Cloud Firewall は、脆弱性、ブルートフォース攻撃、マイニングアクティビティ、データ漏えいなどの Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) の脅威から防御するためのさまざまな機能を提供します。その保護ルールは、初期アクセス、実行、永続化、防御回避、発見、コマンド & コントロール (C2) という 6 つの ATT&CK 戦術カテゴリをカバーしています。各ルールは、サプライチェーン攻撃やスクリプト実行から、DNS over HTTPS (DoH) トンネリングやリモートアクセスソフトウェアに至るまで、特定の攻撃テクニックを対象としています。
デフォルトでは、多様なワークロードや環境での誤検知を避けるため、ルールは監視モードまたは無効モードで実行されます。セキュリティポスチャーとコンプライアンス要件に基づいてルールモードを変更し、保護範囲を最大化してください。
カスタム基本防御ポリシーと仮想パッチポリシーを設定するには、Cloud Firewall Enterprise Edition または Ultimate Edition が必要です。
ATT&CK のカバー範囲
次の表は、各 ATT&CK 戦術がカバーする攻撃テクニックと、それらをブロックするために Cloud Firewall が実行するアクションを示しています。
| ATT&CK 戦術 | 攻撃テクニック | 保護アクション |
|---|---|---|
| 初期アクセス | サプライチェーン攻撃 | サプライチェーンのダウンロードを有効化、または監視プラグインをインストール |
| 実行 | スクリプトベースの定期タスクおよびジョブ | スクリプトのダウンロードを無効化 |
| 永続化 | スクリプトベースの定期タスクおよびジョブ | スクリプトのダウンロードを無効化 |
| 防御回避 | スクリプトによるファイル/ディレクトリの権限変更 | スクリプトのダウンロードを無効化 |
| スクリプトによるファイルの非表示化 | スクリプトのダウンロードを無効化 | |
| スクリプトによる履歴レコードのクリア | スクリプトのダウンロードを無効化 | |
| スクリプトによるファイルの削除 | スクリプトのダウンロードを無効化 | |
| 発見 | 不正なツールによる Web サービスのスキャン | 不正なツールのインストールを無効化 |
| セキュリティソフトウェアの検出 (例:Security Center エージェントの削除) | クラウドセキュリティソフトウェアのアンインストールを無効化 | |
| 重要なシステム情報の漏えい | システム情報の公開をブロック | |
| コマンド & コントロール | 非アプリケーション層プロトコル攻撃 | クラウドベースのリモートデバッグを無効化 |
| プロキシベースの攻撃 | プロキシを無効化 | |
| リモートアクセスソフトウェア攻撃 | リモートコントロールソフトウェアを無効化 | |
| DNS over HTTPS (DoH) を介したトンネリングプロトコル攻撃 | DNS over HTTPS (DoH) を無効化 | |
| Web サービスベースの攻撃 | パブリックサービスへのアクセスを無効化 |
免責事項
「ATT&CK に基づく Cloud Firewall のベストプラクティス」のトピックでは、正規のビジネスワークロードと不正な操作の両方に適用される可能性のあるルールについて説明しています。
個別ルールの適用範囲: 不正なツールのインストールを禁止するルールは、すべての不正なツールのインストールを禁止するルールと同じではありません。また、[防御設定] ページで指定された項目のみを許可するルールとも異なります。各ルールは特定のテクニックを対象としています。有効にする前に、各ルールの適用範囲を確認してください。
追加ルールのリクエスト: 組み込みのルールが特定のシナリオの要件を満たさない場合は、チケットを起票してアフターサービスにご連絡ください。Cloud Firewall のエンジニアがお客様のフィードバックを評価し、要件を満たすルールを公開します。