McAfee ePO ご紹介...7 大規模環境においてもフレキシブルに管理...

1

McAfee

ePolicy Orchestrator ご紹介

マカフィー株式会社

2

セキュリティ基盤の統合管理を実現するプラットフォーム

ePolicy Orchestrator 製品概要

組み込み端末Window/LinuxサーバクライアントPC 仮想デスクトップ

ePolicy Orchesrator

Firewall

FutureNewFunction

Threat Prevention

Web Control

Threat Intelligence Exchange

RealProtect

Dynamic Application

Containment

DLPDevice Control

EncryptionApplication Control

Active Response

全てのエンドポイント製品を統一されたコンソールとポリシーによって一元管理

管理対象の OS の種類やバージョン、また製品のバージョンに依存せず統合的に管理可能なプラットフォーム

標準機能

オプション機能

DLP機能

ホワイトリスト機能

3

ePolicy Orchestrator 構成要素

拡張ファイル

DBePO

McAfee GTIWebAPI , SIEMチケットシステム etc…

McAfee Network Security

エージェントハンドラー

分散レポジトリ

WEBコンソール

自動応答

ディレクトリサービス

サーバータスク

データ連携

製品連携

インターネット、FW 超の管理

定義ファイル、製品更新の負荷分散

アカウント管理

タスク実行

4

統一されたプラットフォームで管理する効果

ePolicy Orchestrator 製品概要

Source: MSI Survey

統合されたシングルコンソール

拡張可能なアーキテクチャ

オンプレミス・クラウドを選択可能

高度なダッシュボードとレポート作成

迅速な管理

単一コンソールで数十万ノードを

管理可能

100以上のパートナーセキュリティ製品と

連携

柔軟性と拡張性に優れた管理形態

カスタマイズ性に優れ、自動化に対応

クエリとアクションを即時実行

セキュリティポリシーの導入、

監視レポート作成の時間を短縮

分析用のセキュリティレポート

作成時間を短縮

セキュリティインシデント

対応時間を短縮

41% 45% 31%

5

ePolicy Orchestrator

機能概要

6

システムツリーによる階層管理

ツリーは階層構造により管理でき、任意のグループ、グループの下にサブグループを作っていくこと管理効率を高めます。

グループに属している端末の一覧が表示される

端末の詳細情報・システムプロパティ・イベント情報など

7

大規模環境においてもフレキシブルに管理

柔軟なグループとポリシー管理

グループA192.168.1.x

グループB192.168.2.x

グループC172.16.1.x

管理対象クライアント

ePO

デフォルトポリシー

グループポリシー

新規クライアント端末はIPアドレスやホスト名などの条件に沿って自動的にグルーピング

アンチマルウェア

ホワイトリスト

DLP

暗号化・・

ポリシーはインポート可能な形式でダウンロード

各製品、機能のポリシーは同じフォーマットで一元的に管理

管理者

ポリシー登録

グループごとに異なるポリシーを柔軟に管理

8

ePO で完結する製品更新の仕組み

製品の更新とアップデート

ePO

ライセンス登録されている更新可能な製品のカタログを自動更新

カタログから必要な製品バージョンをマカフィーのサイトより ePO に直接ダウンロード可能

グループA192.168.1.x

グループB192.168.2.x

グループC172.16.1.x

管理対象クライアント

マスターレポジトリ

Virusscan Enterprise 8.8

Endpoint Security 10.5

Data Loss Prevention 10.0

Active Response 2.0

ePO から製品の最新バージョンを管理対象クライアントにプッシュでアップグレード、新規インストールが可能旧バージョン都の混在管理も可能なため、段階的なアップグレードにも対応

9

ダッシュボードによる情報の一元管理

必要な情報を集約し、効率的な監視

ePOクライアント端末

管理者定期的にレポートの自動生成

アラートメール

ダッシュボード

・各端末は正常稼動しているか・製品バージョン・パッチ・エンジンは最新か・定義ファイルは毎日更新されているか・不審なファイル等が検出されていないか

• 管理者はダッシュボードを使用して監視したい任意の項目を監視可能

• 必要に応じてアラートメールや定期レポートの生成も自動化

10

イベントログ

フォレンジックにも活用できるログ情報

マシン

ホスト名

Ipv6アドレス

IPv4アドレス

Mac

位置

検出機能

名前

バージョン

コンテンツバージョン

コンテンツ作成日

ルールID

ルール名

登録情報

GTIクエリ脅威データ

イベントID

重大度

名前

タイプ

実行されたアクション

処理済み

作成時に検出済み

影響

ソース情報

IPv4アドレスファイルパス

Ipv6アドレスファイルサイズ

ポートハッシュ

URL 署名済み

共有名署名者

Mac 修正時間

ユーザー名アクセス時間

プロセス名作成時間

親プロセス名デバイスのシリアル番号

親プロセスのハッシュデバイスVID

署名済みの親プロセス

元の説明

親プロセスの署名者

標的情報

IPv4アドレス署名済みの親プロセス

Ipv6アドレス親プロセスの署名者

ポート名前

URL パス

共有名ファイルサイズ

Mac 修正時間

プロトコルアクセス時間

ユーザー名作成時間

プロセス名デバイスの表示名

ハッシュシリアル番号

署名済みデバイスVID

署名者デバイスPID

説明

追加情報

駆除可能

タスク名

API名

最初に試行したアクション

2番目に試行したアクション

最初のアクションのステータス

2番目のアクションのステータス

イベントIDの説明

自然言語の説明

検出前の時間

攻撃対象のタイプ

指示

ICMPタイプ

ファイアウォールイベントタイプ

抑制されたイベント数

11

既知のイベント対応を効率的に対応する

イベント発生時の対処を自動化

クライアント端末

ePO

クライアント端末よりイベントを受信

イベントを受信した端末に対して自動的に強力なFWポリシーの元に移動させることにより事実上の隔離状態にする

FWポリシー

FWポリシー適用

12

ネットワーク負荷を抑える更新の仕組み

定義ファイル更新時の負荷分散

ePO（マスターレポジトリ）

McAfee サイト

ePOが毎日最新 DATを自動取得（PULL）


自動転送（PUSH）

クライアント

リモート拠点など

起動時などに自動的に取得（PULL）

クライアント

McAfee サイトからの直接ダウンロードも可能

拠点のファイルサーバなどを分散レポジトリとして指定しておく事で定義ファイルによるネットワーク負荷を抑えることが可能

PC 持ち出し時には直接インターネット経由でMcAfee サイトから定義ファイルをダウンロードできるように複数の取得先を設定可能

13

ネットワーク負荷を抑える更新の仕組み

ピアツーピアによる更新

Rumor（ルーモア）技術

Rumor は Peer to Peer（ピアツーピア）通信技術を応用した仕組みです。このテクノロジーは、ウイルス対策のアップデートを共有ファイルの配布によって行います。すなわち、ウイルス対策サービスのアップデートをユーザが共有する事を可能にしています。

定義ファイルの配布をリレー方式で実施

高速、かつ確実なウイルス対策サービスのアップデートを実現する Rumor テクノロジーは、ファイルの配布をインターネット経由でリレー方式に行います。McAfee のサイトからエージェントのシステムにファイルが送信され、LAN 内でそのアップデート情報をエージェントからエージェントへ送信します。

■クライアントに更新が発生した際、以下の動作を実施します。1. ePO サーバに更新が必要であるかどうかを確認2. 更新が必要であると判断した場合、同一ブロードキャストセグメント上に存在するクライアント端末にコール3-a. 更新可能な端末を発見した場合、その端末とピアツーピア通信を行い、アップデートを実施3-b. 誰もアップデートがない場合は設定しているリポジトリの順番に従って更新を実施■ピアツーピア間で発生する更新可能なファイル－定義ファイル (AMCore Content 等)－ソフトウェアのアップデート (Patch 等)

14

情報検索とタスク実行を組み合わせる

定義ファイルのアップデート漏れを防止

ePO

クエリによって定義ファイルが最新に更新されていない端末の一覧を抽出

抽出されたクライアント端末に対して最新の定義ファイルを配布


定義ファイル適用状態のクエリ結果と定義ファイルの配布タスクを組み合わせる事によって、最新の定義ファイルを適用

15

エージェントハンドラーを使った外部接続

社外にいても社内と同じように管理

ePO


FW

DMZ

社内クライアント端末

持ち出し端末

インターネット

各端末は ePO とエージェントハンドラーの両方のアドレスを知っているので接続可能な方を自動的に判断し接続

16

McAfee Agent のインストールされていないシステムも発見

不正なシステムを検知

ePO


同一ネットワークブロードキャストセグメント

検知

通知

検知センサ(WinPcap)

① 同一ネットワークブロードキャストセグメント内に存在するネットワークデバイスの情報収集• DNS 名• オペレーティングシステムのバージョン• NetBIOS 情報（ドメインメンバーシップ、システム名、ログオンユーザ名）

② DHCP サーバにセンサをインストールすると、DHCP サーバに接続する全てのサブネットを 1つのセンサで対応

17

システム移行を利用したアップデート

複数の ePO で連携

ePO1 ePO2


レポートの集約

ポリシーの共有

システムの移動

複数の ePO 間でポリシーの共有、レポートの集約が可能アップグレード時に新しい ePO と旧 ePO を連携させる事で新しい ePO にスムーズに管理クライアントを移行が可能

18

Why McAfee ePO ?

ePolicy Orchestrator導入のメリット

1

2

3

統合管理による運用管理工数の低減

高い拡張性を誇るアーキテクチャ

オープンなプラットフォーム

複数のシステム、製品を同じインターフェイスの元、同じオペレーションで一元的に管理する事により、管理者の運用性を向上させ運用工数を大幅に低減する事が可能になります。運用の煩雑性によって対応漏れなども予防できるため、セキュリティリスクも抑えることができます。

最大で 5,000,000 ノードの管理実績を持つスケーラブルなアーキテクチャによりグローバルに複数の拠点を展開するような環境であっても柔軟に管理が可能です。

ePO による管理は複数のマカフィー製品を一元的に管理できるだけでなく、オープンなプロトコル（OpenDXL）による連携に対応しており、3rd Partyの製品とも連携した運用が可能です。

19

すべてのエンドポイントをひとつのコンソールで統一

統合管理による運用管理工数の低減

マカフィーは一つの統合コンソール上でエンドポイントの脅威対策ライフサイクルに必要な全ての機能を、一元的に管理できます。

ePO

DXL

Threat Prevention

Web Control

Firewall

Encryption

Active Respons

e

Application Control

Partners

一元管理により、セキュリティ運用の複雑性を排除し、効率的なセキュリティ運用が可能になります。

全てのエンドポイント機能をePOで統合管理

20

最大で 500 万ノードを管理する実績

高い拡張性を誇るアーキテクチャ

グローバルに展開する組織においても安心の拡張性

ePO

ePO ePO




海外拠点A社外子会社B 海外拠点C 国内拠点D

インターネット

レポート集約

更新処理の負荷分散

様々な拡張の仕組みによって拠点にまたがった管理や情報の集約を実現

21

セキュリティ管理機能を拡張する先進的な取り組み

オープンなプラットフォーム

ePolicyOrchestrator


独自の高速メッセージバスOpenDXL

DXL Broker

3rd Party セキュリティ製品

EDR脅威情報共有 DB

オープンな連携プロトコルにより 3rd Party 製品とも連携

McAfee が開発したオープンな連携プロトコルにより（OpenDXL）によって製品の壁、ベンダーの壁を取り払う双方向の連携を実現

22

ePolicy Orchestrator

システム要件

23

ePolicy Orchestrator 5.9

ハードウェア要件

コンポーネント要件と推奨事項

筐体 250 以上のシステムを管理する場合は，専用サーバーを推奨

CPU 64 ビット Intel Pentium D 以上（2.66 GHz 以上）

メモリ 8 GB 以上の RAM (推奨)

空きディスク容量 20GB 以上（DB で必要とする容量を除く）

File System NTFS 推奨

NIC 100MB 以上

IPアドレスePO サーバ用に静的 IP アドレスを使用IPv4 と IPv6 の両方のネットワークをサポート

データベース必須－ McAfee ePO をインストールするには、SQL Server または SQL Server Express の対応バージョンが必要です。

ドメインコントローラネットワーク上のドメインコントローラーと信頼関係を構築する必要があります。

McAfee ePolicy Orchestrator 5.9.0 インストールガイドより抜粋https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26915/ja_JP/epo_590_ig_0b16_ja-jp.pdf

https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26915/ja_JP/epo_590_ig_0b16_ja-jp.pdf

24


ソフトウェア要件


項目要件

OS

• Windows Server 2008 R2 SP 1 • Windows Server 2012 • Windows Server 2012 SP 1 • Windows Server 2012 R2 • Windows Server 2016

SQL Server

• Microsoft SQL Server 2008 Express • Microsoft SQL Server 2008 SP3 以降• Microsoft SQL Server 2008 R2 • Microsoft SQL Server 2012 Express• Microsoft SQL Server 2012 • Microsoft SQL Server 2014 • Microsoft SQL Server 2016

仮想化ソフトウェア

• VMware ESXi 5.1 • VMware ESXi 5.5 • VMware ESXi 6 • Microsoft Hyper-V Server 2008 R2 • Microsoft Hyper-V Server 2012 • Microsoft Hyper-V Server 2012 R2 • XenServer 6 • XenServer 6.2


25


ポート要件

目的ポート番号インストール時

変更可能インストール後

変更可能

エージェント / サーバー間通信ポート 80 〇

エージェント / サーバー間通信のセキュアポート 443 〇

エージェントウェークアップ通信ポート 8081 〇〇

エージェントブロードキャスト通信ポート 8082 〇〇

コンソール / アプリケーションサーバー間通信ポート 8443 〇

クライアント / サーバー間認証通信ポート 8444 〇

セキュリティ脅威用通信ポート 8801

SQL サーバー用 TCP ポート 1433 〇



McAfee ePO ご紹介...7 大規模環境においてもフレキシブルに管理...

Documents

Transcript of McAfee ePO ご紹介...7 大規模環境においてもフレキシブルに管理...