こんにちは。今日は、Netscope R119で新しく追加されたマルウェア関連の機能をご紹介します。
1. 誤検申請プロセスの簡素化
最初にNetskopeで検出された誤検知(False Positve)をNetskopeのSupportに提出する方法がシンプルになりましたのでご紹介します。
R119からは、Netskopeで検出されたマルウェアの中で、お客様が誤検知と判断したファイルに対して、Netskopeコンソールから直接ケースをオープンすることができるようになりました。管理コンソールで誤検知を報告すると、新しいサポートチケットが自動的に作成され、確認メールがお客様へ届きます。つまり、他のサポートチケットと同様に、Netskopeサポートポータルで管理できるようになります。この機能を使用するには、Netskopeコンソールのログインユーザーを事前にサポートポータルに登録しておく必要があります(サポートケースがコンソールのログインユーザーでオープンされるため)。メリットとしては、これまでの誤検知対応プロセスがもっと簡素化できるため、誤検知分析に必要なログの収集、アップロードなどの作業が不要となり、対応が迅速に実施できるようになります。
では、誤検知をNetskopeサポートに報告する新しい方法を見てみましょう。
次の図に示すように、Incident > Malwareで誤検知として報告するマルウェアファイルの右側にある点線(… )> Report False Positiveを選択します。
別の方法としては、マルウェア詳細ページに移動し、右上のReport False Positiveを選択します。
すると、次のページが表示されます。 Report false positiveをチェックし、Saveボタンをクリックすると完了です。後ほどサポートチケット情報がメールで送られます。
もしNetskopeコンソールのユーザーがサポートポータルに登録されていない場合、次のように report false positive が無効になって使用できません。
また、すでに送信されたファイルを再送信すると、次のように送信されたことを示すメッセージが表示されます。
2. クラウドストレージへのマルウェアのアーカイブ
次に紹介する機能は、Netskopeで検出されたマルウェアを顧客所有のクラウドストレージにアーカイブできるようになりました。現在はAzure Blob Storageのみにアーカイブできますが、今後GCPとAWSもアーカイブできるようになる予定です。ただし、Advanced Malware検知エンジン(Deep Scan)に転送されていないファイルは、クラウドストレージにアーカイブできません。これにより、お客様のSOCチームがNetskopeで検出されたマルウェアの解析を行う際にシンプルかつ安全にそのファイルにアクセスできます。
この機能を使用するには、Malware Retention profileを作成する必要があります。プロファイルは複数作成できますが、一度に1つのプロファイルしか使用できません。使用する Malware Retention profile を Malware Retention に割り当てると、そのプロファイルで指定されたクラウドストレージに検知されたファイルが保存されます。
そして次のようにクラウドインスタンスを作成します。
詳細はここをご参照ください。
'Tech Notes' 카테고리의 다른 글
| Netskope P-DEM Alertを活用したSSEインフラストラクチャのモニタリング (0) | 2024.10.05 |
|---|---|
| Netskope + Splunk Integration (0) | 2024.09.01 |
| Netskopeを使ってOutlook Desktopアプリのアクティビティを制御 (0) | 2024.08.17 |
| Netskope ConsoleにSSO(SAML認証)を設定する (0) | 2024.08.13 |
| Netscope API Protectionを使用してGoogleドライブ共有をリアルタイムで制御 (0) | 2024.08.08 |