- ライター:烏丸 正大
- 2020年にネットワンシステムズに入社。VMware Carbon Blackの製品担当として、技術的観点での検証、検証結果の共有、案件支援などの業務に取り組んでいる。セキュリティのスペシャリストになるべく、エンドポイント領域を中心にスキルを高めている。
目次
はじめに
本ブログでは、VMware Carbon Black Cloud™に実装されている、Data Forwarder機能についてご紹介いたします。Data Forwarder機能を用いることで、端末イベントを長期で保存し、有事の際に保存した情報を活用したいといった要件を満たすことができます。
VMware Carbon Black Cloudのような、EDR機能を持つ製品に求められることの一つに、「エンドポイント端末のイベントを長期間保存し、インシデント時の調査復旧を支援すること」があります。VMware Carbon Black Cloudでは、*通常の端末イベントは30日間、アラートに紐づくイベントは、180日間保存し、管理コンソール上からイベントの調査、分析、復旧を行うことが可能です。規定値で、必要十分な保存期間を有していますが、VMware Carbon Black Cloudを提案していく中で、より高いセキュリティレベルを求める多数の企業から既定の保存期間では要件を満たせないという声を多く貰っています。地方自治体などは3年や5年という期間の端末イベントを保存することが多いですが、民間企業においても長期間保存するケースが増加しています。
昨今の高度なセキュリティ攻撃では、マルウェアを送り込んでから徐々にラテラルムーブメント(横方向へのネットワークを通じた移動)を実施し、時間をかけながらセキュリティ担当者に気づかれないように重要な資産を盗む手法をとります。このような長期にわたる攻撃の記録をすべて記録できるようにするために、EDRの端末イベントの保持期間は意識する必要があります。
本ブログを執筆するに際して、弊社の環境内で、Data Forwarder機能を利用した端末イベントの転送検証を実施いたしました。検証を通じて得られた、Data Forwarder機能を利用する際のポイントについて述べていきたいと思います。
*「VMware Data Retention™ for VMware Carbon Black Cloud™」を利用することで、イベントデータ保持期間を60 日、90 日、180 日延長することも可能です。
簡単な環境構築
VMware Carbon Black Cloud のData Forwarderは、非常に簡単な設定で利用を開始することができます。図1はData Forwarder利用時の構成図です。VMware Carbon Black Cloudは、端末にインストールされているエージェント(Carbon Black Cloudセンサー)と通信し、エンドポイントの保護機能を提供します。その際に収集した端末のイベント情報をクラウド上に蓄積し、VMware Carbon Black Cloudの管理コンソール上に表示します。
Data Forwarder機能を利用開始するための手順は大きく分けて、AWS上にS3バケットを作成することと、VMware Carbon Black Cloudの管理コンソールから、必要なData Forwarder機能の設定を入れることの二点です。本ブログを執筆するに際して、初めてData Forwarder環境を構築しましたが、VMware Docs™に記載されている手順を基に、30分程度で全ての設定が完了いたしました。
図1 VMware Carbon Black Cloud Data Forwarder構成図
柔軟性のあるイベントフィルタリング
Data Forwarder機能では、AWS S3バケットに保存する端末イベントの条件を細かく指定し、必要な情報のみに絞って保存しておくことが可能です。端末イベントの長期保存を考える場合、維持コストを考えることは非常に重要です。そのため、本当に必要な情報のみに絞って、端末イベントを長期保存できる仕様が備わっていることは、非常に重要となります。
下の図が実際にVMware Carbon Black Cloudの管理コンソールから、Data Forwarderの設定行う画面となります。こちらの画面で、作成したS3バケットの情報を入力することで、Data Forwarder機能の利用を開始することができます。例えば、下の図では以下の設定を入れています。
タイプ:エンドポイントイベント
データのフィルタ基準①:アラートIDあり
データのフィルタ基準②:センサーアクション 必要データ:いずれかに一致 値:Action_BLOCK,Action_TERMINATE
図2 Data Forwarder 基本フィルタ設定
このような設定を入れておきますと、アラート通知が生成されており、端末にインストールしているエージェントによって、プロセスの拒否、または強制終了する処理が入ったときの端末イベントのみをS3バケットへ転送することができます。
エージェントの動作(Block,Allow,Terminate等)、イベントのタイプ(ネットワーク通信、API呼び出し等)といった、基本的な条件式は、図2のようにドロップダウンリスト形式で指定することが可能です。
さらに細かい条件を指定することも可能で、その際は、図3のように、クエリ形式で条件を指定します。
図3 Data Forwarder カスタムクエリ設定
クエリ形式で指定する必要があるため、最適なチューニングにはスキルを要します。弊社では、最適なチューニングが行えるように、社内環境を利用した検証を通じて、日々ナレッジを蓄積しています。
参考:VMware Carbon Black Tech Zone, Getting Started: Custom Filters for the Data Forwarder
https://carbonblack.vmware.com/resource/getting-started-custom-filters-data-forwarder#summary
まとめ
今回は、VMware Carbon Black Cloudに実装されている、Data Forwarder機能をご紹介いたしました。本検証の結果、VMware Carbon Black Cloudは、端末イベントを長期で保存し、セキュリティレベルを高めたいという要件を満たすことのできる製品であることが分かりました。
弊社では、今後もお客様の要件に合う検証を実施し、ナレッジの蓄積、利活用を進めていきます。本記事を読み、VMware Carbon Black Cloudにご興味をお持ちいただけましたら、お気軽に弊社営業担当までご連絡ください。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
