SOARの今②

「XSOARで何ができるか」

ネットワンシステムズでは主力ファイアウォール製品としてパロアルトネットワークス社製品の「PA」を販売しています。

この「PA」を「XSOAR」と組み合わせることにより、対処を自動化することができることのフィージビリティスタディ（稼働担保の実機検証）を実施し、評価内容をレポートしました。

また、SIEM製品として「Splunk」を、管理者への通知には「Cisco Webex Teams」を利用し、一連のセキュリティ運用が自動化できることを検証しました。

以降はその検証レポートの内容となります。

次のことを確認・検証しました。

• PAからのアラート通知がSplunkに送信できるか
• Splunkから受信したアラート通知をXSOARのPlaybookに乗せられるか
• XSOARのPlaybookにて、PAへの設定変更と、Cisco Webex Teamsに通知できるか

検証環境（構成図）検証項目

前提条件

• PA側
  • Threat Preventionライセンス投入済み
  • Log Forward設定でSplunkへのAnti-Virus通知設置済み
• Splunk
  • PAからのSyslogを受信できるよう設定済み
  • PAのログ内容を理解できるようにCIMインストール済み
• XSOAR
  • PA、Splunk、Webex Teamsのインテグレーションを設定
  • Splunkからアラートを受信すると、Playbookが動くように設定
• Webex Teams
  • 検証用メッセージBOT作成済み

検証結果

上記から、「XSOAR」を用いることにより、セキュリティ運用管理者はログインプロセスを経ることなく、インシデント発生からPAへの設定変更までを、迅速にかつ確実に行えることが確認できました。

今後のドキュメント整備予定

「XSOAR検証済みアーキテクチャ（Validated Architecture）ガイド」作成予定です。

これには次を含めます

• XSOARで可能な構成と推奨構成（シングルテナント or マルチテナント、単一DB or 分散DBなど）
• バックアップの仕様（ハイアベイラビリティ構成はVM構成に依存など）
• スモールスタートする際の必須設定内容
• サイジングの目安

など

具体的な検証内容

ここからは、今回行った自動化・自動連携検証の具体的な方法について手順を追って説明します。

①PAでTest Virusを検知

PAで疑似インシデントの起因となるTest Virusの検知を行うため、Windowsファイル共有のセッションの中に「EICAR.zip」を通過させ、PAのAnti-VirusプロファイルにHITさせます。

その際、生成したログはSplunkにForwardする「Log-Forwarding設定」を施しておきます。

②SplunkでAnti-Virusアラートを受信

SplunkにPAのSyslogを認識させるには、PAのLogの意味を正しく理解・識別できるようにする必要があるため、PaloAlto Networksが作成したSplunk用のAdd-onをSplunkにインストールしておく必要があります。

Palo Alto Networks Add-on for Splunk　のダウンロードサイトのリンク

https://splunkbase.splunk.com/app/2757/

Palo Alto Networks Add-on for Splunk

Install an add-on in a distributed Splunk Enterprise deployment

1.Download the add-on from Splunkbase.

2.From the Splunk Web home screen, click the gear icon next to Apps.

3.Click Install app from file.

4.Locate the downloaded file and click Upload.

5.If Splunk Enterprise prompts you to restart, do so.

6.Verify that the add-on appears in the list of apps and add-ons.

③XSOARでアラートを受け取りワークフロー起動

1.XSOARではSplunk Integration設定のデフォルト値の20分毎にThreat Preventionアラートの有無をチェックしに行きます。

2.Threat Preventionアラートに差分があれば、XSOAR上でワークフローが起動し、さらに感染IP情報などの追加情報をSplunkに取得しに行きます。

④PAのAddressオブジェクトへIPブロック設定通知

1.XSOARのPlaybookで抽出した感染IP情報をPAのAddressオブジェクトへ設定変更通知を行います。

2.その後、Commit設定通知を行い、動作変更を行います。

⑤、⑥Cisco Webex Teams へNotification通知

予めWebex BOTを作成しておく必要があります。

作成の仕方は次を参照

https://developer.webex.com/

具体的な検証内容まとめ

本検証では、XSOARと中心とした、Palo Alto PA、Splunk、Cisco Webex Teamsとの連携の確認ができました。

以下の点は、設定に注意が必要なポイントです

• XSOARのIntegration設定でSplunkのFetch(データを取りに行く動作)の設定を行いましたが、20分毎のSplunk Search結果取得の際にイベント情報が含まれていないため、Playbook内の処理でイベント情報を取得しに行くことが必要でした。
• XSOARのPlaybookの処理の起因として、インシデント情報を取り込む必要がありますが、設定の紐づけが直感的でなく、かつGUI設定が分かれた箇所に存在するため、 Playbookのフローを動作させるのに取り込み手順の確認が必要でした。
  • 取り込み用incidentの名称定義　→　integrationでdefault incidentの指定　→　Playbookで取り込みインシデントの指定
• XSOARのPlaybookの処理の最後に、 Palo Alto PAに「Commit」を施す箇所がありますが、PAのCommitは仕掛けてから30秒以上のConfig-Validateの後に正常にCommit完了となるためその時間を待つ処理をXSOARに施すのに工夫が必要です。手動でフローを書くのは大変なのでビルトインPlaybookの「PAN-OS Commit Configuration」を接続すると便利です。

これで匠コラムの内容を終了します。

今回で「SOARの今」のシリーズは終了です。

最後まで読んでいただき、ありがとうございました。

用語集

SIEM(Security Information and Event Management)：シームと読みます。セキュリティソフトの一つで、様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象(インシデント)をいち早く検知・分析できるテクノロジーです。

SOAR(Security Orchestration, Automation, and Response)：ソァと読みます。Gartnerによって提唱されたセキュリティ運用における自動化と自動連係のテクノロジーです。

XSOAR：パロアルトネットワークス社の次世代SOAR製品です。正式名称Cortex XSOAR。

Demisto：現Cortex XSOARの以前の社名・製品名です。ネイティブSOARとして市場拡大していました。

PA：パロアルトネットワークス社の次世代FW製品です。

Splunk：スプランク社のログマネジメント製品です。正式名称Splunk Enterprise。

Cisco Webex Teams：シスコシステムズ社のコラボレーションツールです。

執筆者プロフィール

2008年 ネットワンシステムズ株式会社中途入社
入社から3年間金融系フロントSEとしてセキュリティシステム設計、導入。
6年間外部向けメーカー認定セミナー（Cisco、PaloAlto）講師を担当。
現在応用技術部セキュリティ製品担当　兼　社内CSIRTメンバーとして従事。
日本CSIRT協議会の事例分析WGと訓練WGへも積極参加し、社内外に対して常に運用を意識したセキュリティソリューションを開発中。
Cisco資格CCIEダブルフォルダー（SEC、R&S）、CISSP、PMP保有

ラインナップ

ピックアップ

ナレッジセンターを検索する