複数のThreatParseルールに一致するイベントのイベント スコアの計算は、一致するすべてのThreatParseルールのスコアを加算するのではなく、一致するルールの中で最も高いスコアを算出することによって行われるようになりました。各イベントのスコアは[イベントの詳細]ペインに表示されます。[イベントの詳細]ペインは、[イベント ログ]ページ([調査]>[拡張詳細の表示]>[イベント ログ])でイベントをクリックすることでアクセスできます。

画像を表示

詳細は、イベント ログについてを参照してください。

Zscaler デセプションは1時間ごとにスケジューラーを実行し、Zscaler デセプションの管理ポータル内の、CrowdStrikeによって封じ込めが行われているエンドポイントのリストを更新します。これにより、CrowdStrike Falcon Insight Platformから手動でデバイスの封じ込めが解除された場合に、Zscalerポスチャー コントロール管理ポータルから、封じ込められたデバイスが確実に削除されます。

詳細については、封じ込められた攻撃者の詳細の表示を参照してください。

クラウド デセプションの設定を削除するオプションは、Microsoft Azure ([Deceive]>][クラウド デセプション]>[Azure]>[設定])とAmazon Web Services ([Deceive]>][クラウド デセプション]>[AWS]>[設定])でサポートされています。

画像を表示

詳細については、Azureデセプション設定の削除とAWSデセプション設定の削除を参照してください。

• ライセンス付与の目的で、割り当てられたランドマイン ライセンス クォータから消費される、ランドマイン デコイの総数は、次の合計として計算されます。
  • Zscaler Client Connectorランドマイン：アクティブ状態にあるすべてのランドマインにおける、一意のZscaler Client Connectorユーザーの数。
  • スタンドアロン ランドマイン：アクティブ状態にあるすべてのランドマインにおける、一意のホスト名の数。
  • エージェントレス ランドマイン：アクティブ状態にあるすべてのランドマインにおける、一意のホスト名の数。

最終チェックイン時刻が7日以上前のランドマイン エージェント(ZCC統合およびスタンドアロン)は非アクティブとみなされ、Zscaler デセプションの管理ポータルから削除されます。ランドマイン エージェントレスは常時アクティブです。

• 次のユーザー インターフェイスの変更が、[ランドマイン エージェント]ページ([Deceive]>[ランドマイン]>[エージェント])に加えられました。

  • システムにログインしているユーザーのリストを表示する、[システム ユーザー名]列が追加されました。
  • Zscaler Client Connectorにログインしているユーザーのリストが表示される[Client Connector Users] (Client Connectorユーザー)列の名前が、[Client Connector User] (Client Connectorユーザー)に変更されました。

  画像を表示

  

  閉じる
  • [エージェントレス]列が[タイプ]列に置き換えられ、ランドマイン エージェントのタイプ(ZCC統合、スタンドアロン、エージェントレス)に基づいて、テーブルをフィルタリングできるようになりました。

  画像を表示

  

  閉じる
  • ユーザー入力に基づいてドロップダウン メニューの値をフィルタリングするオプションが、[バージョン]列に追加されました。

  画像を表示

  

  閉じる
  • 日付範囲を使用してエージェント テーブルをフィルタリングするオプションが、[最初の検出]列と[前回の検出]列に追加されました。

  画像を表示

  

  閉じる

Amazon Web Services (AWS)クラウドに展開されている、デコイなどのリソースに、Zscaler デセプションの管理ポータルから直接タグを追加できます。タグを使用すると、Zscaler デセプションによって展開されたリソースを特定し、区別できます。タグを追加するオプションは、[クラウド デセプション - AWS]ページ([Deceive]>[クラウド デセプション]>[AWS]>[設定])で利用できます。

画像を表示

詳細については、AWSリソースのタグの設定と管理を参照してください。

Zscaler デセプションの管理ポータルに対して、次のユーザー インターフェイスの変更と機能強化が行われました。

• [脅威インテリジェンス デコイ]ページ([Deceive]>[脅威インテリジェンス デコイ])で、[内部NAT IP]列が削除され、以下の新しい列が追加されました。
  • [タイプ]:デコイ アプリケーションのタイプ([静的]、[動的]、[ハイインタラクション])。
  • [パブリックIP]: 脅威インテリジェンス(TI)デコイに割り当てられたパブリックIPアドレス。

画像を表示

詳細については、脅威インテリジェンス デコイについておよび脅威インテリジェンス デコイの作成を参照してください。

• Microsoft Azureの[展開スクリプトのダウンロード]ウィンドウ([Deceive]>[クラウド デセプション]>[Azure]>[展開スクリプトのダウンロード])、およびAmazon Web Servicesの[展開スクリプトのダウンロード]ウィンドウ([Deceive]>[クラウド デセプション]>[AWS]>[展開スクリプトのダウンロード])の両方で、自動スクリプト セクションと手動スクリプト セクションに[クリップボードにコピー]ボタンが追加されました。

画像を表示

• [エージェント]テーブル([Deceive]>[ランドマイン]>[エージェント])で、前回ログをアップロードした日付を表示するマウスオーバー ツールチップが、[ログのダウンロード]アイコンに追加されました。

画像を表示

[ログのダウンロード]アイコンは、[ログのトリガー]アクションを使用した後にのみ表示されます。詳細については、エンドポイントからのランドマイン エージェント ログのダウンロードを参照してください。

ランドマイン エージェントとエージェントレスは、Appleシリコン搭載のMacコンピューターでサポートされています。インストーラーは、Deceive>ランドマイン>エージェントの下にあるエージェントのダウンロードのドロップダウン メニューからダウンロードできます。

画像を表示

Zscaler Client Connectorをその条件としてランドマイン ポリシーを構成できます。

画像を表示

詳細は、ランドマイン ポリシーの作成を参照してください。

Microsoft AzureとAmazon Web Services(AWS)をZscaler Deceptionと統合し、それらのパブリック クラウド プラットフォームに固有のデコイ リソースを展開できます。デコイを展開して、デコイのタイプと構成に応じて、組織内外の敵対者から発生した悪意あるアクティビティーを検出できます。

Azureを使用したクラウド デセプション

Microsoft AzureをZscaler Deceptionと統合し、Azure固有のさまざまなリソースをデコイとして展開できます。次のAzure固有のリソースは、Zscaler Deception管理ポータルからデコイとして構成できます。

• ユーザー
• サービス プリンシパル
• マネージドID
• アプリ サービス
• ストレージ アカウント コンテナー
• ストレージ アカウントのファイル共有
• キー ヴォルト
• ARMテンプレート
• コンテナー レジストリ
• VMイメージ

画像を表示

詳細については、Azureを使用したクラウド デセプションについておよびMicrosoft Azureを使用したクラウド デセプションのセットアップを参照してください。

AWSを使用したクラウド デセプション

AWSをZscaler Deceptionと統合し、AWS固有のさまざまなリソースをデコイとして展開できます。次のAWS固有のリソースは、Zscaler Deception管理ポータルからデコイとして構成できます。

• IAM
• S3
• RDS
• ECR
• DynamoDB
• VMイメージ

画像を表示

詳細については、AWSを使用したクラウド デセプションについておよびAWSを使用したクラウド デセプションのセットアップを参照してください。

クラウド デコイのルアーの設定

次のランドマイン ポリシーを使用して、エンドポイントにAzureおよびAWSデコイのルアーを展開できます。

• クラウドルアー

  クラウド ルアーを使用すると、次のクラウド デコイを使用してルアーを構成できます。

  • AWS IAM
  • Azureのファイル共有
  • Azureのサービス プリンシパル
  • Azureのユーザー
  • Azure Storage Explorer

  画像を表示

  

  閉じる

  詳細は、クラウド ルアーの設定を参照してください。

  閉じる
• ブラウザールアー

  ブラウザ ルアーを使用すると、次のクラウド デコイを使用してルアーを構成できます。

  • AzureのVMイメージ
  • Azureのアプリ サービス
  • AWS S3
  • AWS RDS
  • AWS ECR

  画像を表示

  

  閉じる

  詳細は、ブラウザー ルアーの設定を参照してください。

  閉じる
• セッションルアー

  セッション ルアーを使用すると、すべてのAzureデコイおよびAWSデコイに対してBash履歴ルアーを構成できます。

  画像を表示

  

  閉じる

  詳細については、セッション ルアーの設定を参照してください。

  閉じる
• ファイルデコイ

  ファイル デコイを使用すると、シークレットが関連付けられているすべてのAzureデコイおよびAWSデコイのルアーを構成できます。

  詳細については、ファイル デコイの構成を参照してください。

  閉じる

デコイのタイプによっては、他のルアーを構成したり、敵対的な行動を検出したりすることもできます。

詳細については、Azure デコイを使用したルアーの設定およびAWSデコイを使用したルアーの設定を参照してください。

既存のAWSデコイの廃止予定

既存のAWSデコイ機能(Deceive>AWSデコイ)は廃止され、すべての既存のAWS IAMデコイとAWS S3デコイは機能しなくなります。これらの既存のAWSデコイを使用しているお客様は、AWSを使用して新しいクラウド デセプションに手動で移行する必要があります。

Zscaler Deception管理ポータルに対して、次のユーザー インターフェイスの変更と機能強化が行われました。

• 脆弱なアプリケーション データセット(CVEデータセット)のページ(Miragemaker>[脆弱なアプリケーション データセット(CVEデータセット)])に、脆弱なアプリケーション データセットで構成されているすべての動的アプリケーションのリストを示すリンク付き動的アプリケーションの列が追加されました。

画像を表示

• 動的アプリケーション データセットの ページ(Miragemaker>動的アプリケーション データセット)に、次の列が追加されました。
  • 静的アプリケーション データセット：動的アプリケーション データセットに関連付けられた静的アプリケーション データセットを表示します。
  • 脆弱なアプリケーション データセット：動的アプリケーションデータセットに関連付けられたすべての脆弱な動的アプリケーションのリストを表示します。

画像を表示

Zscaler Deceptionは、Zscaler Internet Access (ZIA)との統合に対応しており、デバイス間でのランドマイン デコイとのインターネット アクセスをブロックすることで、ランドマイン デコイとインタラクトするZscaler Client Connectorのユーザーを封じ込めて隔離します。

画像を表示

詳細については、Zscaler DeceptionおよびZscaler Internet Accessの展開ガイドを参照してください。

Zscaler DeceptionをSumo Logicセキュリティ情報イベント管理(SIEM)ソリューションと統合して、ログをリアルタイムで送信し、セキュリティ運用ワークフローを強化できます。

画像を表示

詳細は、デセプションとSumo Logic展開ガイドを参照してください。

Zscaler Deception Admin Portalに対して、次のユーザー インターフェイスの変更と機能強化が行われました。

• 封じ込めのページ(オーケストレート>封じ込め)で、ブロック済みIP/ホスト名の列の名前がブロック済みアイデンティティに変更され、さまざまな封じ込め統合の現在の機能が反映されました。

画像を表示

詳細については、コンテインメント統合についてを参照してください。

• ルールのページ(オーケストレート>ルール)および安全なプロセスのページ(Deceive>ランドマイン>安全なプロセス)で、ステータスの列の名前がタイプに変更されました。

画像を表示

詳細については、オーケストレーションのルールについておよび安全なプロセスについてを参照してください。

• Deception戦略ページは、DeceiveからMirageMaker(MirageMaker>戦略ビルダー>Deception戦略)に移動されました。

画像を表示

詳細については、Deception戦略についてを参照してください。

ゼロ トラスト ネットワーク デコイをZscaler Private Access (ZPA)の既存の実際のApplication Segmentsに追加できます。Application Segmentsは未使用のポート上にあり、少なくとも1つのFQDNが設定されている必要があります。

Zscaler Deceptionでは、ゼロ トラスト ネットワークまたはZPAデコイのIPアドレスを構成することはできません。アラートは、デコイFQDNへの接続に対してのみ生成されます。

画像を表示

詳細は、ゼロ トラスト ネットワーク デコイの作成およびZPAアプリケーションについてを参照してください。

デセプション戦略機能を使用すると、すぐに使用できるパーソナリティーまたはタグを活用して、内部デコイ、脅威インテリジェンス(TI)デコイ、Active Directory (AD)デコイ、およびランドマイン ポリシーを1つのページですばやく構成できます。ネットワーク上の実際のアセットを模倣するサービス、名前、または構成を持つリアルな外観のデコイを構成します。

デフォルトでは、Zscaler Deceptionは、脅威を検出するためのさまざまなビジネス ユース ケースをカバーする組み込み戦略を提供します。ビジネス ニーズに合わせたカスタム戦略を作成できます。

画像を表示

詳細については、デセプション戦略についておよび戦略の作成を参照してください。

戦略を作成したら、内部またはゼロ トラスト ネットワーク(ZTN)デコイを使用して展開できます。

画像を表示

詳細は、戦略の展開についておよび戦略の展開を参照してください。

レスポンス ルールを構成して、Zscaler DeceptionがエンドポイントでIOC IP、IOCハッシュ、およびIOAプロセス ツリー アクティビティーを検出したときにCrowdStrikeソリューションが実行できるアクションを指定できます。

IOCおよびIOAアクティビティーが検出されると、レスポンス ルールがトリガーされ、攻撃者のプロセスのIOCおよびIOAが、レスポンス ルールで指定された必要なアクションと共にCrowdStrikeソリューションに転送されます。

画像を表示

詳細は、Zscaler DeceptionとCrowdStrikeの展開ガイドおよび封じ込められた攻撃者の詳細の表示を参照してください。

内部ネットワーク デコイ上の脅威インテリジェンス(TI)デコイとWebサービスには、HTTPレスポンス ヘッダーの操作に使用できるカスタムレスポンス ヘッダーがあります。レスポンス ヘッダーは、攻撃者がTIまたは内部ネットワーク デコイにアクセスしたときにブラウザーに表示されます。カスタム ヘッダーはデコイをリアルに見せるため、攻撃者はデコイと長時間インタラクトします。

画像を表示

詳細については、脅威インテリジェンス デコイの作成を参照してください。

画像を表示

詳細は、ネットワーク デコイでのWebサービスの構成を参照してください。

デフォルトの有効期限(時間単位)は、Palo Alto NetworksまたはFortinet solutionとの封じ込め統合を構成するときに設定できます。同じ有効期限がレスポンス ルールにも適用されます。

画像を表示

詳細は、Zscaler DeceptionおよびPalo Alto Networks展開ガイドを参照してください。

画像を表示

詳細は、Zscaler DeceptionとFortinetの展開ガイドを参照してください。

調査のページで、CSVまたはJSONファイルとして収集されたエビデンス ファイルのリストをエクスポートできます。

画像を表示

詳細は、エビデンス ファイルについておよびエビデンス詳細のエクスポートを参照してください。

Zscaler Deceptionは、内部(組み込み)セーフ プロセスを提供します。これらの内部セーフ プロセスは、セーフ プロセスのページで表示または非表示にできます(Deceive>ランドマイン>セーフ プロセス)。

画像を表示

詳細は、セーフ プロセスについておよびセーフ ロセスの構成を参照してください。

内部デコイ上のWebサービスには、HTTPダウングレードやCookieハイジャックなどの攻撃からブラウザとアプリケーションを保護するための事前構築済みセキュリティとStrict-Transport-Security(HSTS)応答ヘッダーがあります。次のヘッダーが含まれています。

• X-Content-Type-Options
• Referrer-Policy
• Permissions-Policy
• Content-Security-Policy

画像を表示

詳細は、ネットワーク デコイでのWebサービスの構成を参照してください。

デコイCookie、お気に入り、認証情報などのブラウザー ルアーは、エンドポイント上のMicrosoft Edgeで構成できます。

画像を表示

詳細は、ブラウザー ルアーの設定を参照してください。

Zscaler Deception Admin PortalにアクセスできるZscalerサポート チーム ユーザーの詳細は、サポート ユーザーのページで確認できます。ユーザー名、ログインID、ロール(読み取り専用または管理者)などの詳細を表示できます。

画像を表示

詳細は、サポート ユーザーの詳細の表示を参照してください。

監査ログのページで、サポート ユーザーのユーザー名にZscaler Deceptionサポートが追加されます。

画像を表示

詳細は、監査ログのエクスポートを参照してください。

仮想マシン ページ(設定>仮想マシン)には、オペレーティング システムとバージョンの列が表示されます。

画像を見る。

詳細については、Windows高対話型仮想マシンの資格情報の構成を参照してください。

脅威インテリジェンス(TI)デコイのDNS構成の詳細をエクスポートできます。

画像を見る。

詳細については、脅威インテリジェンス デコイのDNS設定のエクスポートおよび脅威インテリジェンス デコイについてを参照してください。

セキュリティ情報イベント管理(SIEM)の統合では、Zscaler Deceptionによって安全とマークされたイベントを、サポートされているSIEMソリューションに転送できます。

画像を見る。

詳細は、「SIEM統合について」「ダッシュボードからのアクションの実行」を参照してください。

VMWare Carbon Black Endpoint StandardとのZscaler Deception統合では、分離ポリシーを使用して同じ結果を達成する代わりに、感染したエンドポイントを検疫することで、他のデバイスとのネットワーク通信をブロックする機能がサポートされています。

画像を見る。

詳細については、Zscaler DeceptionおよびVMware Carbon Blackエンドポイント標準展開ガイドを参照してください。

脅威インテリジェンス デコイには、HTTPダウングレード攻撃からブラウザーとアプリケーションを保護するためのセキュリティと厳密なトランスポート セキュリティ応答(HSTS)ヘッダーが事前に構築されています。次のヘッダーが含まれています。

• X-Content-Type-Options
• Referrer-Policy
• Permissions-Policy
• Content-Security-Policy

画像を見る。

詳細については、脅威インテリジェンス デコイの作成を参照してください。

防御回避を検出するランドマイン プロセスは、ウイルス対策やエンドポイント検出と対応(EDR)スキャンなどのセキュリティ プロセスによってトリップされると、誤検知を生成することがあります。 Zscaler Deceptionを使用すると、正当なセキュリティ プロセスからアクセスされたときにイベントを生成しない安全なランドマイン プロセスを構成できます。アラートは、攻撃者がこれらのランドマイン プロセスを操作した場合にのみ生成されます。

これらの安全なランドマイン プロセスは、次のパラメーターを使用してフィルタリングできます。

• 実行可能ファイルのパス
• 実行可能ファイルのハッシュ
• 証明書発行者
• 証明書のシリアル番号
• 証明書の拇印

画像を見る。

詳細については、安全なプロセスについておよびランドマインデコイについてを参照してください。

SIEMコネクタに改名

SIEMコネクタ ページの名前がサービス コネクタ(オーケストレーション>サービス コネクタ)に変更され、このデセプション コンポーネントのアプリケーションと使用の拡大を反映しています。

画像を見る。

詳細については、サービス コネクタについてを参照してください。

ポリシー列の名前変更

エージェント ページのポリシー列([デセプション] > [ランドマイン] > [エージェント])の名前が一致したポリシーに変更され、エンドポイントに適用できるポリシーが示されました。

画像を見る。

詳細については、ランドマイン エージェントについておよびランドマイン ポリシーについてを参照してください。