Palo Alto Networks WildFireとTanium Detectの構成

Palo Alto Networks WildFire (WildFire)とDetectの統合により、エンドポイント上のマルウェアをすばやく見つけることができます。 

概要

Palo Alto Networksのファイアウォールセキュリティポリシーを使用して疑わしいファイルを取得し、脅威分析のためにそれらをWildFireシステムに転送することができます。ファイルがマルウェアである場合、そのステータスがファイアウォールに報告されます。

WildFireの分析が完了したら、ConnectとDetectにデータを送信して、すべてのエンドポイントでマルウェアの証拠を見つけることができます。

TaniumとWildFireの統合方法

ConnectはファイアウォールおよびWildFireと通信してマルウェアレポートを取得し、Detectに送信します。

F: 図1: TaniumとWildFire
  1. Connectは、設定された間隔で新しいマルウェアアラートをファイアウォールに問い合わせます。
  2. Connectにマルウェアアラートのリストがある場合は、関連するWildFireレポートをWildFireで確認します。
  3. Connectに送信されるマルウェアアラートのリストに関連付けられているWildFireレポート。
  4. Connectは、WildFireレポートをSTIX (Structured Threat Information Expression)IOCに変換します。
  5. STIX IOCはDetectにインポートされます。
  6. Detectは、エンドポイント上のマルウェアの証拠を環境内で検索します。

前提条件

Palo Alto Networksの要件

  • Cloud WildFire (wildfire.paloaltonetworks.com)または設定済みのWF-500 WildFireアプライアンスへの登録。
  • Palo Alto Networksファイアウォール(Panorama有り/無し)
  • APIアクセス権を持つファイアウォールまたはPanoramaのユーザーアカウント。このアカウントは読み取り専用にも指定できますが、APIアクセス権が必要です。詳細については、Palo Alto Networks:ファイアウォール管理者の管理を参照してください。

Taniumの要件

  • Tanium™ Core Platform 7.0以降。
  • Detect 2.2以降。
  • Connect 3.2.0以降。

Palo Alto NetworksコンソールでWildFireの送信を確認する

Palo Alto NetworksのTaniumにインポートできる悪意のあるファイルに関するレポートを取得していることを確認するには、次の手順を実行します。

  1. [Monitor (モニタ)]タブをクリックして[Logs (ログ)] > [WildFire Submissions (WildFireの送信)]に移動します。
  2. [Verdict (評決)]列で悪意のあるエントリがあるかチェックする。
  3. [Receive Time (受信時間)]列の値をチェックします。Taniumは、24時間以内のレポートのみをダウンロードします。

この画面にデータが表示されない場合は、Palo Alto Networksの構成を確認してください。

一般的な接続情報を指定する

  1. Connectのホームページで、[Create Connection (接続の作成)] > [Create (作成)]の順にクリックします。
  2. 接続の名前と説明を入力します。
  3. 接続をスケジュールで実行できるようにするには、[Enable (有効化)]を選択します。残りの接続を構成するときにスケジュールの詳細を指定できます。スケジュールが有効になっていない場合は、手動で実行するときにのみ接続が実行されます。
  4. (オプション)ロギングレベルを設定します。
    デフォルトでは、ログは[Information (情報)]に設定されています。ログレベルを[Trace (トレース)]、または接続をデバッグしている場合は[Debug (デバッグ)]に設定します。ロギングの量を減らすために、ログレベルを[Warning (警告)][Error (エラー)]、または[Fatal (致命的)]に設定できます。

接続元としてWildFireを構成する

ファイアウォールで新しいマルウェア警告が検出されると、接続元設定で定義されているように、WildFireから関連するマルウェアレポートが取得されます。

  1. Palo Alto Networks Panoramaまたは個々のファイアウォールの資格情報を定義します。
    Taniumは定期的に新しいマルウェアアラートを照会します。ユーザーは、ログAPIへの少なくとも読み取り専用(device_admin_readonly)アクセス権が必要です。

  2. WildFireの設定を指定します。
    ファイアウォールからマルウェアの新しいアラートが取得されると、そのマルウェアレポートがWildFireから取得されます。このセクションでは、TaniumがWildFireにアクセスするための詳細を指定します。
  3. (オプション)高度な設定を定義します。
    T: 表2: WildFireのソース設定
    設定説明
    Filter (フィルタ)どのWildFireがTaniumの収集をレポートするかを制限します。詳細については、(オプション) WildFireレポートをフィルタリングするを参照してください。
    Evidence Value (証拠値)生成されたIOCインジケータが悪意のあるイベントにどれだけ厳密かを指定する0と1の間の10進値。デフォルトの0.4値が推奨されます。偽陽性を引き起こす可能性よりも、詳細なIOCを必要とする場合には、0.1、0.2、または0.3を試してください。
    Optional parameters (オプションパラメータ)オプションパラメータについてはテクニカルアカウントマネージャにお問い合わせください。
    Collect New Reports every time (Ignore Cache File) (毎回新しいレポートを収集する(キャッシュファイルを無視する)Taniumが接続するたびにすべてのWildFireレポートを収集するかどうかを指定します。デフォルトは無効です(未選択)。未選択の場合、すでにダウンロードされているWildFireレポートは無視されます。これを選択すると、既存のWildFireレポートが再ダウンロードされ、トラブルシューティングに役立ちます。
    Use Tanium Module Server Proxy Setting (Tanium Module Serverのプロキシ設定を使用する)

    Tanium™ Module Server用に定義されたプロキシがある場合に選択します。詳細については、Taniumプラットフォームインストールガイド:プロキシサーバの設定を参照してください。

接続先としてTanium Detectを構成する

データ送信先として[Detect Intel Provider (インテリジェンスのプロバイダを検出)]を選択し、作成したIOCグループを選択します。

接続をスケジュールする

接続は、1時間、1日、1週間、または1か月に複数回など、設定可能な時間間隔で実行できます。

スケジュールを更新する: 

  • [Generate Cron (Cronを生成)]タブを使用して、いくつかの共通の時間間隔に基づいてスケジュールを作成します。このタブは、Cron式を生成します。
  • Cron式を直接表示または編集するには、[Edit Cron Expression (Cron式の編集)]タブをクリックします。

接続を保存して検証する

  1. [Create Connection (接続の作成)] > [Create (作成)]の順にクリックします。接続が作成されると、新しい接続が接続ページのリストに表示されます。
  2. 接続の実行時の詳細を表示するには、接続の名前をクリックします。表示される接続の詳細ページで、[Runs (実行)]タブをクリックします。
  3. 個々の実行ログを表示するには、[Runs (実行)]テーブルで[Status (ステータス)]列のリンクをクリックします。

次のメッセージは、接続テストが正常に完了したことを示しています。

30 Today at 04:00:43 PM | INFO | 3272 | WriteToDetect: inserting ioc
32 Today at 04:00:43 PM | INFO | 3272 | StreamRunner: Connection run complete. Duration: 3, Data Transferred: 5.51 KB

DetectのWildFireからインテリジェンスを表示する

Detectで[Management (管理)] > [Source (ソース)]をクリックします。
WildFireからインポートされたIntelを見ることができます。継続的なエンドポイントスキャンのために、グループ構成の検出にWildfire Intelを追加することができます。

この接続によって作成されるIntelドキュメントは、アラートが検出されたファイアウォールの名前と、WildFireレポートを一意に識別するSHA-256ハッシュの最初の8文字の組み合わせです。

最終更新:2019/06/0418:43| フィードバック

Powered by Translations.com GlobalLink OneLink Software