皆さんこんにちは。技術本部のTTです。今回は産業用IDSであるNozomi Networks社のGuardianと、産業用IPSであるTXOne Networks社のEdgeIPSを連携させることで、Guardianで検知した通信をEdgeIPSで遮断することが出来たためやり方を紹介します。
事前準備
今回は下図のような環境を構築しました。大まかな手順としては、Guardianを検知モードに変更した状態でPC1とPC2の間で通信を発生させることで、Guardianに不審な通信であると認識させます。Guardianは該当する情報をEdgeIPSに遮断を行うように送信するため、情報を送られたEdgeIPSは該当する通信を遮断する、というものになっています。
ポイントとしては、GuardianとEdgeIPSの連携には管理コンソールであるEdgeOneが必要なためEdgeOneも構築していることと、EdgeIPS内を通る通信のミラーリング機能が搭載されているEdgeIPS Pro216モデルを使用している点となります。
今回は詳細な手順は省略しますが、EdgeOneとEdgeIPSを同期させ、EdgeIPSが検知した内容をEdgeOneに送信したり、EdgeOneで設定したルールがEdgeIPSに伝播されたりするように設定します。
Nozomiが検知した内容をEdgeOneに送信するような連携設定はNozomi側で実施します。以下の画像にある通り、こちらの連携設定を行うことで、Nozomiの学習期間終了後に観測された、未知のノードや未知のリンク情報をEdgeOneとEdgeIPSに送信し、EdgeIPS側で遮断することが可能になります。遮断の方法は、未知のノード(IPアドレスもしくはMACアドレス)を遮断する「ノードブロック」と、未知のリンク(ノード同士の通信)をブロックする「リンクブロック」があります。設定項目は「Firewallインテグレーション」にありますが、選択するFirewallは「TXOne OT Defense Console」となる点に注意して下さい。これはEdgeOneの1世代前の製品名ですが、連携については問題なく利用できます。本設定で入力が求められるAPIキーとAPIシークレットについては、EdgeOne側の「API Key Management」から払い出すことが可能です。
続いて、EdgeIPSからミラーパケットを流してGuardianでキャプチャさせるために、ポート1とポート2を流れるパケットをミラーリングするようにGUIで設定します。
また、EdgeIPS内に流れている通信をEdgeIPS側でも可視化できるように、全ての通信をロギングするようなポリシールールを事前に設定します。
最後に、Nozomiから送信された未知のノードやリンクの情報をEdgeIPS側で遮断するための設定をEdgeOne経由でEdgeIPSに登録します。Nozomiから送信された情報は「Suspicious Object」というデータとして登録されるため、Suspicious Objectが通信で観測された場合に遮断するように設定します。
動作確認
事前準備が完了したら、実際に通信を発生させて遮断します。実施手順としては以下になります。
- Guardianを学習モードから保護モードに変更(最初に変更することにより、Guardianが全ての観測した通信を未知の通信だと判断します)
- PC1とPC2で通信を発生させる
- Guardianで「NEW-NODE」のアラートが発報される
- EdgeIPSに該当通信の情報がSuspicious Objectとして登録されたことを確認
- Suspicious Objectとして登録された通信を含む通信を再度実施し、通信可否を確認
手順4にあるように、アラートで発報されたノードのIPアドレス情報がEdgeOne側に登録されていることを確認できます。
Suspicious Objectとして登録された項目はEdgeOne側で受け入れることで、EdgeIPS側で遮断するための設定を事前に投入しているため、次回該当する通信が観測された場合に制御することが可能です。
実際に該当通信がブロックされていることが以下の画像から確認できます。
まとめ
今回はOTセキュリティにおいてよく耳にする2製品の連携機能を実践しました。各製品で得意/不得意は異なるため、複数製品を連携させることで各製品の不得意を補い、より強固なセキュリティを構築することが可能です。
一方の製品に触れているだけでは連携のイメージが掴みにくいので、より具体的にイメージするための手助けとなれば幸いです。
