【FortiEDR】エージェント未導入のPCを保護してみた
投稿者:金城 明憲
こんにちは。セキュリティ担当の金城です。
今回は弊社で取り扱っているFortiEDR(VxGPlatform EDR)が持つ、FortiGateとの連携機能を活用し、EDRのエージェントが入っていない端末にもセキュリティ機能を有効にする方法を紹介します。
FortiEDRとは
ファイアウォール製品を販売していることで有名なFortinet社が提供するEDRソリューションです。
FortiEDRの特徴
FortiEDRは自動かつ効率的に、リアルタイムで侵害を特定して阻止することが可能です。
先を見越した攻撃対象領域の削減、マルウェア感染の防止、潜在的な脅威の即座の検知と緩和が可能です。
本来EDR製品はエージェントが入って初めて機能するのが基本ですが、FortiEDRはファイアウォールベンダー最大手である強みを生かし、エージェント未導入の端末にも保護ができる非常にユニークな機能を持っております。
その独創的な機能と保護方法を実際の操作画面を交えて説明していきます。
1. FortiGateとの連携時の動作
では、本題のFortiGateとの連携方法について説明していきます。
動作は以下の図の通りとなりますが、
①FortiEDRのエージェントが導入された端末で不審なファイルを検知し
②外部への不審な通信をブロック!
③検知した情報をFortiEDR管理サーバへ連携し
④管理サーバにて危険度を判定
⑤連携されているFortiGateに不審なIPを通知し
⑥FortiGateに設定が反映され、
⑦エージェントが入っていない端末でもFortiGateのところで不審な通信をブロック!
といった流れとなります。
出典:FortiEDR 概要説明ページ
https://www.fortinet.com/jp/promos/fortiedr-endpoint を基に、弊社が作成。
ここからは実際のPCの画面を交え説明していきます。
2. FortiGateの設定
まずはファイアウォールのFortiGateの設定です。
※今回は普段お客様へ導入機会の多いFortiGate-60Eを使って連携をしていきます。
手順は以下の通り5項目あります。
こちらの手順はFortiEDRとの連携を実現するため、そして最後の悪意あるIPに対しブロックをするために必要な手順となります。
① 管理者プロファイルの作成
② REST API Adminの作成
③ APIキーの生成
④ アドレスグループの作成
⑤ IPv4ポリシーの作成
①
「システム」の「管理プロファイル」より新規作成を選択します。
名前:任意
アクセスコントロール:ファイアウォールとログ&レポートの項目をリード/ライトに設定
②
「システム」の「管理者」よりNew REST API Adminを作成します。
ユーザ名:任意
管理者プロファイル:上記で設定した管理者プロファイル
PKIグループ:無効
CORS Allow Origin:無効
「信頼されるホストにログインを制御」の「TrustedHosts」は、FortiEDR側の管理画にログインし、管理>インテグレーション>コネクタを追加>ファイアウォールと進み、JumpBoxにカーソルを合わせた際に記載されているIPを値として設定します。
※このIPについてはFortiGate設定に入る前に事前にメモっておくとよいでしょう。
③
New RESET API Adminを設定完了後、APIキーが自動生成されます。
この値は必ず保管しましょう。
後ほど使用します。
※再発行は可能
④
「ポリシー&オブジェクト」の「アドレス」より「新規作成」で「アドレスグループ」を選択します。
グループ名:任意
メンバー: Ønone
⑤
「IPv4ポリシー」にて新規にポリシーを設定します。
名前:任意
宛先:④で設定したアドレスグループ
サービス:ALL
アクション:DENY
※送信元・インターフェースは今回ブロックを行う内容にて設定
IPv4のポリシー設定が完了したら、設定したポリシーは1番上に配置することがメーカの推奨設定なので、今回はそれに倣い1番上に配置します。
これでFortiGate側の設定は完了です。
3. FortiEDRの設定
ここからは、FortiEDRの管理画面に移り設定をしていきます。
FortiEDR側は先ほどのFortiGateより設定手順は少ないです。
先ほど信頼できるホストを確認した時同様、管理>インテグレーション>コネクタを追加>ファイアウォールと進みます。
名前:任意
タイプ:FortiGate
ホスト:連携するFortiGateのGIP
ポート:FortiGateの管理アクセスポート
APIキー:FortiGate手順③で生成されたAPIキー
アドレスグループ:FortiGate手順④で作成したアドレスグループ
設定が完了したら、アクションのテストを押下しテストを実施、成功することを確認します。
次に「セキュリティ設定」の「プレイブック」を選択します。
「修復」の「ファイアウォールによるブロック」の項目で今回使用するFortiGateを設定します。
ブロックをしたい項目についてチェックを付けます。
今回は全てにチェックを入れました。
これでFortiGateおよびFortiEDRの設定は完了です。
これより実際に検証ファイルを使用し、連携動作を確認していきましょう。
4. FortiEDRとFotiGateの連携動作確認
EDRエージェントが入った端末にて、検証ファイルを実行します。
今回使用する検証ファイルは、悪意のあるサーバと通信し、標的となるPCに対し攻撃を実行するタイプのファイル、いわゆるC2攻撃に使用されるもので検証します。
“EDR導入済の端末”、”EDR未導入でFortiGateに接続されている端末”、それぞれ悪意のある宛先に対し接続をブロックできることを確認していきます。
まずEDRエージェントが入った端末にて、検証ファイルを実行致します。
すると、端末側で不審なファイルを検知しFortiEDRの管理画面にイベントとしてログがあがります。
同時に連携しているFortiGateに悪意のあるIPアドレスの追加がされます。
※即時反映されますのでタイムラグは非常に僅かな時間です。
悪意のあるアドレスが追加されると、先ほど設定したFortiGateのアドレスグループにも情報が反映されます。
最後にFortiEDRのエージェント未導入の端末より、検証ファイルを実行してみます。
すると、端末側では検知はされないものの、FortiGate側で検知をし、悪意のあるIPアドレスへのアクセスをブロックするため、端末は脅威を回避することができました。
その様子はFortiGate「ログ&レポート」の「転送トラフィック」の中に、FortiGate側でブロックされたことが記録とし残りますので、しっかりと確認することができます。
以上でFortiEDRにあります、FortiGateとの連携機能を用いたエージェント未導入の端末を保護する方法の紹介は終わりです。
数多くあるEDR製品のなかでも希少な機能ですので、興味をもっていただけのではないでしょうか。
最後までご覧いただきありがとうございました。