This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Security Insight
インターネットに接続しているWebアプリケーションやWebサービスアプリケーションの攻撃に対する脆弱性が高まってきています。アプリケーションを攻撃から保護するには、脅威を可視化し、攻撃に関する実用的なデータをリアルタイムで把握し、対策に関する推奨事項を把握する必要があります。Security Insightは、アプリケーションのセキュリティ状況を判断し、是正処置を実施してアプリケーションを保護するための統一管理コンソールソリューションです。
注
セキュリティインサイトは、バージョン11.0ビルド65.31以降で動作するCitrix ADCアプライアンスを搭載したCitrix Application Delivery Management(ADM)でサポートされています。
セキュリティインサイトの仕組み
Security Insightは、アプリケーションに関連するさまざまな脅威を把握できる直感的なダッシュボード型のセキュリティ分析ソリューションです。セキュリティインサイトはCitrix ADMに含まれており、アプリケーションファイアウォールとCitrix ADCシステムのセキュリティ構成に基づいて定期的にレポートを生成します。このレポートには、アプリケーション別に次の情報が含まれています。
-
脅威指数:アプリケーションがCitrix ADCアプライアンスによって保護されているかどうかに関係なく、アプリケーションに対する攻撃の重要度を示す1桁の評価システム。アプリケーションに対する攻撃の重大度が高いほど、そのアプリケーションの脅威指数は大きくなります。この指数の範囲は1~7です。
脅威指数は攻撃情報に基づいています。違反の種類、攻撃のカテゴリ、場所、クライアントの詳細などの、攻撃に関連する情報により、アプリケーションに対する攻撃について正確かつ詳細に把握できます。違反情報は、違反または攻撃が発生した場合にのみNetScaler ADM に送信されます。侵害や脆弱性が多いと、脅威指数の値が高くなります。
-
安全性指数:外部からの脅威や脆弱性からアプリケーションを保護するために、NetScaler ADC インスタンスをどのように安全に構成したかを示す1桁の評価システム。アプリケーションのセキュリティリスクが小さいほど、安全性指数は高くなります。この指数の範囲は1~7です。
安全指標では、アプリケーションファイアウォール構成とNetScaler ADC システムセキュリティ構成の両方が考慮されます。高い安全性指数値を得るためには、両方の構成を堅牢にする必要があります。たとえば、厳密なアプリケーションファイアウォールチェックが実施されているが、nsrootユーザーの強力なパスワードなどのCitrix ADCシステムのセキュリティ対策が採用されていない場合、アプリケーションには低い安全性指標値が割り当てられます。
-
アクショナブルインフォメーション:脅威指数を低くし、安全性指数を高くするために必要な情報。これにより、アプリケーションのセキュリティは大幅に改善されます。たとえば、違反に関する情報、アプリケーションファイアウォールやその他のセキュリティ機能に関する既存の、または欠落しているセキュリティ構成、アプリケーションが攻撃されている割合を確認できます。
セキュリティインサイトの設定
Citrix ADM は、アプリケーションファイアウォールが構成されているすべてのCitrix ADC インスタンスからのセキュリティインサイトをサポートします。
ADC インスタンスでセキュリティインサイトを設定するには、まずアプリケーションファイアウォールプロファイルとアプリケーションファイアウォールポリシーを設定します。その後、アプリケーションファイアウォールポリシーをグローバルにバインドできますが、Citrixではポリシーを仮想サーバーにバインドすることをお勧めします。
Citrix ADM で分析を表示するには、インスタンスでAppFlow機能を有効にし、AppFlowコレクター、アクション、およびポリシーを構成し、ポリシーをグローバルにバインドします。この場合も、アプリケーションファイアウォールポリシーをグローバルにバインドできますが、Citrixではポリシーを仮想サーバーにバインドすることをお勧めします。また、Citrix ADM を使用してAppFlow構成をADCインスタンスにデプロイすることも推奨しています。コレクタを構成するときは、レポートを監視するNetScaler ADM サーバーのIPアドレスを指定する必要があります。
Citrix ADC インスタンスでセキュリティインサイトを設定するには:
-
次のコマンドを実行して、アプリケーションファイアウォールのプロファイルとポリシーを構成し、アプリケーションファイアウォールポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。
add appfw profile <名前> \[**-defaults** ( basic名前> advanced )] set appfw profile \<名前\> \[-startURLAction \<開始URLアクション\> …\]
add appfw policy \<名前\> \<規則\> \<プロファイル名\>
bind appfw global \<ポリシー名\> \<優先度\>
または、
bind lb vserver \<lb仮想サーバー\> -policyName \<ポリシー\> -priority \<優先度\>
add appfw profile pr_appfw -defaults advanced set appfw profile pr_appfw -startURLaction log stats learn add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw bind appfw global pr_appfw_pol 1 or, bind lb vserver outlook –policyName pr_appfw_pol –priority “20” <!--NeedCopy--> -
次のコマンドを実行してAppFlow機能を有効化し、AppFlowコレクター、アクション、ポリシーを構成して、そのポリシーをグローバルに、または負荷分散仮想サーバーにバインドします。
add appflow collector \<名前\> -IPAddress \<IPアドレス\>
set appflow param [-SecurityInsightRecordInterval <秒>] \[**-SecurityInsightTraffic** ( ENABLED秒> DISABLED )] アプリフローアクションを追加 \ <name\ > -コレクター \ <string\ >
add appflow policy \<名前\> \<規則\> \<アクション\>
bind appflow global \<ポリシー名\> \<優先度\> \[\<goto優先度式\>\] \[-type \<タイプ\>\]
または
bind lb vserver \<仮想サーバー\> -policyName \<ポリシー\> -priority \<優先度\>
add appflow collector col -IPAddress 10.102.63.85 set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED add appflow action act1 -collectors col add appflow action af_action_Sap_10.102.63.85 -collectors col add appflow policy pol1 true act1 add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85 bind appflow global pol1 1 END -type REQ_DEFAULT or, bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20” <!--NeedCopy-->
Citrix ADM から AppFlow を有効にするには:
-
Webブラウザで、 Citrix ADM のIPアドレス(たとえば、 http://192.168.100.1)を入力します。
-
[User Name] と [Password] に管理者の資格情報を入力します。
-
[ ネットワーク ] > [ インスタンス] に移動し、AppFlow を有効にするNetScaler ADC インスタンスを選択します。
-
[ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。
-
仮想サーバーを選択し、「 AppFlow を有効にする」をクリックします。
-
「 AppFlowを有効にする 」フィールドに「 true」と入力し、「 セキュリティインサイト」を選択します。
-
[OK] をクリックします。
Security Insightレポートの地理的な場所を表示する
Security Insight レポートには、クライアントのリクエストが発生した正確な地理的場所が含まれます。Citrix ADM で地理的な場所を表示できます。Citrix ADCに組み込まれている地理データベースファイルには、ほとんどのパブリックIPアドレスが含まれています。このファイルは、Citrix ADC の /var/netscaler/inbuilt_db という場所にあります。
位置情報を有効にするには:
次のコマンドを実行して位置情報ログおよびCEF形式でのログを有効にします。
-
ロケーションファイルを追加 <Complete path with the DB filename>
-
set appfw settings -geoLocationLogging ON
-
set appfw settings -CEFLogging ON
地理データベースファイルで使用できない IP アドレスがある場合は、地理的位置の IP アドレスを追加できます。IP アドレスに加えて、都市名、州名、国名、および各場所の緯度と経度の座標を追加することもできます。
vi エディタなどのテキストエディタで geo データベースファイルを開き、すべての場所のエントリを追加します。
エントリは、次の形式で指定する必要があります。
\<start IP\>,\<end IP\>,,\<country\>,\<state\>,,\<city\>,,longitude,latitude
例:
4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568
<!--NeedCopy-->
IPレピュテーション
NetScaler Insight Centerを使用して着信トラフィックのIPレピュテーションを監視および管理できます。悪意のあるIPを追加するよう各種ポリシーを構成して、カスタマイズされたブロックリストを作成できます。
IP レピュテーションの設定と使用については、IP レピュテーションを参照してください。
IP レピュテーションの監視
IPレピュテーション機能は、悪意のあるIPアドレスに関する攻撃関連情報を提供します。たとえば、IPレピュテーションスコア、IPレピュテーションカテゴリ、IPレピュテーション攻撃時間、デバイスIP、およびクライアントIPアドレスに関する詳細がレポートされます。
IPレピュテーションスコアは、IPアドレスに関連付けられたリスクを示します。このスコアの範囲は次のとおりです。
| IPレピュテーションスコア | リスクの程度 |
|---|---|
| 1–20 | 高リスク |
| 21–40 | 疑わしい |
| 41–60 | 中程度のリスク |
| 61–80 | 低リスク |
| 81–100 | 信頼できる |
IPレピュテーションを監視するには、次の手順に従います。
-
[ 分析] > [ セキュリティインサイト] に移動し、監視するアプリケーションを選択します。
-
[ 脅威インデックス ] タブで、[ IP レピュテーション] を選択します。
-
重大度を選択して、そのレベルの攻撃の詳細を表示します。棒グラフをクリックするか、グラフの下の表をクリックします。
-
詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。次に[Go]をクリックします。
-
表示をカスタマイズするには、[Settings]をクリックします。
しきい値
Security Insightでアプリケーションの安全性指数と脅威指数のしきい値を設定および表示できます。
しきい値を設定するには:
-
[ アナリティクス ] > [ 設定] > [ しきい値] に移動し、[ 追加] を選択します。
-
「トラフィックタイプ」フィールドで「 セキュリティ 」 としてトラフィックタイプを選択し 、名前、期間、エンティティなどの他の適切なフィールドに必要な情報を入力します。
-
「 ルールを設定 」セクションで、「メトリック」、「コンパレーター」、「値」の各フィールドを使用してしきい値を設定します。
入力例:”Threat Index” “>” “5”
-
通知設定で、通知タイプを選択します。
-
[作成] をクリックします。
しきい値違反を確認するには:
-
[ 分析 ] > [ セキュリティインサイト **] > [ **デバイス] に移動し、Citrix ADC インスタンスを選択します。
-
[ アプリケーション ] セクションの [Threshold Breach] 列には、各仮想サーバで発生したしきい値違反の数が表示されます 。
セキュリティインサイトのユースケース
次のユースケースでは、Security Insightを使用して、アプリケーションの脅威環境を査定し、セキュリティ対策を向上する方法を説明します。
脅威環境の概要を把握する
このユースケースでは、攻撃にさらされる一連のアプリケーションがあり、脅威環境を監視するようにNetScaler ADM を構成しています。脅威指数、安全性指数、およびアプリケーションで発生した可能性のある攻撃の種類と重大度を頻繁に確認する必要があります。 このレビュー により、最も注意が必要なアプリケーションに最初に焦点を当てることができます。Security Insightダッシュボードには、選択した期間および選択したNetScaler ADC デバイスについて、アプリケーションが経験した脅威の概要が表示されます。アプリケーションの一覧、脅威指数と安全性指数、選択した期間の攻撃回数の合計が表示されます。
たとえば、Microsoft Outlook、Microsoft Lync、SharePoint、およびSAPアプリケーションを監視しており、これらのアプリケーションの脅威環境の概要を確認するとします。
脅威環境の概要を取得するには、 NetScaler ADMにログオンし、[ Analytics]>[Security Insight]に移動します。
各アプリケーションの主要情報が表示されます。デフォルトの期間は1時間です。
異なる期間の情報を表示するには、左上のリストから期間を選択します。
別のNetScaler ADC インスタンスの概要を表示するには、[ デバイス]で、NetScaler ADCインスタンスのIPアドレスをクリックします。特定の列でアプリケーションの一覧を並べ替えるには、その列の見出しをクリックします。
アプリケーションが脅威にさらされる危険性を判断する
Security Insight ダッシュボードで脅威指数が高く安全性指数が低いアプリケーションを特定するには、保護を決定する前に脅威にさらされる危険性を判断する必要があります。つまり、指数値を下げている攻撃の種類と重大度を確認します。アプリケーションの脅威への露出度を判断するには、アプリケーションの概要を表示します。
この例では、Microsoft Outlookの脅威指数値が6になっており、この高い脅威指数の原因となっている要因を調べる必要があります。
Microsoft Outlookの脅威への露出度を調べるには、[Security Insight]ダッシュボードで、[Outlook]をクリックします。アプリケーション概要に、サーバーの位置情報を特定する地図が含まれています。
[Threat Index]>[Security Check Violations]をクリックして、表示される違反情報を確認します。
[ 署名 ] [違反] をクリックし、表示される違反情報を確認します。
アプリケーションの既存のセキュリティ構成と欠落しているセキュリティ構成を判別する
アプリケーションの脅威への露出度を確認したら、そのアプリケーションに設定されているセキュリティ構成と欠落しているセキュリティ構成を確認します。この情報は、アプリケーションの安全性指数概要にドリルダウンすると表示されます。
安全性指数概要には、次のセキュリティ構成の有効性に関する情報が表示されます。
- アプリケーションファイアウォール構成。構成されていないシグネチャおよびセキュリティエンティティの数を表示します。
- NetScalerシステムセキュリティ。構成されていないシステムセキュリティ設定の数を表示します。
前出のユースケースでは、Microsoft Outlookの脅威への露出度(脅威指数値は6)について調査しました。次に、Outlookに設定されているセキュリティ構成と、どのような構成を追加すれば脅威指数を改善できるのかを調べる必要があります。
[Security Insight]ダッシュボードで、[Outlook]をクリックし、[Safety Index]タブをクリックします。[Safety Index Summary]領域に表示された情報を確認します。
[ アプリケーションファイアウォールの構成 ] ノードで、[ Outlook_Profile ] をクリックし、セキュリティチェックと署名違反の情報を円グラフで確認します。
アプリケーションファイアウォール概要表で各保護タイプの構成ステータスを確認します。特定の列で表を並べ替えるには、列見出しをクリックします。
[NetScaler System Security]ノードをクリックして、システムセキュリティ設定とCitrixの推奨事項を確認し、アプリケーションの安全性指数を改善します。
即時の対応が必要なアプリケーションを特定
直ちに対処する必要があるアプリケーションとは、脅威指数が高く安全性指数が低いアプリケーションです。
この例では、Microsoft OutlookとMicrosoft Lyncが高い脅威指数値(6)を示していますが、安全性指数はLyncのほうが低くなっています。したがって、最初にLyncに注意を払い、その後でOutlookの脅威環境を改善します。
特定の期間における攻撃の数を判別
特定のアプリケーションで特定の時間帯に発生した攻撃の数や、指定した期間の攻撃発生率を調べてみます。
Security Insight ページで任意のアプリケーションをクリックし、[ アプリケーションの概要] で違反の数をクリックします。違反合計ページには、1時間、1日、1週間および1ヶ月の攻撃がグラフィカルに表示されます。
[アプリケーションの概要] テーブルには、攻撃の詳細が表示されます。それらのいくつかは以下のとおりです。
-
アタックタイム
-
攻撃が発生したクライアントのIPアドレス
-
重要度
-
違反のカテゴリー
-
攻撃の発信元の URL、およびその他の詳細。
攻撃時間は、画像のように時間ごとのレポートでいつでも表示できますが、日次レポートや週次レポートでも、集計レポートの攻撃時間範囲を表示できるようになりました。期間リストから「1 日」を選択すると、セキュリティインサイトレポートには、集計されたすべての攻撃が表示され、攻撃時間が 1 時間の範囲で表示されます。「1週間」または「1ヶ月」を選択すると、すべての攻撃が集計され、攻撃時間が1日の範囲で表示されます。
セキュリティ侵害に関する詳細情報の取得
アプリケーションに対する攻撃のリストを表示して、攻撃の種類と重大度、Citrix ADC インスタンスが実行したアクション、要求されたリソース、および攻撃の原因に関する洞察を得たい場合があります。
たとえば、Microsoft Lyncに対する攻撃がブロックされた数、要求されたリソース、発信元のIPアドレスを調べます。
[ Security Insight] ダッシュボードで、[ Lync] > [違反総数] をクリックします。表の[Action Taken]列の見出しにあるフィルターアイコンをクリックし、[Blocked]を選択します。
要求されたリソースについて詳しくは、[ URL ] 列を参照してください。攻撃の発信元に関する情報を知りたい場合は、[Client IP]列を確認します。
ログ式の詳細を表示する
Citrix ADC インスタンスは、アプリケーションファイアウォールプロファイルで構成されたログ式を使用して、企業内のアプリケーションに対する攻撃に対してアクションを実行します。セキュリティインサイトでは、Citrix ADC インスタンスで使用されるログ式に対して返された値を表示できます。これらの値には、リクエストヘッダー、リクエストボディなどが含まれます。ログ式の値とは別に、Citrix ADC インスタンスが攻撃に対するアクションを実行するために使用したアプリケーションファイアウォールプロファイルに定義されているログ式の名前とコメントを表示することもできます。
前提条件
次のことを確実にします。
-
アプリケーションファイアウォールプロファイルでログ式を設定します。詳しくは、「アプリケーションファイアウォール」を参照してください。
-
Citrix ADM でログ式ベースのセキュリティインサイト設定を有効にします。以下を実行します:
-
[ アナリティクス] > [設定] に移動し、[ アナリティクスの機能を有効にする] をクリックします。
-
[Analytics の機能を有効にする] ページで、[ ログ式ベースのSecurity Insight設定] セクションの [Security Insightを有効にする ] を選択し、[ OK] をクリックします。
-
たとえば、企業内のMicrosoft Lyncに対する攻撃に対して実行したアクションについて、NetScaler ADC インスタンスによって返されるログ式の値を表示できます。
セキュリティインサイトダッシュボードで、[ Lync] > [違反総数] に移動します。[ アプリケーションの概要]表でURLをクリックすると、[違反 情報 ]ページで違反の完全な詳細が表示されます。ログ式名、コメント、およびNetScaler ADC インスタンスがアクションに対して返す値が含まれます。
構成を展開する前に安全指数を決定してください
セキュリティ侵害は、NetScaler ADC インスタンスにセキュリティ構成を展開した後に発生しますが、展開する前にセキュリティ構成の有効性を評価することをお勧めします。
たとえば、IPアドレスが10.102.60.27のCitrix ADCインスタンス上のSAPアプリケーションの構成の安全性指数を評価したい場合があります。
セキュリティインサイトダッシュボードの 「デバイス**」で、構成したCitrix ADC インスタンスのIPアドレスをクリックします。脅威指数と攻撃総数はどちらも0になっています。脅威指数には、アプリケーションに対する攻撃の数と種類が直接反映されます。攻撃回数がゼロということは、アプリケーションがまったく脅威にさらされていないことを示しています。
[Sap]>[Safety Index]>[SAP_Profile]の順に選択して、表示される安全性指数情報を評価します。
アプリケーションファイアウォールの概要では、さまざまな保護設定の構成ステータスを確認できます。ログを記録する設定になっている場合や、構成されていない設定がある場合は、アプリケーションに割り当てられる安全性指数は低くなります。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.