綠色供應鏈 - scu.edu.t · 供應鏈管理 針對進口商的 供應鏈管理 ... 產品規格 檢驗報告 承諾書 稽核文件 海關退貨 客戶索賠 商譽損失 取消訂單
McAfee ePO ご紹介...7 大規模環境においてもフレキシブルに管理...
Transcript of McAfee ePO ご紹介...7 大規模環境においてもフレキシブルに管理...
2
セキュリティ基盤の統合管理を実現するプラットフォーム
ePolicy Orchestrator 製品概要
組み込み端末Window/LinuxサーバクライアントPC 仮想デスクトップ
ePolicy Orchesrator
Firewall
FutureNewFunction
Threat Prevention
Web Control
Threat Intelligence Exchange
RealProtect
Dynamic Application
Containment
DLPDevice Control
EncryptionApplication Control
Active Response
全てのエンドポイント製品を統一されたコンソールとポリシーによって一元管理
管理対象の OS の種類やバージョン、また製品のバージョンに依存せず統合的に管理可能なプラットフォーム
標準機能
オプション機能
DLP機能
ホワイトリスト機能
3
ePolicy Orchestrator 構成要素
拡張ファイル
DBePO
McAfee GTIWebAPI , SIEMチケットシステム etc…
McAfee Network Security
エージェントハンドラー
分散レポジトリ
WEBコンソール
自動応答
ディレクトリサービス
サーバータスク
データ連携
製品連携
インターネット、FW 超の管理
定義ファイル、製品更新の負荷分散
アカウント管理
タスク実行
4
統一されたプラットフォームで管理する効果
ePolicy Orchestrator 製品概要
Source: MSI Survey
統合されたシングルコンソール
拡張可能なアーキテクチャ
オンプレミス・クラウドを選択可能
高度なダッシュボードとレポート作成
迅速な管理
単一コンソールで数十万ノードを
管理可能
100以上のパートナーセキュリティ製品と
連携
柔軟性と拡張性に優れた管理形態
カスタマイズ性に優れ、自動化に対応
クエリとアクションを即時実行
セキュリティポリシーの導入、
監視レポート作成の時間を短縮
分析用のセキュリティレポート
作成時間を短縮
セキュリティインシデント
対応時間を短縮
41% 45% 31%
6
システムツリーによる階層管理
ツリーは階層構造により管理でき、任意のグループ、グループの下にサブグループを作っていくこと管理効率を高めます。
グループに属している端末の一覧が表示される
端末の詳細情報・システムプロパティ・イベント情報など
7
大規模環境においてもフレキシブルに管理
柔軟なグループとポリシー管理
グループA192.168.1.x
グループB192.168.2.x
グループC172.16.1.x
管理対象クライアント
ePO
デフォルトポリシー
グループポリシー
新規クライアント端末はIPアドレスやホスト名などの条件に沿って自動的にグルーピング
アンチマルウェア
ホワイトリスト
DLP
暗号化・・
ポリシーはインポート可能な形式でダウンロード
各製品、機能のポリシーは同じフォーマットで一元的に管理
管理者
ポリシー登録
グループごとに異なるポリシーを柔軟に管理
8
ePO で完結する製品更新の仕組み
製品の更新とアップデート
ePO
ライセンス登録されている更新可能な製品のカタログを自動更新
カタログから必要な製品バージョンをマカフィーのサイトより ePO に直接ダウンロード可能
グループA192.168.1.x
グループB192.168.2.x
グループC172.16.1.x
管理対象クライアント
マスターレポジトリ
Virusscan Enterprise 8.8
Endpoint Security 10.5
Data Loss Prevention 10.0
Active Response 2.0
ePO から製品の最新バージョンを管理対象クライアントにプッシュでアップグレード、新規インストールが可能旧バージョン都の混在管理も可能なため、段階的なアップグレードにも対応
9
ダッシュボードによる情報の一元管理
必要な情報を集約し、効率的な監視
ePOクライアント端末
管理者定期的にレポートの自動生成
アラートメール
ダッシュボード
・各端末は正常稼動しているか・製品バージョン・パッチ・エンジンは最新か・定義ファイルは毎日更新されているか・不審なファイル等が検出されていないか
• 管理者はダッシュボードを使用して監視したい任意の項目を監視可能
• 必要に応じてアラートメールや定期レポートの生成も自動化
10
イベントログ
フォレンジックにも活用できるログ情報
マシン
ホスト名
Ipv6アドレス
IPv4アドレス
Mac
位置
検出機能
名前
バージョン
コンテンツバージョン
コンテンツ作成日
ルールID
ルール名
登録情報
GTIクエリ脅威データ
イベントID
重大度
名前
タイプ
実行されたアクション
処理済み
作成時に検出済み
影響
ソース情報
IPv4アドレス ファイルパス
Ipv6アドレス ファイルサイズ
ポート ハッシュ
URL 署名済み
共有名 署名者
Mac 修正時間
ユーザー名 アクセス時間
プロセス名 作成時間
親プロセス名デバイスのシリアル番号
親プロセスのハッシュ デバイスVID
署名済みの親プロセス
元の説明
親プロセスの署名者
標的情報
IPv4アドレス 署名済みの親プロセス
Ipv6アドレス 親プロセスの署名者
ポート 名前
URL パス
共有名 ファイルサイズ
Mac 修正時間
プロトコル アクセス時間
ユーザー名 作成時間
プロセス名 デバイスの表示名
ハッシュ シリアル番号
署名済み デバイスVID
署名者 デバイスPID
説明
追加情報
駆除可能
タスク名
API名
最初に試行したアクション
2番目に試行したアクション
最初のアクションのステータス
2番目のアクションのステータス
イベントIDの説明
自然言語の説明
検出前の時間
攻撃対象のタイプ
指示
ICMPタイプ
ファイアウォールイベントタイプ
抑制されたイベント数
11
既知のイベント対応を効率的に対応する
イベント発生時の対処を自動化
クライアント端末
ePO
クライアント端末よりイベントを受信
イベントを受信した端末に対して自動的に強力なFWポリシーの元に移動させることにより事実上の隔離状態にする
FWポリシー
FWポリシー適用
12
ネットワーク負荷を抑える更新の仕組み
定義ファイル更新時の負荷分散
ePO(マスターレポジトリ)
McAfee サイト
ePOが毎日最新 DATを自動取得 (PULL)
分散レポジトリ
自動転送(PUSH)
クライアント
リモート拠点など
起動時などに自動的に取得 (PULL)
クライアント
McAfee サイトからの直接ダウンロードも可能
拠点のファイルサーバなどを分散レポジトリとして指定しておく事で定義ファイルによるネットワーク負荷を抑えることが可能
PC 持ち出し時には直接インターネット経由でMcAfee サイトから定義ファイルをダウンロードできるように複数の取得先を設定可能
13
ネットワーク負荷を抑える更新の仕組み
ピアツーピアによる更新
Rumor(ルーモア)技術
Rumor は Peer to Peer(ピアツーピア)通信技術を応用した仕組みです。このテクノロジーは、ウイルス対策のアップデートを共有ファイルの配布によって行います。すなわち、ウイルス対策サービスのアップデートをユーザが共有する事を可能にしています。
定義ファイルの配布をリレー方式で実施
高速、かつ確実なウイルス対策サービスのアップデートを実現する Rumor テクノロジーは、ファイルの配布をインターネット経由でリレー方式に行います。McAfee のサイトからエージェントのシステムにファイルが送信され、LAN 内でそのアップデート情報をエージェントからエージェントへ送信します。
■クライアントに更新が発生した際、以下の動作を実施します。1. ePO サーバに更新が必要であるかどうかを確認2. 更新が必要であると判断した場合、同一ブロードキャスト セグメント上に存在するクライアント端末にコール3-a. 更新可能な端末を発見した場合、その端末とピアツーピア通信を行い、アップデートを実施3-b. 誰もアップデートがない場合は設定しているリポジトリの順番に従って更新を実施■ピアツーピア間で発生する更新可能なファイル-定義ファイル (AMCore Content 等)-ソフトウェアのアップデート (Patch 等)
14
情報検索とタスク実行を組み合わせる
定義ファイルのアップデート漏れを防止
ePO
クエリによって定義ファイルが最新に更新されていない端末の一覧を抽出
抽出されたクライアント端末に対して最新の定義ファイルを配布
クライアント端末
定義ファイル適用状態のクエリ結果と定義ファイルの配布タスクを組み合わせる事によって、最新の定義ファイルを適用
15
エージェントハンドラーを使った外部接続
社外にいても社内と同じように管理
ePO
エージェントハンドラー
FW
DMZ
社内クライアント端末
持ち出し端末
インターネット
各端末は ePO とエージェントハンドラーの両方のアドレスを知っているので接続可能な方を自動的に判断し接続
16
McAfee Agent のインストールされていないシステムも発見
不正なシステムを検知
ePO
クライアント端末
同一ネットワークブロードキャストセグメント
検知
通知
検知センサ(WinPcap)
① 同一ネットワークブロードキャストセグメント内に存在するネットワークデバイスの情報収集• DNS 名• オペレーティングシステムのバージョン• NetBIOS 情報(ドメインメンバーシップ、システム名、ログオンユーザ名)
② DHCP サーバにセンサをインストールすると、DHCP サーバに接続する全てのサブネットを 1つのセンサで対応
17
システム移行を利用したアップデート
複数の ePO で連携
ePO1 ePO2
クライアント端末
レポートの集約
ポリシーの共有
システムの移動
複数の ePO 間でポリシーの共有、レポートの集約が可能アップグレード時に新しい ePO と旧 ePO を連携させる事で新しい ePO にスムーズに管理クライアントを移行が可能
18
Why McAfee ePO ?
ePolicy Orchestrator導入のメリット
1
2
3
統合管理による運用管理工数の低減
高い拡張性を誇るアーキテクチャ
オープンなプラットフォーム
複数のシステム、製品を同じインターフェイスの元、同じオペレーションで一元的に管理する事により、管理者の運用性を向上させ運用工数を大幅に低減する事が可能になります。運用の煩雑性によって対応漏れなども予防できるため、セキュリティリスクも抑えることができます。
最大で 5,000,000 ノードの管理実績を持つスケーラブルなアーキテクチャによりグローバルに複数の拠点を展開するような環境であっても柔軟に管理が可能です。
ePO による管理は複数のマカフィー製品を一元的に管理できるだけでなく、オープンなプロトコル(OpenDXL)による連携に対応しており、3rd Partyの製品とも連携した運用が可能です。
19
すべてのエンドポイントをひとつのコンソールで統一
統合管理による運用管理工数の低減
マカフィーは一つの統合コンソール上でエンドポイントの脅威対策ライフサイクルに必要な全ての機能を、一元的に管理できます。
ePO
DXL
Threat Prevention
Web Control
Firewall
Encryption
Active Respons
e
Application Control
Partners
一元管理により、セキュリティ運用の複雑性を排除し、効率的なセキュリティ運用が可能になります。
全てのエンドポイント機能をePOで統合管理
20
最大で 500 万ノードを管理する実績
高い拡張性を誇るアーキテクチャ
グローバルに展開する組織においても安心の拡張性
ePO
ePO ePO
エージェントハンドラー
分散レポジトリ
分散レポジトリ
海外拠点A社外 子会社B 海外拠点C 国内拠点D
インターネット
レポート集約
更新処理の負荷分散
様々な拡張の仕組みによって拠点にまたがった管理や情報の集約を実現
21
セキュリティ管理機能を拡張する先進的な取り組み
オープンなプラットフォーム
ePolicyOrchestrator
クライアント端末
独自の高速メッセージバスOpenDXL
DXL Broker
3rd Party セキュリティ製品
EDR脅威情報共有 DB
オープンな連携プロトコルにより 3rd Party 製品とも連携
McAfee が開発したオープンな連携プロトコルにより(OpenDXL)によって製品の壁、ベンダーの壁を取り払う双方向の連携を実現
23
ePolicy Orchestrator 5.9
ハードウェア要件
コンポーネント 要件と推奨事項
筐体 250 以上のシステムを管理する場合は,専用サーバーを推奨
CPU 64 ビット Intel Pentium D 以上 (2.66 GHz 以上)
メモリ 8 GB 以上の RAM (推奨)
空きディスク容量 20GB 以上(DB で必要とする容量を除く)
File System NTFS 推奨
NIC 100MB 以上
IPアドレスePO サーバ用に静的 IP アドレスを使用IPv4 と IPv6 の両方のネットワークをサポート
データベース必須 - McAfee ePO をインストールするには、SQL Server または SQL Server Express の対応バージョンが必要です。
ドメインコントローラ ネットワーク上のドメイン コントローラーと信頼関係を構築する必要があります。
McAfee ePolicy Orchestrator 5.9.0 インストールガイドより抜粋https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26915/ja_JP/epo_590_ig_0b16_ja-jp.pdf
24
ePolicy Orchestrator 5.9
ソフトウェア要件
McAfee ePolicy Orchestrator 5.9.0 インストールガイドより抜粋https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26915/ja_JP/epo_590_ig_0b16_ja-jp.pdf
項目 要件
OS
• Windows Server 2008 R2 SP 1 • Windows Server 2012 • Windows Server 2012 SP 1 • Windows Server 2012 R2 • Windows Server 2016
SQL Server
• Microsoft SQL Server 2008 Express • Microsoft SQL Server 2008 SP3 以降• Microsoft SQL Server 2008 R2 • Microsoft SQL Server 2012 Express• Microsoft SQL Server 2012 • Microsoft SQL Server 2014 • Microsoft SQL Server 2016
仮想化ソフトウェア
• VMware ESXi 5.1 • VMware ESXi 5.5 • VMware ESXi 6 • Microsoft Hyper-V Server 2008 R2 • Microsoft Hyper-V Server 2012 • Microsoft Hyper-V Server 2012 R2 • XenServer 6 • XenServer 6.2
25
ePolicy Orchestrator 5.9
ポート要件
目的 ポート番号インストール時
変更可能インストール後
変更可能
エージェント / サーバー間通信ポート 80 〇
エージェント / サーバー間通信のセキュアポート 443 〇
エージェントウェークアップ通信ポート 8081 〇 〇
エージェントブロードキャスト通信ポート 8082 〇 〇
コンソール / アプリケーションサーバー間通信ポート 8443 〇
クライアント / サーバー間認証通信ポート 8444 〇
セキュリティ脅威用通信ポート 8801
SQL サーバー用 TCP ポート 1433 〇
McAfee ePolicy Orchestrator 5.9.0 インストールガイドより抜粋https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26915/ja_JP/epo_590_ig_0b16_ja-jp.pdf