Netskopeの次世代フォレンジックを有効化する方法

NetskopeのRelease Notes Version 111.0.0がリリースされました。

今回私はR111で新たにリリースされた次世代フォレンジックの機能紹介が担当となりましたので、本ブログで実際にこの機能を試してみたいと思います。

フォレンジックとは?

NetskopeのフォレンジックはDLP等を利用している場合に有効な機能となります。DLPルールを指定すると、ルール違反のコンテンツ等を検出することが出来ますがフォレンジック機能を利用していない状態では「ルール違反を検出した」というインシデントが記録されるのみで、誤検知なのかの判断を行うことが出来ません。

こちらが、フォレンジックが構成されていない状態でのDLPインシデント検出の画面となりますが、Canadian PII.docxというファイルが"Contextual Data Protection Policy for Cloud Storage"というポリシー違反によってアラートが記録されたことはわかりますが、"Canadian PII.docx"にどのような文字列が含まれていたかを知ることが出来ません。

フォレンジック未構成時のDLP違反検出画面

SOCアナリストの方々はこの状態では本当にインシデントなのかを判断することが出来ず、この操作を行ったユーザーにメールや電話で内容を確認する手間が発生します。

フォレンジックを有効にすると、"含まれていた文字列"の部分まで記録に残すことが出来るようになりますので、証拠能力を高めることが可能になります。

フォレンジックを有効化すると、DLPにマッチした文言が確認出来るようになる

※なお、フォレンジック機能自体は古くからありました。

次世代フォレンジックとは?

次世代フォレンジックはこれまでのNetskopeのAPI保護から分離することを目的としています。

フォレンジック機能はこれまでもあったのですが、これまでのフォレンジック機能はAPI保護の設定の一部として組み込まれていました。具体的にはSettings -> Configure App AccessからAPIの連携設定を行う必要がありました。

例えばDLPフォレンジック用としてBOXを利用したいだけなのに、BOXのAPI保護の設定を行う必要がありました。そして、フォレンジック以外の機能を追加する場合等もこのチェックボックスのオン/オフをしなければならず、少し不便と感じていた方もいらっしゃったのではないでしょうか。

従来のフォレンジック設定画面。API保護の一部だったのでわかりにくかった

次世代フォレンジックであれば、DLPフォレンジック用として管理するクラウドストレージを直接指定することが可能でありAPI保護の設定を操作する必要が無くなりました。フォレンジックに関する設定がシンプルになったと言えます。

次世代フォレンジックの利点を纏めると以下となります。
・Forensicの設定だけを独立した設定として扱えるようになった。
・Classic APIによるフォレンジックと異なり、最小権限でのフォレンジック構成が可能
・現時点で次世代フォレンジックとして構成可能なクラウドストレージは以下の2つ
　- Microsoft SharePoint
　- Azure Blob Storage

次世代フォレンジック設定の流れ

次世代フォレンジックを設定するためのおおまかな流れを以下に示します。

1.フォレンジックデータを保存するためのクラウドストレージを選択します。
　現在はMicrosoft SharePointとAzure Blob Storageが指定可能です。
2.フォレンジックプロファイルを作成します。
3.フォレンジックプロファイルを有効化します。

Sharepointを次世代フォレンジックの宛先として構成する

今回は、Sharepointを次世代フォレンジックのフォレンジックデータの保存先として構成します。

まず、対象とするSharepointとNetskopeが連携するための認証設定を行います。
1.Netskopeテナントにログインします。
2.Settings -> Forensicsをクリックします。
3.Instanceタブをクリックします。

4."Setup Forensic Instance"をクリックし、メニューから"SharePoint"をクリックします。

5."Office 365 Environment"をクリックし、メニューから"Commercial"か"GCC High"を選択してください。

　※Commercial = 商用テナント(通常はこちらを選択します)
　 GCC High = 米国国防総省、米国国防総省の管理下における非機密扱いの情報 (CUI) を保持または処理する企業が契約しているテナント。

6."INSTANCE NAME"の部分にわかりやすい名称を登録してください。(オプション)

7."GRANT ACCESS"をクリックします。

8.MS365側の承認画面が表示されますので、"承諾"をクリックします。

9.NetskopeとMS365で正しく連携が成功すると以下の画面が表示されます。

また、正しく連携が出来ていれば以下のようにチェックマークが緑色で表示されます。
　※緑色になっていない場合はブラウザをリロードしてください。

これで、Sharepointをフォレンジックデータの保存先として指定することが可能になりました。

フォレンジックプロファイルを作成する

次にフォレンジックデータを保存するSharepointの場所を指定します。

1.Netskopeテナントにログインします。
2.Policy -> Forensicをクリックします。
3."NEW FORENSIC PROFILE"をクリックします。

4.Sharepointの保存先を指定します。
　・PROFILE NAME:フォレンジック プロファイルの名前を入力します。
　・APP:Sharepoint(Next Gen Forensic)を選択します。
　・INSTANCE:先程の手順で作成したアプリインスタンスを選択します。
　・SITE:Sharepointの保存先サイトとなります。
　　以下の例を基に適切なフォレンジックデータの保存場所を指定します。

SharepointがCommercialの場合の指定例
　　https://<account-name>.sharepoint.com/sites/<site-name>

SharepointがGCC Highの場合の指定例
　　https://<account-name>.sharepoint.us/sites/<site-name>

5."SAVE"をクリックします。

フォレンジックプロファイルを有効化する

最後に、フォレンジックプロファイルを有効化します。
1.Netskopeテナントにログインします。
2.Settings -> Forensic -> "CONFIGURATION"をクリックします。

3."EDIT"をクリックします。
4."Forensics enabled"をクリックし、有効化します。
5."CONFIGURATION"のメニューから先程作成したフォレンジックプロファイルを選択します。
6.(オプション)DLPインシデントの原因となった違反ファイルをダウンロード出来るようにするには、"Enable orifginal file access"にチェックを入れてください。

7."SAVE"をクリックします。

フォレンジックを上手く活用し、SOCアナリストの負荷を下げる

内部不正対策を検討する場合には、重要情報がどこに保存されているか?ルール違反をして外部に共有しようとしていないか?を知るためにDLPは重要な技術です。

しかし、フォレンジックが有効化されていないと、DLPインシデントが発生するたびにSOCアナリストは誤検知か?本当に機密情報を含んでいるのか?を何らかの手段を用いて確認しなければなりません。

フォレンジックが有効化されていると、この確認作業を大幅に効率化することが可能になります。是非フォレンジック機能を有効にご活用ください。