事では、Cortex XDR Prevent及びXDP Pro per Endpointが標準機能として持っている

ホストファイアウォール機能について紹介します。

 

ホストファイアウォール機能は

 

・インバウンド・アウトバウンド双方のファイアウォールルールの作成

端末情報を活用したポリシーの動的な割り当て

名前解決を用いたロケーションの識別による内部・外部ルールの割り当て

 

などきめ細かなルールを作成することができます。

この記事ではベーシックなインバウンド・アウトバウンドのファイアウォールルールの作成方法について

ご紹介します。

 

ホストファイアウォールルールの構造について

 

ホストファイアウォールルールは以下のような構造になっております。

ポリシーは上から順に評価されます。ポリシの評価を行う条件は端末情報(ホスト名やIPアドレスなど)が用いられますが、

条件に一致した一番最初のポリシーが端末に適用されます。どの条件にも一致しない場合、

一番最後に定義された「Windows Default」というポリシーが適用されます。

 

(1)ポリシーA (Extention Policy)

  | -- (2) プロファイル(Host Firewall Profile)

        |-- (3) Internal Groups

        |        |-- (4) Rule Group

        |        |        | - Group01 - Block 139,445/TCP Inbound

        |        |        |   

        |        |        | - Group02 - Block 20/21/TCP Outbound

        |-- (3) External Groups

        |        |-- (4) Rule Group

        |        |        | - Group01 - Block 139,445/TCP Inbound

        |        |        |

        |        |        | - Group03- Block 20/21/80/TCP Outbound

        | 

(1)ポリシーBA (Extention Policy)

  | -- (2) プロファイル(Host Firewall Profile)

  | 

(1)Windows Default (Extention Policy)

 

基本的にCortex XDRはAgentに対してポリシーを適用することで各種セキュリティ機能が有効になりますが、

これはHost Firewallについても同じです。

 

ProfileとGroups(Internal Groups/External Groups)

Host Firewallの場合Host Firewall Profileというプロファイルでルールを作成していきます。

プロファイルの中ではInternal GroupsExternal Groupsの2つのグループに分かれており、

内部ネットワークに位置すると認識され時にInternal Groups、外部ネットワークに位置すると認識された時にExternal Groupsが適用されます。

この内部・外部の識別は別の記事で説明したいと思いますが、識別を必要としない場合Internal Groupsにルールを定義していきます。

 

Rule Group

Internal Groups ,External GroupsいずれもGroupsという言葉が含まれているとおり、

複数のルールグループを定義することができます。

例えば、あるルールグループは社内共通、別のルールグループは事業部個別のルールといったように

ルールグループを組み合わせて柔軟な制御ができます。

 

以下ではサンプル設定を元にHost Firewallポリシーの作り方を説明します。

 

Rule Groupを作成する

| Endpoints | - | Host Firewall |から「New Group」をクリックします。

massaito_0-1672055989361.png

 

 

ここでは例として、ファイル共有を使用した外部アクセスをブロックしてみます。

ルールグループの名前を「ファイル共有アクセス制限」とし「+ New Rule」をクリックします。

massaito_1-1672056173561.png

 

ルールを以下の通り設定します。

Name: ファイル共有アクセスのブロック

Platform: Windows, macOSにチェック

Protocol: TCP(6)

Direction: Outbound

Action: Block

Remote Port: 139,445

 

massaito_2-1672056290269.png

 

DirectionがOutboundの場合、ポート番号の他にIPアドレス(Remote IP Address)なども条件に指定することができます。

Inboundの場合も同様です。

 

また、以下のスクリーションショットにあるとおり、

アプリケーションやサービスの名前で範囲を制限することも可能です。

なおブロックした時のアクションを記録したい場合は「Report Matched Traffic」をEnabledにします。

massaito_3-1672056648672.png

 

ルールが定義できたら「Create」をクリックします。

以下のようにグループ内にルールが定義されるのを確認したら「Create」をクリックします。

 

massaito_4-1672057041952.png

 

| Endpoints | - | Host Firewall | - | Rule Groups |から作成したグループを確認できます。

このルールグループは他のプロファイルなどで再利用可能です。

massaito_5-1672057552548.png

 

Extensions Profileを作成する

次に Host Firewall Profileを作成するためにExtensions Profilesから「+ Add Profile」をクリックし、

「Create New」を選択します。

 

massaito_0-1672058259139.png
 
massaito_1-1672058409081.png

 

ここではWindowsからHost Firewallを選択します。

massaito_3-1672058475187.png

 

 

「事業所A」という名前のプロファイルとし、
Internal Rule Groupsに対して、先程作成したルールグループを設定してみます。「+ Add Group」をクリックします。
massaito_4-1672058612427.png

 

作成した 「ファイル共有アクセス制限」にチェックし、「Add (x Selected)」をクリックします。

massaito_6-1672058881177.png

 

Internal Rule Groupsに対して、ルールグループ「ファイル共有アクセス制限」が追加されました。
「Create」をクリックすると、
massaito_7-1672059053006.png
 

 

Host Firewallプロファイルが作成されました。

massaito_9-1672059207856.png

 

PolicyにHost Firewallプロファイルを割り当てる

作成した「事業所A」というHostFirewallプロファイルを「事業所A用ポリシー」というExtensions Policy Ruleに割り当てます。

(この例では事前に「事業所A用ポリシー」という名前のポリシーを作成しています。)

「事業所A用ポリシー」をクリックし、ペンのアイコン選択します。

 

massaito_0-1672062228099.png
 
 
massaito_1-1672062325921.png

 

 Host Firewallから「事業所A」プロファイルを選択し、Nextをクリックします。

massaito_2-1672062396141.png

 

確認画面でチェックボックスにチェックを入れ、「OK」ボタンをクリックします。

massaito_3-1672062456107.png

 

適用対象を選択します。ここではあるホスト名を持つ端末だけに適用し、「Next」をクリックします。

massaito_4-1672062514826.png

 

最後に確認画面が表示されるので問題がなければ「Done」をクリックします。

massaito_5-1672062588617.png

 

最後必ず「Save」ボタンをクリックしてください。

massaito_6-1672062682799.png

 

Saveするとこのようにポリシーが追加され、Targetに指定された条件の端末にHost Firewallポリシーが適用されます。

massaito_7-1672062759720.png

 

 

端末側の表示を確認する

端末側のMicrosoft Defender Firewallを開くと、

Cortex XDRが管理しているためアクセスできなくなっております。

 

massaito_0-1672065063028.png

 

試しにWindowsサーバー(ここではIPアドレスが192.168.68.102)の共有フォルダにアクセスすると、

アクセスできなくなり、以下のメッセージがOSから返ってきます。

 

massaito_0-1672066278188.png

 

 

管理コンソールでイベントを確認する

ルールを作成する時に、「Report Matched Traffic」をEnabledにしましたが、

こうするとブロックした時のイベント(Allowの時は許可イベント)を管理コンソールで確認することができます。

| Endpoints | - | Host Firewall | - | Host Firewall Events | を選択するとイベントビューが表示されます。

このビューは1つのレコードが、60分毎にエンドポイントで集計されたデータになっています。

 

massaito_0-1672097649067.png

 

 

 

XQLを使用してイベントを検索する

Host Firewallのイベントは「host_firewall_events」というdatasetに保存されるため、

これを用いてイベントの検索・分析も可能です。

massaito_0-1672107768292.png

 

 

Tech Doc

Host Firewallの機能詳細についてはこちら

 

この記事を評価:
  • 2802 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 02:33 AM
更新者: