コンプライアンスWhiteリストの概要
コンプライアンスwhiteリスト(whiteリストと省略されることもある)は、どのオペレーティングシステム、アプリケーション(Web とクライアント)、およびプロトコルがネットワーク上のホストで許可されるかを指定する一連の条件です。システムはホストがこのリストにないとイベント(違反)を生成します。
コンプライアンスwhiteリストには 2 つの主要な構成要素があります。
-
ターゲットは、コンプライアンス評価の対象として選択するホストです。サブネット、VLAN、およびホスト属性で制約して、全部または一部のモニター対象ホストを評価できます。マルチドメイン展開では、ドメインと、ドメイン内またはドメインをまたいだサブネットを対象にすることができます。
-
ホスト プロファイルは、ターゲットのコンプライアンス基準を指定します。グローバル ホスト プロファイルはオペレーティング システムに依存しません。また、各オペレーティングシステム専用のホストプロファイルを設定できます。これは、単一のwhiteリスト専用としても、複数のwhiteリストの共有プロファイルとしても設定できます。
Cisco Talos Intelligence Group(Talos) は、推奨設定が指定されたデフォルトのwhiteリストを提供しています。カスタムwhiteリストを作成することもできます。単純なカスタムリストでは、特定のオペレーティングシステムを実行するホストのみを許可できます。より複雑なリストでは、すべてのオペレーティングシステムを許可するとともに、特定のポートで特定のアプリケーションプロトコルを実行する際にホストが使用する必要のあるオペレーティングシステムを指定できます。
(注) |
システムは、エクスポートされた NetFlow レコードからネットワークマップにホストを追加できますが、これらのホストに使用できる情報は限られます(NetFlow データと管理対象デバイス データの違いを参照)。この制限は、コンプライアンスwhiteリストの作成方法に影響する場合があります。 |
コンプライアンスWhiteリストの実装
whiteリストを実装するには、アクティブな相関ポリシーにリストを追加します。システムはターゲットを評価し、対応する属性を各ホストに割り当てます。
-
準拠(Compliant):ホストはリストに違反していません。
-
非準拠(Non-Compliant):ホストはリストに違反しています。
-
評価されていない(Not Evaluated):ホストがリストのターゲットではないか、現在評価中であるか、またはシステムに十分な情報がないためホストが準拠しているかどうかを判断できません。
(注) |
ホスト属性を削除するには、対応するwhiteリストを削除します。1 つのwhiteリストを非アクティブ化、削除、または相関ポリシーから削除しても、各ホストのホスト属性は削除されず、属性の値が変更されることもありません。 |
最初の評価後、モニター対象ホストがアクティブなwhiteリストに違反するたびにwhiteリストイベントが生成されます。また、whiteリスト違反が記録されます。
ワークフロー、ダッシュボード、およびネットワークマップを使用して、システム全体のコンプライアンス アクティビティをモニターし、個々のホストがwhiteリストにいつどのように違反したのかを判断できます。修復およびアラートでこのような違反に自動的に応答することもできます。
例:Web サーバーへの HTTP の制限
セキュリティ ポリシーは、Web サーバーのみが HTTP を実行できることを指定しています。HTTP を実行しているホストを特定するために Web ファーム以外のネットワーク全体を評価するwhiteリストを作成します。
ネットワーク マップとダッシュボードを使用して、ネットワークのコンプライアンスの概要を一目で把握できます。数秒で、ポリシーに違反して HTTP を実行している組織内のホストを正確に特定して適切に対処できます。
その後で、相関機能を使用して、Web ファーム内に存在しないホストが HTTP の実行を開始するたびに警告するようにシステムを設定できます。
コンプライアンスWhiteリストのターゲットネットワーク
ターゲットネットワークは、コンプライアンス評価の対象となるホストを指定します。whiteリストには、複数のターゲットネットワークを含めることができ、いずれかのターゲットの基準を満たすホストが評価されます。
最初は、ターゲット ネットワークは IP アドレスまたはアドレス範囲で制約されています。マルチドメイン展開では、初期の制約にドメインも含まれます。
システム提供のデフォルトのwhiteリストでは、すべてのモニター対象ホスト(0.0.0.0/0 および ::/0)がターゲット設定されています。マルチドメイン展開では、デフォルトのwhiteリストはグローバルドメインに制約されています(グローバルドメインでのみ使用可能です)。
ホストがwhiteリストに対して有効ではなくなるようにターゲットネットワークまたはホストを変更すると、ホストはこのリストで評価されなくなり、準拠と非準拠のいずれとしても見なされなくなります。
ターゲット ネットワークの調査と改善
whiteリストにターゲットネットワークを追加すると、システムにより、準拠ホストの特徴を確認できるようにネットワークマップを調査するよう求められます。調査により、ターゲットは、調査済みのホストを表すwhiteリストに追加されます。
サブネットまたは個別のホストを調査できます。マルチドメイン展開では、ドメイン全体を調査することも、ドメインをまたいで調査することもできます。先祖ドメインを調査すると、システムによってこのドメインの子孫が調査されます。
追加されたターゲットに加えて、調査では、調査で検出されたオペレーティングシステムごとに 1 つのホストプロファイルがwhiteリストに入力されます。デフォルトで、これらのホスト プロファイルは、システムが該当するオペレーティング システム上で検出したクライアント、アプリケーション プロトコル、Web アプリケーション、およびプロトコルのすべてを許可します。
ターゲット ネットワークを調査(または調査をスキップ)した後、対象を絞り込みます。IP アドレスを使用してホストを除外するか、ホスト属性または VLAN によりターゲット ネットワークを制約します。
コンプライアンスWhiteリストを使用したドメインの対象化
マルチドメイン展開では、ドメインとターゲット ネットワークは密接にリンクされています。
-
リーフドメインの管理者は、自分のリーフドメイン内のホストを評価するwhiteリストを作成できます。
-
上位ドメインの管理者は、ドメインをまたいでホストを評価するwhiteリストを作成できます。同じ white リストで、異なるドメイン内の異なるサブネットを対象にできます。
グローバル ドメインの管理者であり、展開全体の Web サーバに同じコンプライアンス基準を導入する必要があるというシナリオを考えてみます。コンプライアンス基準を定義するグローバルドメインに 1 つのwhiteリストを作成できます。次に、各リーフドメイン内の Web サーバーの IP スペース(または個別の IP アドレス)を指定するターゲットネットワークを使用して、whiteリストを制約します。
(注) |
リーフ ドメインの IP アドレスと範囲を対象にすることに加えて、上位のドメインを使用してターゲット ネットワークを制約することもできます。上位ドメインのサブネットを対象にすることにより、各子孫リーフ ドメインの同じサブネットが対象となります。 システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。 |
コンプライアンス White リストのホストプロファイル
コンプライアンス white リストにおいて、ホストプロファイルは、ターゲットホスト上で実行を許可するオペレーティングシステム、クライアント、アプリケーションプロトコル、Web アプリケーション、およびプロトコルを指定します。コンプライアンス white リストで使用できるホストプロファイルは 3 種類あります。3 種類のホストプロファイルはそれぞれ、エディタ上での表示が異なります。
ホスト プロファイル タイプ |
表示 |
説明 |
---|---|---|
グローバル |
すべてのオペレーティング システム |
オペレーティング システムに関係なく、ターゲット ホスト上で実行が許可されている内容を指定します。 |
オペレーティング システム別 |
プレーン テキストで表示 |
特定のオペレーティング システムを使用するターゲット ホスト上で実行が許可されている内容を指定します。 |
共有 |
イタリックで表示 |
複数の white リストで使用可能なオペレーティングシステム条件を指定します。 |
オペレーティング システム固有のホスト プロファイル
コンプライアンスwhiteリストでは、オペレーティングシステム固有のホストプロファイルで、ネットワーク上での実行を許可するオペレーティングシステムだけでなく、それらのオペレーティングシステム上での実行を許可するアプリケーションプロトコル、クライアント、Web アプリケーション、およびプロトコルも指定します。
たとえば、準拠ホストでは Microsoft Windows の特定のバージョンを実行することを要件にすることができます。別の例として、SSH の実行を Linux ホストのポート 22 で許可した上で、SSH クライアントのベンダーとバージョンをさらに制限することもできます。
ネットワーク上での実行を許可するオペレーティング システムごとに 1 つのホスト プロファイルを作成します。ネットワーク上でオペレーティング システムを禁止する場合は、そのオペレーティング システム用のホスト プロファイルを作成しないでください。たとえば、ネットワーク上のすべてのホストで Windows が実行されるようにするには、そのオペレーティングシステム用のホストプロファイルのみを含めるようにwhiteリストを設定します。
(注) |
未確認ホストは、確認されるまで、すべてのwhiteリストに準拠していると見なされます。ただし、不明ホストのwhiteリストホストプロファイルを作成することはできます。未確認ホストとは、オペレーティング システムを識別するために十分な情報が収集されていないホストのことです。不明ホストとは、既知のフィンガープリントと一致しないオペレーティング システムを使用しているホストのことです。 |
共有ホスト プロファイル
コンプライアンスwhiteリストでは、共有ホストプロファイルが特定のオペレーティングシステムに関連付けられますが、それぞれの共有ホストプロファイルを複数のwhiteリスト内で使用できます。
たとえば、世界中にオフィスがあり、拠点ごとに別々のwhiteリストを使用する一方、Apple Mac OS X を実行しているすべてのホストに対しては常に同じプロファイルを使用するとします。その場合、該当するオペレーティングシステム用の共有プロファイルを作成し、そのプロファイルをすべてのwhiteリストで使用するという方法があります。
デフォルトwhiteリストでは、組み込みホストプロファイルと呼ばれる特殊なカテゴリの共有ホストプロファイルが使用されます。これらのプロファイルは、組み込みのアプリケーション プロトコル、Web アプリケーション、プロトコル、クライアントを使用します。コンプライアンスwhiteリストエディタでは、システムはこれらのプロファイルを組み込みホストプロファイルアイコンで示します。
マルチドメイン展開では、現在のドメインで作成された共有ホスト プロファイルが表示されます。このプロファイルは編集できます。先祖ドメインで作成された共有ホスト プロファイルも表示されますが、これは編集できません。下位のドメインで作成された共有ホスト プロファイルを表示および編集するには、そのドメインに切り替えます。
(注) |
共有ホストプロファイル(ビルトインを含む)を変更した場合、またはビルトイン アプリケーション プロトコル、プロトコル、クライアントを変更した場合、これらのプロファイルを使用するすべてのwhiteリストに影響します。これらの組み込み要素に意図しない変更を加えた場合、または削除した場合は、工場出荷時の初期状態にリセットすることで対処できます。 |
Whiteリスト違反のトリガー
ホストのwhite リスト コンプライアンスは、システムで次のことが発生すると変化する場合があります。
-
ホストのオペレーティング システムの変更を検出
-
ホストのオペレーティング システムまたはホスト上のアプリケーション プロトコルに関するアイデンティティの競合を検出
-
ホスト上でアクティブになっている新しい TCP サーバ ポート(SMTP または Web サーバによって使用されるポートなど)、または、ホスト上で実行中の新しい UDP サーバを検出
-
ホスト上で実行中の検出された TCP サーバまたは UDP サーバで、アップグレードのためのバージョン変更などの変更を検出
-
ホスト上で実行中の新しいクライアント アプリケーションまたは Web アプリケーションを検出
-
クライアント アプリケーションまたは Web アプリケーションを非アクティブを理由にそのデータベースからドロップ
-
ホストが新しいネットワークまたはトランスポート プロトコルと通信していることを検出
-
新しいジェイルブレイクされたモバイル デバイスを検出
-
ホスト上で TCP ポートまたは UDP ポートが閉じられたか、タイムアウトしたことを検出
さらに、ホスト入力機能またはホスト プロファイルを使用して次の操作を実行することによって、ホストのコンプライアンスの変化をトリガーできます。
-
ホストにクライアント、プロトコル、またはサーバを追加する
-
ホストからクライアント、プロトコル、またはサーバを削除する
-
ホストのオペレーティング システム定義を設定する
-
ホストが有効なターゲットでなくなるようにホストのホスト属性を変更する
(注) |
非常に多数のイベントが発生しないように、システムでは、その最初の評価に基づいて非準拠のホストにwhiteリストイベントを生成せず、またユーザーがアクティブなwhiteリストまたは共有ホストプロファイルを変更した結果としてホストを非準拠にしません。ただし、違反は記録されます。すべての非準拠ターゲットに対してwhiteリストイベントを生成する場合は、検出データを消去してください。ネットワークアセットを再検出すると、whiteリストイベントをトリガーすることがあります。 |
オペレーティングシステムのコンプライアンス
whiteリストで Microsoft Windows ホストのみがネットワーク上で許可されるように指定されている場合、システムでは、Mac OS X を実行中のホストを検出するとwhiteリストイベントを生成します。さらに、whiteリストに関連付けられているホスト属性が、そのホストに関して [準拠(Compliant)] から [非準拠(Non-Compliant)] に変更されます。
この例のホストが準拠に復帰するには、次のいずれかが行われる必要があります。
-
Mac OS X オペレーティングシステムを許可するようにwhiteリストを編集する
-
ホストのオペレーティング システム定義を手動で Microsoft Windows に変更する
-
オペレーティング システムが変更されて Microsoft Windows に戻ったことをシステムが検出する
非準拠のアセットをネットワークマップから削除する
whiteリストで FTP の使用が許可されていない場合に、アプリケーションプロトコルのネットワークマップ、またはイベントビューから FTP を削除すると、FTP を実行中のホストは準拠になります。ただし、システムがアプリケーションプロトコルをもう一度検出すると、whiteリストイベントが生成され、ホストは非準拠になります。
完全な情報に基づいてのみトリガーを実行
whiteリストでポート 21 で TCP FTP トラフィックだけを許可していた場合、システムでポート 21/TCP で不明なアクティビティを検出すると、whiteリストはトリガーを実行しません。whiteリストがトリガーを実行するのは、システムがトラフィックを FTP 以外のトラフィックとして識別するか、またはユーザーがホスト入力機能を使用してトラフィックを非 FTP トラフィックとして指定した場合だけです。システムは、部分的な情報のみを使用して違反を記録することはありません。