ForeScout
フォアスカウト
Forescout Platform
ソリューション概要
特徴
Forescout ソリューションの特徴として、スイッチ連携など様々な手法を用いることで、エージェントレスでのデバイス可視化と制御を実現いたします。
- 1.エージェントレス
- 2.デバイス可視化と制御
- 接続されているデバイスを把握するために、スイッチ、VPNコンセントレータ、AP、およびコントローラに対してポーリング
- スイッチおよびコントローラからSNMPトラップを受信
- NetFlow、sFlow、Flexible NetFlowデータの受信
- 内蔵または外部のRADIUSサーバーへの802.1x要求を監視802.1x
- DHCP要求を監視して、新しいホストがIPアドレスを要求したときを検出
- HTTPユーザエージェント、TCPフィンガープリント、および60以上のプロトコルについてネットワークSPANポートをオプションで監視
- パブリック/プライベートクラウドAPIのクエリAPIs
- 外部のMAC分類データをインポートするか、LDAPデータを要求する
- VMware® vSphere® や AWS® EC2® や ACI や Azure との統合
- PoE データの解析
- 動作中のポート、サービスバナーOSフィンガープリントスキャン
- 資格情報を使用してエンドポイントでスキャンを実行
- エージェントを使用(オプション)
機能一覧
| 機能 | eyeSight | eyeControl | eyeExtend | eyeSegment | |
|---|---|---|---|---|---|
| 検出 | パッシブ解析 | ○ | |||
| アクティブ解析 ‐インフラストラクチャ― ‐デバイス |
○ | ||||
| 分類 | ○ | ||||
| 評価 | ○ | ||||
| 通知 | メール通知 | ○ | |||
| HTTPリダイレクト | ○ | ||||
| 是正・制御 | Virtual FireWall | ○ | |||
| ACL制御 | ○ | ||||
| 既存セキュリティ対策ツール連携 | ○ | ||||
| 運用 | 既存セキュリティ 対策ツール連携 |
○ | |||
| シュミレーション | ○ | ||||
| セグメンテーション | ○ | ||||
ユースケース
- 1.デバイスコンプライアンス
Forescout ソリューションのユースケースとしてデバイスコンプライアンスの実現がございます。会社内の端末を可視化したのち、端末の詳細の状況を確認します。その際にアンチウィルスや暗号化ソフトなどのセキュリティポリシーに照らし合わせて確認を行い、ポリシー遵守できていない端末に対しては、通知・是正・制御を行うことができます。
事務ネットワーク内の端末状態をリアルタイム監視を行い、変化・異常があった場合に、即座に管理者へ通知や周辺機器と連携して是正や制限を行うことが可能です。対応の強固度合いは端末・設備の重要度や変化・異常の影響度を応じて柔軟にポリシー設計することが可能です。これにより異常時にリアルタイムに対応することが可能です。
機能紹介
-
eyeInspect
ソリューション概要
特徴
- 重要システムをとめないパッシブ構成
- 産業用制御システムの独自のプロトコルを深くパケットデコード
- 複雑な産業用ネットワークをマッピング
- 事前学習によるホワイトリストベースのセキュリティ検知
- 独自の産業用脅威情報配信
機能一覧
ユースケース
アセット管理
- システム内の機器や端末を識別し、脆弱性などの情報も含めて管理
ネットワーク可視化
- 指定した期間中の時系列、種類と割合、量などの通信の統計データをグラフィカルに表示
- デバイスの種類、階層ごとに分類し、ネットワーク全体をグラフィカルに表示
規格/ガイドラインの準拠
- 国際的および地域的な規格/ガイドライン (例: IEC 62443, NERC CIP, NIST Cybersecurity Framework 他) への準拠の対応を支援
制御システムのセキュリティ対策
- 外部脅威をプラント稼動に影響を与えないパッシブ構成でブラックリスト/ホワイトリストでリアルタイム検知
制御システムの設計ミス/操作ミス防止
- 通信方向を可視化することで望まない通信を把握することができ、設計ミスを見つける
- 通信内容を深いレベルで可視化することで操作内容まで把握でき、操作ミスをリアルタイム検知
ITシステムにおける内部不正対策
- HTTPなどのITネットワークプロトコル対応により、重要なデータ/システムへの不正アクセスをリアルタイム検知が可能
導入イメージ
設置
- パッシブ構成のため簡単に導入が可能
学習期間
- 通信内容を学習
- ForeScout社で定義したセキュリティ検知が可能
運用開始
- 学習し、ユーザごとに設定したプロファイルに該当しない通信も検知
- ユーザごとのスクリプト作成も可能
機能紹介
ネットワークマップ機能
監視センサーで収集したネットワーク情報をコマンドセンターでグラフィカルに閲覧するネットワークマップ機能があります。ネットワークマップ機能により、特定期間や特定通信においてどういったプロトコルが多いのか?通信先はどこなのか?などのネットワークの傾向を確認することができます。また、スニフィングしたパケットにより、モデル名、ファームウェアバージョン、脆弱性情報、システム間のプロトコルなど詳細なアセット情報をネットワーク経由で得て、アクティブでないホスト、脆弱性を持ったPLCを見つけることができます。さらに、役割(ロール)あるいはネットワーク階層などを自動グルーピングすることも可能です。国際的および地域的な規格/ガイドライン (例: IEC 62443, NERC CIP, NIST Cybersecurity Framework 他) への準拠を支援します。
セキュリティ検知
Built-in ModuleやスレッドライブラリなどのForeScout社により実装された検知ロジックや、LAN CPやDPBIなどの事前学習によるホワイトリスト方式の検知機能がございます。また、SD Scriptでは、ユーザが自身でLUA言語でスクリプトを書くことができます。この機能により、SilentDefenseで対応していないプロトコルや制御機器に対して、独自で追加開発してルールを実装することができます。
機能名 概要 用途 補足 Built-in Module ForeScout社で定義された脅威を検知 - 不正な通信を低レイヤ(ネットワークレベル)で振る舞い検知により自動で外部脅威を検出
- 事前学習が不要
- アップグレードにより検知手法が更新/追加
LAN CP 通信方向をベースにホワイトリスト検知 - 通信方向を解析
- 不正な/好ましくない/不明な通信を検知
- 通信方向を事前に定義することでポリシー違反を検知
- 事前学習が必要
- 設計が必要
- アップグレードにより対象通信が更新/追加
DPBI 通信内容をベースにホワイトリスト検知 - 通信内容を解析
- 不正な/好ましくない/不明な通信を検知
- 具体的な値まで識別できるため、独自の操作ミスなどの検知も可能
- 具体的なオペレーション内容の証拠を残すことが自動で可能
- 事前学習が必要
- 設計が必要
- アップグレードにより対象通信が更新/追加
スレットライブラリ機能 ForeScout社で定義された脅威を検知 - 汎用的な操作ミスを自動で検知
- 汎用的なネットワーク機器の設計ミスを自動で検知
- 産業システムにおける外部脅威を自動で検知
- 事前学習が不要
- アップグレードにより脅威情報が更新/追加
SD Script ユーザ自身で追加開発により検知 - 独自機器を含めた産業ネットワークの可視化と検知が可能
- 追加開発が必要
3rdパーティ連携
SilentDefenseで得た情報をログとして外部に出力することができます。ArcSight,Splunk,McAfeeSIEM,QRadarなどの分析ツールにSyslogでアラートログを出力、通信路具やステイタスログをSyslogサーバに出力することが可能です。また、社内にある既存のADやLDAPなどの認証サーバの情報を取り込んで、分析をユーザ名ベースで行うことができます。
製品提供
製品提供概要
コマンドセンター 監視センサー 役割 - グラフィカル表示
- ルール設定
- 設定したルールを監視センサーに配信
- データ(ネットワーク解析結果アラート)の保管
- ネットワーク監視
- ネットワーク解析
- コマンドセンターから配信されたルールに基づき検知
提供形態 - ソフトウェア
- Subscription年間ライセンス(平日9時ー17時 日本語メールのソフトサポート込)
- ソフトウェア
- Subscription年間ライセンス(平日9時ー17時 日本語メールのソフトサポート込)
製品提供スキーム
SilentDefense提供に際して製品提供スキームは以下のイメージになります。マクニカでは、導入前の検証支援、導入時の製品設計とトレーニング、平日9時~17時のメールでソフトウェアサポート、関連情報を提供します。
-
eyeSight
Forescout社eyeSightソリューションを活用して、端末/設備の詳細の情報を可視化することが可能です。具体的に可視化可能なカテゴリおよび項目は以下の通りです。
※各手法によって取得可能な情報を伝えることを目的にした表になります。取得できる情報は環境により異なる場合があります。
-
eyeControl
事前に設定した条件に合致する端末が見つかった際、自動でTCP RSTパケットを送信し、端末に関連する通信を制限することが可能です。連携先のスイッチやルータにACL機能がない場合でも通信を制限することができます。
連携先のスイッチやアクセスポイントのCLI/SNMPの情報をEyeSightに設定することで、事前に設定した条件に基づいて自動でスイッチのACLを書き換え、通信を制限することが可能です。
-
eyeExtend
カテゴリ メーカー 製品名 活用例 標的型攻撃対策 Check Point Forescout eyeExtend for Checkpoint Threat Prevention Checkpointが検出した脅威に感染している端末をForescoutが発見。管理外の端末も含めて端末への対策がなされるまで端末を隔離する。 FireEye Forescout eyeExtend for FireEye NX FireEyeが検知したゼロデイ脅威とアウトバウントコールをForescoutが受取り、該当端末を隔離。その他端末も同様の脅威を持っているか、また対策がなされるまで隔離を実施。 Palo Alto Forescout eyeExtend for Palo Alto Networks Wildfire Wildfireが検出した脅威に感染している端末をForescoutが発見。管理外の端末も含めて端末への対策がなされるまで端末を隔離する。 特権管理 CyberArk Forescout eyeExtend for CyberArk 管理外対象の特権アカウントがユーザ側で利用されていないか、危険度の高い古いアカウントや孤立したアカウントがあれば無効化や管理対象とする。 端末管理 HCL(IBM) Forescout eyeExtend for IBM Big Fix Big Fix エージェントの有無、稼働有無を確認してポリシー抵触したら是正や隔離を実施。またBig Fix 管理デバイスセキュリティがポリシー抵触する場合にForescoutと連携し、該当端末を隔離する SIEM IBM Forescout eyeExtend for IBM Qradar Firewallなどセキュリティ機器がアラートをSIEMに送り、Forescoutが可視化したデバイス情報などを合算して危険度を判断し、ポリシーに応じて隔離などのアクションを実施。 Micro Focus Forescout eyeExtend for Micro Focus ArcSight ESM Splunk Forescout eyeExtend for Splunk デバイス管理 Airwatch Forescout eyeExtend for Airwatch MDMサーバにデバイス登録されているのかForescoutが確認し、登録が無い端末は是正などを実施し、自己登録を促す。またモバイルの場合ポリシー抵触した端末を検知した場合、自動でデータ消去などを行う。 IBM Forescout eyeExtend for IBM MaaS360 MobileIron Forescout eyeExtend for MobileIron Microsoft Forescout eyeExtend for Microsoft Intune 脆弱性調査 Qualys Forescout eyeExtend for Qualys Vulnerability Management 脆弱性スキャン結果をForescoutに共有し、その結果に応じて隔離等を実施。またForescoutが可視化したデバイス情報でパッチ未適用なデバイスが存在した場合、そのデータを共有する事で脆弱性の対処を素早く実施。 Rapid7 Forescout eyeExtend for Rapid7 Nexpose Tenable Forescout eyeExtend for Tenable エンドポイントセキュリティ
EDRCarbon Black Forescout eyeExtend for Carbon Black エージェントの有無や機能停止しているかなどをForescoutが確認し、ポリシー抵触したら隔離などを実施。またIoCデータを元に未管理端末含めて全てのデバイスをスキャンして対処する。 CrowdStrike Forescout eyeExtend for CrowdStrike エージェントの有無や機能停止しているかなどをForescoutが確認し、ポリシー抵触したら隔離などを実施。またIoCデータを元に未管理端末含めて全てのデバイスをスキャンして対処する。 FireEye Forescout eyeExtend for FireEye EX(メールセキュリティ) FireEyeが検出したEメールに添付された脅威に感染している端末をForescoutが発見。管理外の端末も含めて端末への対策がなされるまで端末を隔離する。またエージェントが入っていない場合、インストールを促す事が可能。 FireEye Forescout eyeExtend for FireEye HX FireEyeが検出した脅威に感染している端末をForescoutが発見。管理外の端末も含めて端末への対策がなされるまで端末を隔離する。またエージェントが入っていない場合、インストールを促す事が可能。 McAfee Forescout eyeExtend for McAfee ePO エージェントの有無やMcAfeeの機能停止しているかなどをForescoutが確認し、ポリシー抵触したら隔離などを実施。 Symantec Forescout eyeExtend for Symantec Endpoint Protection エージェントの有無やSEPの機能停止しているかなどをForescoutが確認し、ポリシー抵触したら隔離などを実施。またIoCデータを元に未管理端末含めて全てのデバイスをスキャンして対処する。 構成管理 ServiceNow Forescout eyeExtend for ServiceNow Forescoutがデバイスを検知し、取得したデバイス情報をServiceNowに提供。リアルタイムなCMDB情報を維持する事を実現。 次世代Firewall Check Point Forescout eyeExtend for Check Point NGFW Forescoutがデバイスに紐付けたタグ情報やデバイス状態などの情報をFirewall側と連携し、デバイス属性やコンテキスト情報に基づき適切なセキュリティポリシーを適用して隔離などを自動化。 Palo Alto Forescout eyeExtend for Palo Alto Networks NGFW Fortinet Forescout eyeExtend for Fortinet FortiGate NGFW
-
eyeSegment
Forescout社eyeSegmentソリューションを活用して、トラフィックフローの可視化を行いポリシーの設計とシュミレーションを実施することが可能です。eyeSegmentはユーザ、アプリケーション、サービス、デバイスの論理的な分類にトラフィックフローをマッピングを行い、論理セグメンテーションポリシーを構築、シミュレート、および最適化して、実装前に影響を把握が可能となります。
マルチベンダー環境および複数のネットワークドメインであっても、単一のポリシーセットを実装が可能で、想定外通信を監視しアクセスコントロールを実施します。
- トラフィックフローの可視化
ユーザ、アプリケーション、サービス、デバイスの論理的な分類にトラフィックフローをマッピング
- ポリシーの設計とシュミレーション
論理セグメンテーションポリシーを構築、シミュレート、および最適化して、実装前に影響を把握
- 監視と対応
マルチベンダー環境および複数のネットワークドメインに単一のポリシーセットを実装
想定外通信を監視しアクセスコントロール
