BlackBerry の Cylance Endpoint Security を知る!

Advent Calendar 2022 に関しての連続投稿9日目になります。

今回はAIセキュリティソフト、BlackBerry社のセキュリティ製品 Cylance シリーズをざっくりと触れていきたい。
公式ドキュメントは、https://docs.blackberry.com/ja/ を参考ください。
公式サイトは、https://www.blackberry.com/ja/jp/products/cylance-endpoint-security を参考ください。

※なお、私はBlackBerry社との関係者ではなく、1ユーザーにすぎません。悪しからず。

 

EPPやEDRについての解説は、note.comに簡単に書いているので、参考ください。

 

Cylance Endpoint Security群には、パソコンやサーバといった機器向けに①PROTECT (EPP) ②OPTICS (EDR) ③PERSONA (MLやAIを活用してユーザーの使用予測分析を行い動的にセキュリティポリシーを適用するサービス) がある。一方、スマホ向けに ④PROTECT Mobileがあり、社内アクセスをゼロトラストでアクセスさせる⑤GATEWAY (ZTNA) がある。

今回は全体像に触れていきたい。個々の機能は、また、どこかで。

Cylance Security

まず、アーキテクチャーの全体像からFW上が社内。FW下、BlackBerry Infrastructureと書かれている部分がCylanceクラウドで管理する範囲。
会社のディレクトリは、AD (Active Directory) でOK。この情報を、BlackBerry Connectivity Nodeと呼ばれるツールを英語OSのWindows Server上にインストールされ、管理コンソールと接続する。会社のディレクトリが複数あると失敗するため、1つだけなのかな?

Gateway Connectorが、ZTNA(ゼロトラスト・ネットワークアクセス)向けの専用サーバ。残念ながらNutanix AHV向けには提供されておらず、VMware (OVA)かHyper-V、Azure、AWSかのどちらか。OVAをAHVにデプロイしようとしたが失敗した。AHV対応が待ち遠しい。
勤務先にはNutanix基盤にESXiノードもあるので、そこに稼働させている。冗長性担保のため、2 VM 立てている。来年には、Hyper-Vを稼働させている物理サーバがあるので、そこにでも稼働させようかな?なんて思っている。ZTNAには冗長性が必要だ。

Gateway Connector内部にIPアドレスを持つ形になるため、オリジナルなIPが割り当てられる。

Cylanceアーキテクチャ

Cylanceコンソール画面、歯車→ネットワーク→プライベートネットワーク→エージェントIP範囲で、未使用CIDR (Classless Inter-Domain Routing)で設定が必要。この資料では、172.16.0.0/16で設定した。この、Connector向けCylanceコンソールでは、172.16.0.1がGatewayとして割りてられているようで、クライアントへの払出は、172.16.0.2からなのかな?
ただ、2022年12月時点でのコンソールでは、どのユーザーにどのIPを払い出したかの一覧が取得できない。

そのため、GATEWAYログから判断する必要がある。
この一覧表示にソースIPや、PC名も表示させることができるので、ある程度、この画面で調査は可能かもしれない。
更なる深堀情報は、端末名からIT資産管理ソフトで調べれば、割り当てられている社内IPも把握でき、更なる調査はできるかもしれない。
ただ検索条件が今ひとつHitしなかったりするため、今後の改善に期待したい。
ただ、払出しIP一覧機能をつけて欲しいものだ。

Cylance Console

EPPのPROTECT、EDRのOPTICSの設定画面例。
なにげにデバイス制御もあるけれど、勤務先ではIT資産管理ソフトSS1でバッティングするため利用していない。
ここらへんの詳細は、別の記事にて紹介したい。

Cylanceコンソール

ログについては30日間しか保存されないようだ。
今後の課題としては、せめて半年間は保管ができなきゃ、セキュリティフォレンジック的にはやばいよなぁ…。
Splunkの無料オプションで対応してみるかなぁ…。久しぶりに。
これも年末年始休暇作業中にでも、作業してみるかなぁ。

 

Author: 管理者