メインコンテンツへスキップ

検索

【EDR設定】Deep Instinctとの連携設定

対象ライセンス
以下のライセンスでご利用いただけます(別途記載されている場合を除きます)。
SeciossLink Enterprise, SeciossLink ゼロトラストSSO, ゼロトラストBusiness

 

この記事では、SeciossLinkとEDR製品「Deep Instinct」の連携機能の概要と設定方法を解説します。

 

機能の概要

SeciossLinkとEDR製品の「Deep Instinct」を連携することで、エンドポイントのセキュリティ強化を実現します。

Deep Instinctが不正アクセスを検知した場合、SeciossLinkに検知ログを送信します。検知ログを受信したSeciossLinkは、端末を利用しているアカウントを自動的に無効化、もしくはアクセス時にリスクベース認証を適用して追加認証を要求することで、不審な端末からのアクセスを防止してセキュリティを強化します。
 

(例1)通常時のログインフロー

 

(例2)Deep Instinctで検知後、SeciossLinkでアカウント停止した場合の流れ

 

(例3)Deep Instinctで検知後、SeciossLinkで追加認証する場合の流れ

 

ポイント
SeciossLinkでは、Deep Instinctから送信された検知ログを元に、端末ではなくアカウント単位で不正アクセスを防止します。複数の端末を利用するユーザーから特定の端末でのみ不正アクセスが検知された場合も、該当のSeciossLinkアカウントが利用する端末すべてが不正アクセスの防止対象となります。
例えば、ユーザーXが端末A・端末B・端末Cの3台を利用している場合、端末Aから不正アクセスが検知が発生するとユーザーXのSeciossLinkアカウントに検知ログによる不正アクセスの防止が適用されます。そのため、リスクベース認証を設定している場合は、端末B及びCからのアクセスに対しても追加認証が求められます。

 

設定の流れ

Deep InstinctとSeciossLinkの連携に必要な設定は、以下のとおりです。

  1. Deep Instinctの設定
  2. SeciossLinkの設定

 

Deep Instinctの設定

Deep Instinctの連携設定をします。
Deep Instinct側で必要となる設定は以下のとおりです。

  1. MSP Nameの値取得
  2. Syslogサーバーの設定
  3. APIコネクターの設定

確認
設定にはDeep InstinctのAdmin権限が必要です。

 

MSP Nameの値取得

  1. Deep Instinct管理コンソールにログイン後、画面右上に表示されている「MSP Name」の値を取得します。
    ※画面右上の赤枠の位置にMSP Nameが表示されています。
     MSP NameはSeciossLinkの設定にも使用します。必ずお手元にお控えください。

    UEM_Deep-Instinct_01.png
     

Syslogサーバーの設定

  1. 設定 > 連携&通知 にある[Syslogサーバー]をクリックします。

     

  2. [Syslogサーバーを有効化]スイッチをクリックして、 有効 に切り替えます。

     

  3. [サーバーアドレス]の項目で、[ホスト名/IPアドレス]に slink-cert.secioss.com 、[ポート]に 6514 と入力して、SeciossLink側の検知ログ送信先ホストとポート番号を設定します。

     

  4. [プロトコル]の項目で、ドロップダウンメニューから[TLS over TCP]を選択します。

     

  5. [フォーマット]の項目で、ドロップダウンメニューから[CEF]を選択します。
     

     

  6. 下部の[保存]をクリックして設定を保存します。以上でSyslogサーバーの設定は完了です。

 

図 Deep InstinctのSyslogサーバー画面の設定イメージ


表 Deep InstinctのSyslogサーバー画面で設定する項目と説明

項目 説明
Syslogサーバーを有効化 トグルをオンにして 有効 にします。
ホスト名/IPアドレス
  1. ホスト名に slink-cert.secioss.com を入力します。
  2. ポートに 6514 を入力します。
プロトコル ドロップダウンメニューから[TLS over TCP]を選択します。
フォーマット ドロップダウンメニューから[CEF]を選択します。

※設定後は必ず保存してください。

 

APIコネクターの設定

  1. 設定 > 連携&通知 にある[APIコネクター]をクリックします。

     

  2. [コネクタを追加]をクリックします。

     

  3. 「コネクターを編集」のポップアップが表示されます。
    [名前]の項目に、任意のAPIコネクター名を入力します。
    UEM_Deep-Instinct_08.png

     

  4. [テナント]の項目で、ドロップダウンメニューから[Default]を選択します。
    UEM_Deep-Instinct_09.png

     

  5. [権限]の項目で、ドロップダウンメニューから[読み取り]を選択します。

    UEM_Deep-Instinct_10.png
     

  6. [作成]をクリックして設定を保存します。

     

  7. 次に、SeciossLinkの設定に使用するAPIキーを取得します。
    APIコネクターの一覧画面から作成したAPIコネクターを選択し、コネクターの編集画面を開きます。
     
  8. [APIキー]の項目の[APIキーのコピー]をクリックして取得します。
    ※APIキーはSeciossLinkの設定に使用します。必ずお手元にお控えください。

     

  9. 以上でAPIコネクターの設定は完了です。

     

図 Deep InstinctのSyslogサーバー画面の設定後のイメージ
※APIキーはコネクター作成後に表示されます。

UEM_Deep-Instinct_12.png


表 Deep InstinctのAPIコネクター画面で設定する項目と説明

項目 説明
名前 任意のAPIコネクター名を入力します。
テナント ドロップダウンメニューから[Default]を選択します。
権限 ドロップダウンメニューから[読み取り]を選択します。
APIキー
※APIコネクター作成後に表示されます		 [APIキーのコピー]をクリックし、発行されたAPIキーを取得します。
※APIキーはSeciossLinkの設定に使用します。必ずお手元にお控えください。

※設定後は必ず保存してください。

 

SeciossLinkの設定

SeciossLinkの設定は以下のとおりです。

  1. クライアント証明書の設定 
  2. リスクベース認証の設定 ※不正検知後の対応が「追加認証」の場合  
  3. SeciossLinkのEDR設定 

 

クライアント証明書の設定

ユーザーの端末にクライアント証明書を導入します。

参照する記事:クライアント証明書(SeciossLink)の発行

ポイント
クライアント証明書の設定では、証明書が端末を識別するためのOTA(クライアント証明書を指定のデバイスに配布するための方法)設定が必須です。
例:Windows端末の場合はMACアドレスを設定します。

 

リスクベース認証の設定 ※不正検知後の対応が「追加認証」の場合

リスクベース認証を設定します。

リスクベース認証は、Deep Instinctで検知後にSeciossLinkでリスクベース認証(追加認証)を適用する場合に設定します。
※Deep Instinctで検知後、SeciossLinkのアカウントを無効化する場合にはリスクベース認証の設定は不要です。

ポイント
リスクベース認証は、アクセス時のリスクレベルをSeciossLinkが自動判定し、設定に応じて追加認証を要求する機能です。
EDR連携ではリスクレベルを問わず、Deep Instinctの検知後は自動でリスクベース認証で設定した認証方式が要求されます。

 

  1. リスクベース認証を設定します。

    参照する記事:認証ルールを設定する
    ※「認証ルールを設定する」>「認証ポリシーの設定」>「リスクベース認証の設定」をご参照ください。

    確認
    リスクベース認証では、認証ルールと異なる認証方式を設定してください。
    認証ルールは (左メニューバー)認証 > 一覧 から確認できます。

    設定例:
    認証ルールにID/パスワード認証とワンタイムパスワードを設定する場合、リスクベース認証にはFIDO認証を設定する。

     

  2. 認証ルールの認証方式に、「リスクベース認証」を追加します。

    参照する記事:認証ルール登録

 

SeciossLinkのEDR設定

SeciossLinkの連携設定をします。

 

  1. SeciossLinkの管理コンソールにて、(左メニューバー)端末 > 端末 を開き、上部タブ[EDR 設定]をクリックします。

     
  2. EDR設定画面が開きます。

     
  3. [EDR 設定]の項目で、ドロップダウンメニューから「Deep Instinct」を選択します。

     
  4. [ホスト名]の項目で、Deep Instinctのホスト名を入力します。
    ホスト名はDeep Instinct管理コンソールのURLの太字部分(host-name.deepinstinctweb.com)です。

     
  5. [MSP Name]の項目に、Deep Instinctの「MSP Name」の値を入力します。
     
  6. [API Key]の項目に、Deep InstinctのAPIキーを入力します。
     
  7. [対応方法]の項目で、ドロップダウンメニューからDeep Instinctが不正検知した際の対応方法を選択します。
    • [追加認証]:Deep Instinctが不正を検知すると、認証ルールの認証方式に加えて「リスクベース認証」で設定した認証方式を追加で要求します。
    • [アカウント停止]:Deep Instinctが不正を検知すると、その端末に紐づくユーザーアカウントのユーザー状態が無効になります。ユーザー状態が無効の場合、SeciossLinkにログインできません。
       
  8. [対象の端末]の項目で、Deep Instinctが不正を検知した場合にSeciossLinkへのアクセスを制限する端末を選択します。
    Deep Instinctが選択した端末(対象の端末)で不正を検知すると、指定した[対応方法]が実施されます。
    • [端末]:(左メニューバー)端末 > 端末 で管理する端末が対象になります。

    • [リモート端末]:(左メニューバー)端末 > リモート端末 で管理するリモート端末が対象になります。 

      確認
      リモート端末とは、Secioss Remote Gatewayを利用したリモート端末です。
      Secioss Remote Gatewayの詳細はこちらをご確認ください。

       

  9. すべての項目の設定が完了したら、下部の[保存]をクリックします。以上でSeciossLinkの設定は完了です。

    ※EDR設定で入力及び変更された項目が反映されるまで1時間ほどかかります。
    例えば、[対応方法]をアカウント停止から追加認証に変更した場合、不正アクセス検知後のSeciossLink側の挙動が
    追加認証に切り替わるのは1時間後となります。
     

     

 

図 SeciossLinkのEDR設定画面の設定イメージ

 

表 SeciossLinkのEDR設定画面で設定する項目と説明

項目 説明
EDR 設定 「Deep Instinct」を選択します。
ホスト名 連携先Deep Instinctのホスト名を入力します。
※以下はDeep Instinct管理コンソールのURLです。赤枠部分がホスト名です。
MSP Name Deep Instinctの「MSP Name」の値を入力します。
API Key Deep Instinctが発行したAPIキーの値を入力します。
対応方法

Deep Instinctが不審なアクセスを検知した後のSeciossLinkの対応方法を選択します。

  • [追加認証]:リスクベース認証で設定した認証を追加要求します。
  • [アカウント停止]:該当のアカウントを停止します。
対象の端末

Deep Instinctが不審なアクセスを検知した際に対処したい端末を指定します。

  • [端末]:
    (左メニューバー)端末 > 端末 で管理する端末が対象です。
  • [リモート端末]:
    (左メニューバー)端末 > リモート端末 で管理するリモート端末が対象です。

※上記すべての項目を設定してください。設定後は必ず保存してください。

 

困ったときには
Q. Deep Instinctで不審検知してもSeciossLinkで設定した追加認証が実施されない。
A. リスクベース認証が設定されていない可能性があります。 
ユーザーの認証ルールにリスクベース認証が設定されているかをご確認ください。
参照する項目:リスクベース認証の設定