デセプション
ネットワーク デコイでのサービスの設定
この記事では、サービス タブからネットワーク デコイ(内部およびゼロトラスト ネットワーク)上の以下のサービス(生成AI、Web、SSH、Telnet、SCADA/IoT、FTPなど)をカスタマイズ、有効化、無効化する方法を説明します。これには、次のトピックが含まれます。
サービスを構成する前に、まずデコイを停止し、変更を加えてから、構成を有効にするためにデコイを開始する必要があります。
- [サービス]タブへのアクセス
[サービス]タブにアクセスするには、以下の手順を実行します。
- [デセプション] > [ネットワーク デコイ]の順にアクセスします。
- [内部デコイ]タブまたは[ゼロトラスト ネットワーク]タブを選択します。
[デコイの追加]をクリックして新しいデコイを作成するか、既存のデコイの[編集]アイコンをクリックします。
[ネットワーク デコイの詳細]のウィンドウで、[サービス]をクリックします。
- 生成AIサービスの構成
- [サービス]タブで、[GenAI]を有効にします。
- [一般]で、[アプリケーションのタイプ]のドロップダウン メニューから次の生成AIアプリケーション データセット タイプのいずれかを選択します。
- 静的な
- [アプリケーション データセット]:生成AI静的アプリケーション データセットを選択します。
[Webサーバー バナー]:バナーを選択します。[Webサーバー タイプを作成]をクリックして、Webサーバー バナーを入力することもできます。
[ポート]で、ポート番号を入力し、要件に応じて各ポートの[SSL]を有効または無効にします。
(省略可)[証明書の設定]の下で、次の操作を行います。
- [SSL証明書]: SSL証明書をPEM (privacy-enhanced mail)形式でアップロードします。
[SSL秘密キー]:暗号化されていないSSL秘密キーをPEM形式でアップロードします。
Zscaler デセプションの管理ポータルは、カスタムSSL証明書の暗号化秘密キーをサポートしていません。
- [お気に入りのタイトル(ブラウザー ルアー)]:ブラウザーのお気に入りに表示するお気に入りのタイトルを入力します。
- [Cookie名(ブラウザー ルアー)]: Cookie名を入力します。
[レスポンス ヘッダー]で、次の操作を行います。
- [セキュリティ ヘッダーを有効化]:これを選択すると、X-Content-Type-Options、Referrer-Policy、Permissions-PolicyおよびContent-Security-PolicyなどのHTTPセキュリティ ヘッダーが生成AIサービスに追加されます。
- [HTTP Strict-Transport-Policyレスポンス ヘッダーを有効化]:これを選択すると、HTTP Strict-Transport-Security (HSTS)レスポンス ヘッダーが生成AIサービスに追加されます。
[カスタム レスポンス ヘッダー]で、次の操作を行います。
- [追加]をクリックして、HTTPレスポンス ヘッダーの操作に使用できるカスタム レスポンス ヘッダーを追加します。カスタム レスポンス ヘッダーは、攻撃者が内部デコイにアクセスしたときにブラウザに表示されます。カスタム ヘッダーはデコイをリアルに見せるため、攻撃者はデコイと長時間関わります。
- カスタム ヘッダー キーと値を入力します。
- ハイ インタラクション
- [ハイ インタラクション データセット]:生成AIのハイ インタラクション コンテナーを選択します。
- [モデル名]: AIモデル名を選択します。AIモデルとは、人間の介入をほとんど必要とせずにパターンを特定し、情報を処理し、意思決定を行うように訓練されたプログラムです。データリストで生成AIモデル名を設定することで、組織のユースケースに応じてモデル名を追加できます。
[システム プロンプト]:要件に従ってテキストを編集します。システム プロンプトには、チャットボットの動作の概要が示され、レスポンスをガイドするための初期指示が提供されます。デセプションにはデフォルトのシステム プロンプトがあり、一部の詳細が自動的に取得されます。 たとえば、顧客の名前は自動的に入力され、顧客に対してZPAが有効になっている場合は、ZPA Admin Portalで構成されたドメイン名が自動的に入力されます。
[ポート]に、ポート番号を入力します。
[ルアー構成]で、次の操作を行います。
- [お気に入りのタイトル(ブラウザー ルアー)]:ブラウザーのお気に入りに表示するお気に入りのタイトルを入力します。
- [Cookie名(ブラウザー ルアー)]: Cookie名を入力します。
- 静的な
- [送信]をクリックして設定を保存します。
- Webサービスの構成
- [サービス]タブで、[Web]を有効にします。
- [一般]で、[アプリケーションのタイプ]ドロップダウン メニューから次のWebアプリケーション データセットのいずれかを選択します。
[静的]]を選択し、アプリケーションを次のように構成します。
- [アプリケーション データセット]ドロップダウン メニューから静的データセットを選択します。
- [Webサーバーのバナー]のドロップダウン メニューからバナーを選択するか、[Webサーバー タイプの作成]をクリックしてWebサーバのバナーを入力し、[保存]をクリックしてWebサーバのバナーを作成します。
[動的]を選択し、アプリケーションを次のように構成します。
- [動的データセット]ドロップダウン メニューから動的データセットを選択します。
- [サーバーのタイプ]のドロップダウン メニューからサーバを選択するか、[Webサーバー タイプの作成]をクリックしてサーバ名を入力し、次いで[保存]をクリックしてサーバを作成します。
[操作頻度の多いンタラクション]を選択して操作頻度の多いコンテナーを使用し、[操作頻度の多いデータセット]ドロップダウン メニューから操作頻度の多いデータセットを選択します。
[ポート]で、ポート番号を入力し、要件に応じて各ポートの[SSL]を有効または無効にします。
(省略可)[証明書の設定]の下で、次の操作を行います。
- [SSL証明書]: SSL証明書をPEM (privacy-enhanced mail)形式でアップロードします。
[SSL秘密キー]:暗号化されていないSSL秘密キーをPEM形式でアップロードします。
デセプションの管理ポータルは、カスタムSSL証明書の暗号化された秘密キーをサポートしていません。
- [お気に入りのタイトル(ブラウザー ルアー)]:ブラウザーのお気に入りに表示するお気に入りのタイトルを入力します。
- [Cookie名(ブラウザー ルアー)]: Cookie名を入力します。
[レスポンス ヘッダー]で、次の操作を行います。
- [セキュリティ ヘッダーを有効化]:これを選択すると、X-Content-Type-Options、Referrer-Policy、Permissions-PolicyおよびContent-Security-PolicyなどのHTTPセキュリティ ヘッダーが生成AIサービスに追加されます。
- [HTTP Strict-Transport-Policyレスポンス ヘッダーを有効化]:これを選択すると、HTTP Strict-Transport-Security (HSTS)レスポンス ヘッダーが生成AIサービスに追加されます。
[カスタム レスポンス ヘッダー]で、次の操作を行います。
- [追加]をクリックして、HTTPレスポンス ヘッダーの操作に使用できるカスタム レスポンス ヘッダーを追加します。カスタム レスポンス ヘッダーは、攻撃者が内部デコイにアクセスしたときにブラウザに表示されます。カスタム ヘッダーはデコイをリアルに見せるため、攻撃者はデコイと長時間関わります。
- カスタム ヘッダー キーと値を入力します。
- [送信]をクリックして設定を保存します。
- 共有サービスの構成
- [サービス]タブで、[共有]を有効にします。
- [Admin$共有]を有効にして、Admin$共有フォルダを作成します。
- C$共有を有効にして、C$共有 フォルダーを作成します。
ゲストアクセス権限で共有フォルダへのアクセスを許可するには、[ゲストアクセス可能]を有効にします。
[ファイル共有]で、[追加]をクリックして共有フォルダーを追加します。
- [送信]をクリックして設定を保存します。
- FTPサービスの構成
- [サービス]タブで、FTPを有効にします。
- [バナー]ドロップダウン メニューから既存のFTPバナーを選択するか、[FTPバナーを作成]をクリックしてバナー テキストを入力し、[保存]をクリックして新しいカスタム バナーを作成します。
事前設定済みアプリケーション、またはデコイに展開するサービスを、[事前設定済みアプリケーション/サービス]ドロップダウン メニューから選択します。
- [送信]をクリックして設定を保存します。
- SSHサービスの構成
- [サービス]タブで、SSHを有効にします。
- [オペレーティング システム]ドロップダウン メニューからオペレーティング システム(OS)を選択します。
[バナー]にデコイのバナー テキストを入力します。バナー テキストは、デコイがSSH経由でアクセスされたときに表示されます。
- [送信]をクリックして設定を保存します。
- Telnetサービスの構成
- [サービス]タブで、[Telnet]を有効にします。
- [オペレーティング システム]ドロップダウン メニューからオペレーティング システム(OS)を選択します。
[バナー]にデコイのバナー テキストを入力します。バナー テキストは、デコイがTelnet経由でアクセスされたときに表示されます。
- [送信]をクリックして設定を保存します。
- Windowsサービスの構成
- [サービス]タブで、[Windows]を有効にします。
[仮想マシン]ドロップダウン メニューからWindows仮想マシンを選択します。
- [送信]をクリックして設定を保存します。
- AMQP、MQTT、MySQL、PostgreSQLおよび MongoDB サービスの有効化
- SCADA/IoTサービスの構成
- [サービス]タブで、[SCADA/IoT]を有効にします。
デコイに展開するアプリケーションまたはサービスを[事前設定済みアプリケーション/サービス]ドロップダウン メニューから選択します。
- [送信]をクリックして設定を保存します。
- カスタムサービスの構成
カスタム サービスを使用すると、ネットワーク デコイにTCPポートまたはUDPポートを追加できます。単一のネットワーク デコイで複数のTCPポートとUDPポートを有効にすることができます。カスタム サービス データセット(カスタマイズ可能なバナー、リクエスト、レスポンスを含む)を設定できます。カスタム サービス データセットは、カスタマイズされたポートで実行される独自のテキストまたはバイナリーベースのプロトコルを使用するシステムのネットワーク シグネチャーを模倣します。
カスタム サービスを有効にして設定する手順。
- [サービス]タブで、[カスタム サービス]を有効にします。
- [追加]をクリックします。
- [ポート]にポート番号を入力します。
- [プロトコル]ドロップダウン メニューからプロトコルを選択します。
[UDP]を選択します。
- [TCP]を選択します。
- [データセット]ドロップダウン メニューからアプリケーション データセットを選択します。
デコイアプリケーションの要件に従って[接続を開いたままにする]を有効または無効にします。
- [送信]をクリックして設定を保存します。
- カスタムDockerサービスの構成
- [サービス]タブで、[カスタムDocker]を有効にします。
[カスタムDockerデータセット]ドロップダウン メニューからDockerデータセットを選択します。
- [送信]をクリックして設定を保存します。
- サービスの無効化
[サービス]タブで、無効にするサービスの選択を解除します。たとえば、[共有]の選択を解除します。
- [送信]をクリックして設定を保存します。
![[サービス]タブにアクセスする](/downloads/deception/deceive/network-decoys/configuring-services-network-decoy/zscaler-deception-access-service-tab-2.png "[サービス]タブへのアクセス")
