2022年9月29日

Netskope【第三回】ポリシーを作成して制御してみよう！

投稿者：ネットワークセキュリティ担当木澤

こんにちは、日本情報通信　木澤と申します。

前回、外伝を挟みましたが、今回は前々回のブログ「Netskope【第二回】CASBの可視化とは、実際どう見える？」より、Netskopeに表示されるログを見て、「いつ・誰が・どのクラウドサービスで・何の操作を・どのアカウントで」という可視化が行えること、さらにCCIによる信頼度レベルによってポリシーが設定できるという点が分かりました。

今回はNetskopeでの『ポリシー制御』について、管理者視点でどのように設定していくか、そしてユーザ視点でどのように反映されるのかを見ていこうと思います！

◯検証内容

■ポリシー制御対象

Twitter

■制御するポリシー内容

Twitter ⇒「ツイート機能」「フォロー機能」のみブロックする制御

box ⇒「ダウンロード機能」のみブロックする制御

◯ポリシーの作成

まずは管理者視点での設定方法を見ていきます。
Netskopeのポータル画面です。ここからPolicies>Real-time Protection>NEW POLICYと進めていきます。
今回は、クラウドアプリケーションの制御を行うので、”Cloud App Access”を選択します。

Netskope_3_１.jpg
各クラウドアプリケーションで制御行うアクテビティが異なるため、
ポリシーを２つ作成していきます。
まずはTwitterのポリシー作成から行っていきたいと思います。

Source のところでポリシーを適用するユーザーを選択します。
次に、 Destination のところでポリシー制御を行うアプリ、クラウドサービスなどを指定します。
今回の対象はTwitterなので
検索すると、”Twitter”のチェックボックスが出てくるので選択していきます。

Netskope_3_２.jpg
次に、”Edit”を選択してみると、Twitterの中でも詳細にアクティビティの制御をすることが可能なようです。
今回は、Twitterでの「フォロー」「ツイート機能」に限定して、ブロックする制御をかけてみようと思います。

Netskope_3_３.jpg
ブロックしたいので、ActionはBlockdを選択します。

Netskope_3_４.jpg
何のポリシー制御をしているのか分かりやすいよう、ポリシー名を設定しましょう

Netskope_3_５.jpg
右上のSAVEをおすと、、（※ポリシーが既に存在する場合、このタイミングでポリシーの優先順位を聞かれます）

Netskope_3_６.jpg
Real-time Protectionのポリシーリストに無事表示されました！
同様の流れで、Boxのポリシー制御も作っていきます！

Boxでは、「ダウンロード」のブロック制御をかけてみます。先ほどと同様、”Source” のところでポリシーを適用するユーザーを選択、
次に、 “Destination”のところでポリシー制御を行うアプリ、クラウドサービスなどを手入力で検索をし、”Box”にチェックボックスを選択します。
“Edit”では”Download”のところのチェックボックスを選択します。

Netskope_3_７_LI.jpg
ブロックしたいので、ActionはBlockを選択、ポリシー名も設定しました

Netskope_3_８.jpg
Boxも同様、ポリシーリストに表示されるようになりました！
ここで注意なのが、リストを作成するだけでは即時反映はされません。右上の”APPLY CHANGES”を押してみます。

Netskope_3_９.jpg
“APPLY”選択

Netskope_3_１０.jpg
Netskope_3_１１.png
これで無事、2つのポリシーが反映されました。
それでは、ユーザ側で設定した制御がされるか確認をしていきます。

◯動作検証

ここからはユーザ視点での画面です。
まずはTwitterの動作確認をしてみます。

Netskope_3_１２.png
ログインまではアクセス可能です。
“POST”の制御で、ツイートが制御されるか試します。

Netskope_3_１３_LI.jpg
Netskopeよりエラー表示が出てきました。無事ブロックされているようです！
次は”Follow”の制御ができるか試します。

Netskope_3_１４.jpg

Netskope_3_１５.png
同じくエラー表示が出て、制御できているようです！
続いて、Boxでの”Download”が制御できるか検証します。

Netskope_3_１６_LI.jpg

Netskope_3_１７_LI.jpg
エラー表示が出ました！Boxでのダウンロードの制御もできています！
ちなみに、ファイルのアップロードは制御されないのか、試してみます。

Netskope_3_１８.jpg

Netskope_3_１９.png

Netskope_3_２０.png
アップロードは制御されず、Netskopeで制御をかけた”Download”のみ制御がかけられていました。

◯ログの確認

最後に、ブロック制御がかけられた際、Netskope上ではどのようなログが出力されるのか見てみましょう。
“Skope IT”にて、いつ、誰が、どこにアクセスしたかを見ることが出来ます。
Skope IT>Application Eventsでどんなログが表示されているのかを見てみます。

Netskope_3_２１.png
開いてみると、先ほど行った、TwitterやBoxでの操作を、
いつ＝TIME、何のアクションを＝ACTIVITY、誰が＝USER、どのアプリケーションで＝APPLICATIONといった情報が表示されています。
ただし、ユーザが増えると大量のログが表示され、閲覧したいログを見つけるのは大変です、、
今回は「ブロック制御がかけられた際のログを見たい」ため、絞り込み検索でのログ表示を試してみます。

Netskope_3_２２.jpg
日数での絞り込みと、＋ADD FILTER　にて「ブロック」させたログを表示させてみます。

Netskope_3_２３.png

Netskope_3_２４.png
ユーザ側でブロックされた、Twitterでの”Post”、”Follow”、Boxでの”Download”のみが表示されるようになりました！