デセプション
リリース アップグレードの概要(2023)
この記事では、Zscaler Deception のすべての新機能と拡張機能の概要について説明します。
illusionblack.com クラウドはすべてのクラウドを表し、特定のクラウドへの更新のデプロイには数週間かかる場合があります。 一部の機能は、デプロイが完了するまで使用できません。
に以下のサービスアップデートが導入されました。illusionblack.com on 以下の日程で開催されます。.
- 機能一覧
新しいデータセット
さまざまなアプリケーションの脆弱性に関する次の新しいデータセットが追加されました。
アプリケーション CVE ID 脆弱性の説明 プログレスWS_FTP CVE-2023-40044 アドホック転送モジュールの.NET逆シリアル化の欠陥によって引き起こされるリモート コード実行の脆弱性。敵対者は、HTTPモジュール内のファイル アップロードの不適切な処理に関連する脆弱性を利用します。 Atlassian Confluence CVE-2023-22518 Confluenceインスタンスへのネットワーク アクセス権を持つ未認証の攻撃者がConfluenceインスタンスのデータベースを復元し、最終的に任意のシステム コマンドを実行する不適切な認証の脆弱性。 詳細は、「脆弱性のあるアプリケーション データセット(CVEデータセット)について」を参照してください。
新しいThreatParseルール
さまざまなアプリケーションの脆弱性のエクスプロイトを検出する次の新しいThreatParseルールが追加されました。
アプリケーション CVE ID 脆弱性の説明 Sitecore CVE-2023-35813 未認証の敵対者が、さまざまな送信元ファイルを解析するためのASP.NET Webフォームで重要なASP.NET TemplateParserを悪用してコードを実行することを可能にするリモート コード実行の脆弱性。 Progress WS_FTP CVE-2023-40044 アドホック転送モジュールの.NET逆シリアル化の欠陥によって引き起こされるリモート コード実行の脆弱性。敵対者は、HTTPモジュール内のファイル アップロードの不適切な処理に関連する脆弱性を利用します。 SonicWall GMS CVE-2023-34124 Webサービス認証バイパスの脆弱性により、ネットワーク アクセス権を持つ未認証の敵対者がリモート コマンドを実行できる可能性があります。 IBM Aspera Faspex CVE-2022-47986 YAML逆シリアル化の欠陥によるリモート コード実行の脆弱性。これにより、攻撃者は特別に細工された古いAPI呼び出しを送信し、任意のコードを実行したり、機密データを取得したり、その他未承認の操作を実行したりする可能性があります。 Adobe ColdFusion CVE-2023-38205 Adobe ColdFusionのアクセス制御バイパスの脆弱性により、リモートの攻撃者が、未認証の外部アクセスをColdFusion管理者に制限するColdFusionメカニズムをバイパスする可能性があります。 Adobe ColdFusion CVE-2023-29300 Adobe ColdFusionの信頼されないデータの逆シリアル化の脆弱性により、ユーザーの操作なしで任意のコードが実行される可能性があります。 PaperCut CVE-2023-27350 PaperCut NGにリモート コード実行の脆弱性があり、未認証のリモート ユーザーが認証をバイパスし、SYSTEMのコンテキストで任意のコードを実行する可能性があります。 Atlassian Confluence CVE-2023-22515 Atlassian Confluenceデータ センターおよびサーバーにおけるアクセス制御の不備により、攻撃者が未承認のConfluence管理者アカウントを作成し、Confluenceインスタンスにアクセスできる脆弱性。 Atlassian Confluence CVE-2023-22518 Confluenceインスタンスへのネットワーク アクセス権を持つ未認証の攻撃者がConfluenceインスタンスのデータベースを復元し、最終的に任意のシステム コマンドを実行する不適切な認証の脆弱性。 詳細は、「ThreatParseルールについて」を参照してください。
- 機能一覧
イベント スコア計算の変更点
複数のThreatParseルールに一致するイベントのイベント スコアの計算は、一致するすべてのThreatParseルールのスコアを加算するのではなく、一致するルールの中で最も高いスコアを算出することによって行われるようになりました。各イベントのスコアは[イベントの詳細]ペインに表示されます。[イベントの詳細]ペインは、[イベント ログ]ページ([調査]>[拡張詳細の表示]>[イベント ログ])でイベントをクリックすることでアクセスできます。
詳細は、イベント ログについてを参照してください。
CrowdStrikeによる封じ込めの同期
Zscaler デセプションは1時間ごとにスケジューラーを実行し、Zscaler デセプションの管理ポータル内の、CrowdStrikeによって封じ込めが行われているエンドポイントのリストを更新します。これにより、CrowdStrike Falcon Insight Platformから手動でデバイスの封じ込めが解除された場合に、Zscalerポスチャー コントロール管理ポータルから、封じ込められたデバイスが確実に削除されます。
詳細については、封じ込められた攻撃者の詳細の表示を参照してください。
クラウド デセプション設定の削除
クラウド デセプションの設定を削除するオプションは、Microsoft Azure ([Deceive]>][クラウド デセプション]>[Azure]>[設定])とAmazon Web Services ([Deceive]>][クラウド デセプション]>[AWS]>[設定])でサポートされています。
詳細については、Azureデセプション設定の削除とAWSデセプション設定の削除を参照してください。
ランドマインの機能強化とライセンスの変更
- ライセンス付与の目的で、割り当てられたランドマイン ライセンス クォータから消費される、ランドマイン デコイの総数は、次の合計として計算されます。
- Zscaler Client Connectorランドマイン:アクティブ状態にあるすべてのランドマインにおける、一意のZscaler Client Connectorユーザーの数。
- スタンドアロン ランドマイン:アクティブ状態にあるすべてのランドマインにおける、一意のホスト名の数。
- エージェントレス ランドマイン:アクティブ状態にあるすべてのランドマインにおける、一意のホスト名の数。
最終チェックイン時刻が7日以上前のランドマイン エージェント(ZCC統合およびスタンドアロン)は非アクティブとみなされ、Zscaler デセプションの管理ポータルから削除されます。ランドマイン エージェントレスは常時アクティブです。
次のユーザー インターフェイスの変更が、[ランドマイン エージェント]ページ([Deceive]>[ランドマイン]>[エージェント])に加えられました。
- システムにログインしているユーザーのリストを表示する、[システム ユーザー名]列が追加されました。
- Zscaler Client Connectorにログインしているユーザーのリストが表示される[Client Connector Users] (Client Connectorユーザー)列の名前が、[Client Connector User] (Client Connectorユーザー)に変更されました。
- [エージェントレス]列が[タイプ]列に置き換えられ、ランドマイン エージェントのタイプ(ZCC統合、スタンドアロン、エージェントレス)に基づいて、テーブルをフィルタリングできるようになりました。
- ユーザー入力に基づいてドロップダウン メニューの値をフィルタリングするオプションが、[バージョン]列に追加されました。
- 日付範囲を使用してエージェント テーブルをフィルタリングするオプションが、[最初の検出]列と[前回の検出]列に追加されました。
- ライセンス付与の目的で、割り当てられたランドマイン ライセンス クォータから消費される、ランドマイン デコイの総数は、次の合計として計算されます。
AWSリソースのタグ
Amazon Web Services (AWS)クラウドに展開されている、デコイなどのリソースに、Zscaler デセプションの管理ポータルから直接タグを追加できます。タグを使用すると、Zscaler デセプションによって展開されたリソースを特定し、区別できます。タグを追加するオプションは、[クラウド デセプション - AWS]ページ([Deceive]>[クラウド デセプション]>[AWS]>[設定])で利用できます。
詳細については、AWSリソースのタグの設定と管理を参照してください。
ユーザー インターフェイスの機能強化
Zscaler デセプションの管理ポータルに対して、次のユーザー インターフェイスの変更と機能強化が行われました。
- [脅威インテリジェンス デコイ]ページ([Deceive]>[脅威インテリジェンス デコイ])で、[内部NAT IP]列が削除され、以下の新しい列が追加されました。
- [タイプ]:デコイ アプリケーションのタイプ([静的]、[動的]、[ハイインタラクション])。
- [パブリックIP]: 脅威インテリジェンス(TI)デコイに割り当てられたパブリックIPアドレス。
詳細については、脅威インテリジェンス デコイについておよび脅威インテリジェンス デコイの作成を参照してください。
- Microsoft Azureの[展開スクリプトのダウンロード]ウィンドウ([Deceive]>[クラウド デセプション]>[Azure]>[展開スクリプトのダウンロード])、およびAmazon Web Servicesの[展開スクリプトのダウンロード]ウィンドウ([Deceive]>[クラウド デセプション]>[AWS]>[展開スクリプトのダウンロード])の両方で、自動スクリプト セクションと手動スクリプト セクションに[クリップボードにコピー]ボタンが追加されました。
- [エージェント]テーブル([Deceive]>[ランドマイン]>[エージェント])で、前回ログをアップロードした日付を表示するマウスオーバー ツールチップが、[ログのダウンロード]アイコンに追加されました。
[ログのダウンロード]アイコンは、[ログのトリガー]アクションを使用した後にのみ表示されます。詳細については、エンドポイントからのランドマイン エージェント ログのダウンロードを参照してください。
- [脅威インテリジェンス デコイ]ページ([Deceive]>[脅威インテリジェンス デコイ])で、[内部NAT IP]列が削除され、以下の新しい列が追加されました。
- 機能一覧
Appleシリコンのランドマイン エージェントとエージェントレスへのサポート
ランドマイン ポリシーをZscaler Client Connectorユーザーに適用する
Microsoft AzureおよびAWSを使用したクラウド デセプション
Microsoft AzureとAmazon Web Services(AWS)をZscaler Deceptionと統合し、それらのパブリック クラウド プラットフォームに固有のデコイ リソースを展開できます。デコイを展開して、デコイのタイプと構成に応じて、組織内外の敵対者から発生した悪意あるアクティビティーを検出できます。
Azureを使用したクラウド デセプション
Microsoft AzureをZscaler Deceptionと統合し、Azure固有のさまざまなリソースをデコイとして展開できます。次のAzure固有のリソースは、Zscaler Deception管理ポータルからデコイとして構成できます。
- ユーザー
- サービス プリンシパル
- マネージドID
- アプリ サービス
- ストレージ アカウント コンテナー
- ストレージ アカウントのファイル共有
- キー ヴォルト
- ARMテンプレート
- コンテナー レジストリ
- VMイメージ
詳細については、Azureを使用したクラウド デセプションについておよびMicrosoft Azureを使用したクラウド デセプションのセットアップを参照してください。
AWSを使用したクラウド デセプション
AWSをZscaler Deceptionと統合し、AWS固有のさまざまなリソースをデコイとして展開できます。次のAWS固有のリソースは、Zscaler Deception管理ポータルからデコイとして構成できます。
詳細については、AWSを使用したクラウド デセプションについておよびAWSを使用したクラウド デセプションのセットアップを参照してください。
クラウド デコイのルアーの設定
次のランドマイン ポリシーを使用して、エンドポイントにAzureおよびAWSデコイのルアーを展開できます。
- クラウドルアー
クラウド ルアーを使用すると、次のクラウド デコイを使用してルアーを構成できます。
- AWS IAM
- Azureのファイル共有
- Azureのサービス プリンシパル
- Azureのユーザー
- Azure Storage Explorer
詳細は、クラウド ルアーの設定を参照してください。
閉じる - ブラウザールアー
ブラウザ ルアーを使用すると、次のクラウド デコイを使用してルアーを構成できます。
- AzureのVMイメージ
- Azureのアプリ サービス
- AWS S3
- AWS RDS
- AWS ECR
詳細は、ブラウザー ルアーの設定を参照してください。
閉じる - セッションルアー
- ファイルデコイ
デコイのタイプによっては、他のルアーを構成したり、敵対的な行動を検出したりすることもできます。
詳細については、Azure デコイを使用したルアーの設定およびAWSデコイを使用したルアーの設定を参照してください。
既存のAWSデコイの廃止予定
既存のAWSデコイ機能(Deceive>AWSデコイ)は廃止され、すべての既存のAWS IAMデコイとAWS S3デコイは機能しなくなります。これらの既存のAWSデコイを使用しているお客様は、AWSを使用して新しいクラウド デセプションに手動で移行する必要があります。
安全なイベントの保持期間
ユーザー インターフェイスの機能強化
Zscaler Deception管理ポータルに対して、次のユーザー インターフェイスの変更と機能強化が行われました。
- 脆弱なアプリケーション データセット(CVEデータセット)のページ(Miragemaker>[脆弱なアプリケーション データセット(CVEデータセット)])に、脆弱なアプリケーション データセットで構成されているすべての動的アプリケーションのリストを示すリンク付き動的アプリケーションの列が追加されました。
- 動的アプリケーション データセットの ページ(Miragemaker>動的アプリケーション データセット)に、次の列が追加されました。
- 静的アプリケーション データセット:動的アプリケーション データセットに関連付けられた静的アプリケーション データセットを表示します。
- 脆弱なアプリケーション データセット:動的アプリケーションデータセットに関連付けられたすべての脆弱な動的アプリケーションのリストを表示します。
- 機能一覧
Expiration Period for Connection Code in Decoy Connectors
Decoy Connectorの接続コードの有効期限が12時間に変更されました。
詳細については、 Decoy Connectorの追加とZscaler Deceptionへの接続を参照してください。
Integration with Zscaler Internet Access
Zscaler Deceptionは、Zscaler Internet Access (ZIA)との統合に対応しており、デバイス間でのランドマイン デコイとのインターネット アクセスをブロックすることで、ランドマイン デコイとインタラクトするZscaler Client Connectorのユーザーを封じ込めて隔離します。
詳細については、Zscaler DeceptionおよびZscaler Internet Accessの展開ガイドを参照してください。
Security Information and Event Management Integration with Sumo Logic
Zscaler DeceptionをSumo Logicセキュリティ情報イベント管理(SIEM)ソリューションと統合して、ログをリアルタイムで送信し、セキュリティ運用ワークフローを強化できます。
詳細は、デセプションとSumo Logic展開ガイドを参照してください。
User Interface Enhancements
Zscaler Deception Admin Portalに対して、次のユーザー インターフェイスの変更と機能強化が行われました。
- 封じ込めのページ(オーケストレート>封じ込め)で、ブロック済みIP/ホスト名の列の名前がブロック済みアイデンティティに変更され、さまざまな封じ込め統合の現在の機能が反映されました。
詳細については、コンテインメント統合についてを参照してください。
- ルールのページ(オーケストレート>ルール)および安全なプロセスのページ(Deceive>ランドマイン>安全なプロセス)で、ステータスの列の名前がタイプに変更されました。
詳細については、オーケストレーションのルールについておよび安全なプロセスについてを参照してください。
- Deception戦略ページは、DeceiveからMirageMaker(MirageMaker>戦略ビルダー>Deception戦略)に移動されました。
詳細については、Deception戦略についてを参照してください。
Validation for Landmine Agent Service Name
Zscaler Deceptionは、ユーザーが指定したランドマイン エージェントのサービス名を検証し、ユーザーがデフォルトのサービスの名前と一致する名前を設定できないようにして、ランドマイン エージェントの障害を回避します。
詳細については、[ ランドマイン インストーラーのカスタマイズを参照してください。
Zscaler Client Connector-Integrated Landmine Deception License Changes
Zscaler Client Connectorを使用してエンドポイント デセプションを展開するユーザーのライセンス計算が変更されました。Zscaler Client Connector―統合ランドマインの場合、ライセンスはZscaler Client Connectorにログインしているユーザーごとに計算されます。スタンドアロンランドマインの場合、ライセンスはシステムごとに計算されます。
詳細は、範囲と制限を参照してください。
- 機能一覧
ZPAで実際または本稼働のアプリケーションのゼロ トラスト ネットワーク デコイを作成する
ゼロ トラスト ネットワーク デコイをZscaler Private Access (ZPA)の既存の実際のApplication Segmentsに追加できます。Application Segmentsは未使用のポート上にあり、少なくとも1つのFQDNが設定されている必要があります。
Zscaler Deceptionでは、ゼロ トラスト ネットワークまたはZPAデコイのIPアドレスを構成することはできません。アラートは、デコイFQDNへの接続に対してのみ生成されます。
詳細は、ゼロ トラスト ネットワーク デコイの作成およびZPAアプリケーションについてを参照してください。
デセプション戦略の作成と展開
デセプション戦略機能を使用すると、すぐに使用できるパーソナリティーまたはタグを活用して、内部デコイ、脅威インテリジェンス(TI)デコイ、Active Directory (AD)デコイ、およびランドマイン ポリシーを1つのページですばやく構成できます。ネットワーク上の実際のアセットを模倣するサービス、名前、または構成を持つリアルな外観のデコイを構成します。
デフォルトでは、Zscaler Deceptionは、脅威を検出するためのさまざまなビジネス ユース ケースをカバーする組み込み戦略を提供します。ビジネス ニーズに合わせたカスタム戦略を作成できます。
詳細については、デセプション戦略についておよび戦略の作成を参照してください。
戦略を作成したら、内部またはゼロ トラスト ネットワーク(ZTN)デコイを使用して展開できます。
CrowdStrikeの機能強化
レスポンス ルールを構成して、Zscaler DeceptionがエンドポイントでIOC IP、IOCハッシュ、およびIOAプロセス ツリー アクティビティーを検出したときにCrowdStrikeソリューションが実行できるアクションを指定できます。
IOCおよびIOAアクティビティーが検出されると、レスポンス ルールがトリガーされ、攻撃者のプロセスのIOCおよびIOAが、レスポンス ルールで指定された必要なアクションと共にCrowdStrikeソリューションに転送されます。
詳細は、Zscaler DeceptionとCrowdStrikeの展開ガイドおよび封じ込められた攻撃者の詳細の表示を参照してください。
内部デコイ上の脅威インテリジェンス デコイとWebサービスのカスタム レスポンス ヘッダー
内部ネットワーク デコイ上の脅威インテリジェンス(TI)デコイとWebサービスには、HTTPレスポンス ヘッダーの操作に使用できるカスタムレスポンス ヘッダーがあります。レスポンス ヘッダーは、攻撃者がTIまたは内部ネットワーク デコイにアクセスしたときにブラウザーに表示されます。カスタム ヘッダーはデコイをリアルに見せるため、攻撃者はデコイと長時間インタラクトします。
詳細については、脅威インテリジェンス デコイの作成を参照してください。
詳細は、ネットワーク デコイでのWebサービスの構成を参照してください。
レスポンス ルールのデフォルトの有効期限
デフォルトの有効期限(時間単位)は、Palo Alto NetworksまたはFortinet solutionとの封じ込め統合を構成するときに設定できます。同じ有効期限がレスポンス ルールにも適用されます。
詳細は、Zscaler DeceptionおよびPalo Alto Networks展開ガイドを参照してください。
詳細は、Zscaler DeceptionとFortinetの展開ガイドを参照してください。
エビデンス ファイルの詳細をエクスポートする
調査のページで、CSVまたはJSONファイルとして収集されたエビデンス ファイルのリストをエクスポートできます。
詳細は、エビデンス ファイルについておよびエビデンス詳細のエクスポートを参照してください。
Safe Processes Enhancements
Zscaler Deceptionは、内部(組み込み)セーフ プロセスを提供します。これらの内部セーフ プロセスは、セーフ プロセスのページで表示または非表示にできます(Deceive>ランドマイン>セーフ プロセス)。
詳細は、セーフ プロセスについておよびセーフ ロセスの構成を参照してください。
内部デコイ上のWebサービスのセキュリティ ヘッダー
内部デコイ上のWebサービスには、HTTPダウングレードやCookieハイジャックなどの攻撃からブラウザとアプリケーションを保護するための事前構築済みセキュリティとStrict-Transport-Security(HSTS)応答ヘッダーがあります。次のヘッダーが含まれています。
- X-Content-Type-Options
- Referrer-Policy
- Permissions-Policy
- Content-Security-Policy
詳細は、ネットワーク デコイでのWebサービスの構成を参照してください。
ブラウザ ルアーのMicrosoft Edgeへの対応
デコイCookie、お気に入り、認証情報などのブラウザー ルアーは、エンドポイント上のMicrosoft Edgeで構成できます。
詳細は、ブラウザー ルアーの設定を参照してください。
LandmineエージェントとエージェントレスでのopenSUSE Leap 15.3のサポート
openSUSE Leap 15.3以降のバージョンが、Linux上のランドマイン エージェントおよびエージェントレス インストールに対応するLinux配信リストに追加されました。
詳細は、Linuxでのランドマイン エージェントのインストールおよびLinuxでのランドマイン エージェントレスの実行を参照してください。
サポート ユーザーの機能強化
Zscaler Deception Admin PortalにアクセスできるZscalerサポート チーム ユーザーの詳細は、サポート ユーザーのページで確認できます。ユーザー名、ログインID、ロール(読み取り専用または管理者)などの詳細を表示できます。
詳細は、サポート ユーザーの詳細の表示を参照してください。
監査ログのページで、サポート ユーザーのユーザー名にZscaler Deceptionサポートが追加されます。
詳細は、監査ログのエクスポートを参照してください。
- 機能一覧
仮想マシン ページの追加情報
仮想マシン ページ(設定>仮想マシン)には、オペレーティング システムとバージョンの列が表示されます。
詳細については、Windows高対話型仮想マシンの資格情報の構成を参照してください。
脅威インテリジェンス デコイのDNS構成のエクスポート
脅威インテリジェンス(TI)デコイのDNS構成の詳細をエクスポートできます。
詳細については、脅威インテリジェンス デコイのDNS設定のエクスポートおよび脅威インテリジェンス デコイについてを参照してください。
安全なイベントをSIEMソリューションに転送する
ZPAおよび脅威インテリジェンス コンポーネントの管理
次のZscaler DeceptionコンポーネントがZscaler Private Access (ZPA)または脅威インテリジェンス(TI)によって管理されている場合は、Zscalerサポートに連絡して管理する必要があります(編集、削除など)。
- Decoy Connector (ZPAおよびTI):編集、接続コードの取得、プロキシの構成、および削除を行います。
- アグリゲーター:編集、接続コードの取得、削除を行います。
- サービス バックエンド:編集、接続コードの取得、削除を行います。
- サブネットまたはインターフェイス:編集または削除します。
詳細については、以下を参照してください。
VMware Carbon Blackエンドポイント標準を使用したデバイスの検疫
VMWare Carbon Black Endpoint StandardとのZscaler Deception統合では、分離ポリシーを使用して同じ結果を達成する代わりに、感染したエンドポイントを検疫することで、他のデバイスとのネットワーク通信をブロックする機能がサポートされています。
詳細については、Zscaler DeceptionおよびVMware Carbon Blackエンドポイント標準展開ガイドを参照してください。
脅威インテリジェンス デコイのセキュリティ ヘッダー
脅威インテリジェンス デコイには、HTTPダウングレード攻撃からブラウザーとアプリケーションを保護するためのセキュリティと厳密なトランスポート セキュリティ応答(HSTS)ヘッダーが事前に構築されています。次のヘッダーが含まれています。
- X-Content-Type-Options
- Referrer-Policy
- Permissions-Policy
- Content-Security-Policy
詳細については、脅威インテリジェンス デコイの作成を参照してください。
安全な地雷処理支援
防御回避を検出するランドマイン プロセスは、ウイルス対策やエンドポイント検出と対応(EDR)スキャンなどのセキュリティ プロセスによってトリップされると、誤検知を生成することがあります。 Zscaler Deceptionを使用すると、正当なセキュリティ プロセスからアクセスされたときにイベントを生成しない安全なランドマイン プロセスを構成できます。アラートは、攻撃者がこれらのランドマイン プロセスを操作した場合にのみ生成されます。
これらの安全なランドマイン プロセスは、次のパラメーターを使用してフィルタリングできます。
- 実行可能ファイルのパス
- 実行可能ファイルのハッシュ
- 証明書発行者
- 証明書のシリアル番号
- 証明書の拇印
詳細については、安全なプロセスについておよびランドマインデコイについてを参照してください。
ユーザー インターフェイスの機能強化
Zscaler Deception管理ポータルに対して、次のユーザー インターフェイスの更新が行われました。
SIEMコネクタに改名
SIEMコネクタ ページの名前がサービス コネクタ(オーケストレーション>サービス コネクタ)に変更され、このデセプション コンポーネントのアプリケーションと使用の拡大を反映しています。
詳細については、サービス コネクタについてを参照してください。
ポリシー列の名前変更
エージェント ページのポリシー列([デセプション] > [ランドマイン] > [エージェント])の名前が一致したポリシーに変更され、エンドポイントに適用できるポリシーが示されました。
詳細については、ランドマイン エージェントについておよびランドマイン ポリシーについてを参照してください。