Download presentation
1
Stealthwatch (Enterprise & Cloud) アップデート
2019年12月19日 シスコシステムズ合同会社 セキュリティ事業 テクニカルソリューションズアーキテクト 二宮 瑞樹
2
本セッションについて 本セッションは 10 月にグローバルのパートナー様とシスコ社員向けに開 催されたイベントより Stealthwatch のアップデートに関するセッションを抜 粋したものとなります。 Stealthwatch Enterprise の概要については 2019 年 5 月の PSU week 資料、Stealthwatch Cloud については 2018 年 11 月の PSU week 資料 をご確認ください。
3
アジェンダ Focus Releases – SWE & SWC Cisco Security and Logging
4
Stealthwatch Focus Releases CSAL
5
Strategic Imperatives
Strategy Summary Strategic Imperatives セキュリティイベント検知能力の向上 Increase threat landscape coverage and detection precision エコシステムの推進 Expand Total Addressable Market through Attach and Integration クラウドにフォーカス Accelerate Stealthwatch’s leadership position in protecting Multi-Cloud IT Infrastructures Stealthwatch エクスペリエンスの統一 Provide Unified, Scalable User Experience On-prem, Hybrid or in Cloud Stealthwatch Vision
6
Stealthwatch Vision SaaS に向かう市場の動向に 順応 より大規模な環境にも対応 さまざまなシスコ製品と連携
SaaS Delivery On-Prem Delivery 95% Helpful, Actionable Shared Alerts Common User Experience Use cases/ Workflows Consistent product integrations across Cisco Products and Clouds Stealthwatch Enterprise Stealthwatch Cloud Today Tomorrow SaaS に向かう市場の動向に 順応 より大規模な環境にも対応 さまざまなシスコ製品と連携 統一されたエクスペリエンス を提供
7
Stealthwatch Enterprise Stealthwatch On-Premise
The Journey Functional Gap Filling Stealthwatch Cloud Stealthwatch SaaS Continuous Upgrade Periodic Upgrade Stealthwatch Enterprise Stealthwatch On-Premise Architectural Evolution
8
Stealthwatch Focus Releases CSAL
9
SWE SWE 7.1.2 7.2 FCS FCS 2 つの新ソフトウェアのリリース予定日 Nov 2019 April 2020
Enterprise 2 つの新ソフトウェアのリリース予定日 Nov 2019 April 2020 SWE 7.1.2 FCS SWE 7.2 FCS
10
SWE 7.1.2 SWE と CTR 連携 Enterprise フェーズ 1 フェーズ 2
Casebook ウィジェット, 重大度の高いア ラームを CTR にプッシュなど フェーズ 2 カスタムアラーム設定 (in 7.2)
11
Enterprise CTR 連携の概要
12
CTR 連携の概要 Enterprise SSE Threat Response API Proxy Incident Manager
Enrich with Events API Proxy Incident Manager Pivot Promote Alarms Flow Collector Management Console
13
SWE 7.1.2 TACACS+ Enterprise
TACACS+ リモートサーバで認可まで可 能(今までの TACACS+ では認証のみ)
14
7.2 スマートライセンス Enterprise タームライセンス契約分のみ 7.2 に アップグレード可能
すべてのお客様がスマートアカウント を持つ必要となる見込み スマートライセンスでライセンス消費 量やコンプライアンス準拠状況をレ ポート
15
Enterprise 7.2 ユーザインターフェイス 共通のユーザエクスペリエンス シスコの他のセキュリティ製品と似 通った UI を提供
16
7.2 Java から Web UI (1) 下記の設定が Web UI でできるよう に Response Management
Enterprise 7.2 Java から Web UI (1) 下記の設定が Web UI でできるよう に Response Management DSCP Configuration Data Retention Alarm Severity Services Domain Properties Document Builder カスタムレポートを 作成する機能
17
Enterprise 7.2 Java から Web UI (2) Java で設定可能だった Host Lock policy は廃止し、Web UI でのカス タムセキュリティイベント設定で 実施するように
18
イベント発生時にメールや Syslog で通知する機能
Enterprise 7.2 Cisco ISE 自動隔離 イベント発生時にメールや Syslog で通知する機能 Response Management 設定 にCisco ISE の ANC Policy が 追加
19
Enterprise 7.2 トライアルライセンスのアップデート Threat Intelligence (旧 SLIC), Proxy License がトライアルラ イセンスでも使えるように
20
7.2 Adding Talos Partnership
Enterprise 7.2 Adding Talos Partnership Current Next Future Phase 1 Phase 2 – 7.2 Release Joint marketing efforts Joint authoring with SWC content Threat hunting with Cisco Talos and Cisco Stealthwatch Cloud Whitepaper Leverage Talos for event and alert context, for all customers Leverage Talos to augment current Threat Intelligence, for Threat Intelligence License customers Replace current threat feed with Talos content and lookups “Stealthwatch is backed by a world class threat research team that is unique to Cisco ... Talos”
21
7.2 新 Flow Sensor モデル Enterprise 既存の FS4210 を FS4240 に差し 替え FS4240
FS4240 がオーダ可能となったタイミ ングで FS4210 の EOL アナウンス FS4240 4 x 10G Intel X710 2 x 40G FastLinQ QL45412HLCU-CI 設定画面でどちらのカードを使うか選択できるが、両方同時に使うことは不可 将来的には 100G インターフェイスのアプライアンスもリリース予定
22
7.2 Stealthwatch Datastore (ST-DS) アプライアンス
Enterprise 7.2 Stealthwatch Datastore (ST-DS) アプライアンス 検索とレポート出力の応答速度向上 スケーラブルな ストレージ設計 スケーラブルな FPS 処理レート 検出・分析性能の 向上 今まで数時間かかっていた大量の検索およびレポート出力を数分程度まで短縮 FC エンジンを追加することなく、HA を兼ねたストレージを追加可能 フローの更なる長期保存が可能 一つのクラスタで最大 3 Million FPS の処理性能 Stealthwatch Cloud をアドオン可能で、FC 単体では実現できないエンティティモデリングでの検出・分析も可能
23
7.2 現行と ST-DS 利用時の設計・性能の比較
Enterprise Andrea 7.2 現行と ST-DS 利用時の設計・性能の比較 Maintenance cost and effort is lower Native scalability leads to expansion and more Flow Rate License purchased Architecture enables a better detection platform with higher customer helpfulness score
24
Stealthwatch Data Store (ST-DS) Estimated Features Timeline
Enterprise Stealthwatch Data Store (ST-DS) Estimated Features Timeline Feature SWE – Today GOOD SWE CDS – 7.2 BETTER SWE CDS – 2021~ BEST 検索とレポート出力の応答速度向上 FC 自体の性能に 限られる Stealthwatch Data Store により パフォーマンスと効率性が改善 最適化されたレポート出力 スケーラブルなストレージ設計 FC 自体のストレージに ・柔軟にストレージ追加が可能 ・HA により高可用性を実現 低コストかつ大容量ストレージ スケーラブルな FPS 処理レート スケールアップ不可 3M FPS に対応 継続的な処理性能向上活動 検出・分析性能の向上 FC での検出に Stealthwatch Cloud ベース の検知が利用 Stealthwatch Cloud ベースの ホストロール割当
25
Stealthwatch Data Store のラインナップ
Enterprise Andrea Stealthwatch Data Store のラインナップ Product Product ID (UCS M5) Flow Collectors ST-FC4210-K9+ ST-FC5210-K9++ Data Store ST-DS2200-K9 * ST-DS4200-K9 ** ST-DS5200-K9 *** Data Store アプライアンスは 3 台、6 台、12 台の 3 パターン 同一のソフトウェアバージョンで動作させること プラットフォームは UCS M5 C240 (2 ラックユニット) 各ノードは個別に RMA 可能 Data Store アプライアンスは SMC 2210, FC 4210 と連携 (FC5210 は非対応) K FPSw/90 days storage K FPS w/90 days storage * * k FPS w/90 days storage ** ** 500K FPS w/90 days storage *** ***1M FPS w/90 days storage
26
Cloud SWC 新機能のリリース時期 Nov 2019 Feb 2020 May 2020 … SWC Q1 SWC Q2 SWC Q4
27
FY20 Q1 SWC/CI 連携 Cognitive Confirmed Threat Service (CTS)
Cloud FY20 Q1 SWC/CI 連携 Cognitive Confirmed Threat Service (CTS) CTS での Observation (イベント) も検知 ETA テレメトリの取得/解析 from CAT 9K (9300/9400), CSR, ASR 1K/4K 近日実装予定 Crypto Audit Report
28
SWC ETA テレメトリのサポート Cloud Metadata sent to cloud for analytics
ONA now processes ETA metadata fields from NetFlow/IPFIX. Stealthwatch Cloud Sensor (AKA ONA) NetFlow & IPFIX ETA Capable Exporter: Catalyst 9300,9400 ISR, ASR, CSR, ISRv Flow Sensor 7.1 Analytics performed here!
29
SWC ETA テレメトリのサポート Cloud Metadata sent to cloud for analytics
ONA now processes ETA metadata fields from NetFlow/IPFIX. Stealthwatch Cloud Sensor (AKA ONA) NetFlow & IPFIX ETA Capable Exporter: Catalyst 9300,9400 ISR, ASR, CSR, ISRv Flow Sensor 7.1 SPAN Analytics performed here! No ETA Meta data for SPAN yet. Soon.
30
Configuring the SWC Sensor
Cloud Configuring the SWC Sensor Edit the file /opt/obsrvbl-ona/config.local to include: OBSRVBL_ETA_CAPTURER=“true” OBSRVBL_ETA_UDP_PORT=“eta-exporter-port” Best Practice: - Send ETA telemetry to a different port than other NetFlow/IPFIX exporters will result in higher performance of the Sensor. The SWC Sensor does process Flow Sensor ETA records.
31
Encrypted Traffic 通信の一覧表示
Cloud Encrypted Traffic 通信の一覧表示 Encrypted Traffic の通信一覧を確認
32
FY20 Q1 Cisco Secure Sign-On
Cloud 既に実装済み FY20 Q1 Cisco Secure Sign-On Secure Identity Strong security that meets the highest industry standards Benefits to Cisco Security Drive portfolio adoption Gain insights into cloud subscriptions Central landing portal for POVs and user communications Duo MFA Centrally protected and managed credentials in one secure portal Seamless workflows One login to access all your apps and maintain context through flows Both CDO and SWC have enabled opt-in for Cisco Secure Sign-On on Oct 15, 2019 Cross-launch between CDO and SWC is therefore seamless and using same credentials
33
FY20 Q1 Cisco Secure Sign-On
Cloud FY20 Q1 Cisco Secure Sign-On Secure Single Sign-On での ログインはこちら いままで通りの ログインはこちら
34
FY20 Q1 SWC-Cisco ISE 連携 (beta)
Cloud FY20 Q1 SWC-Cisco ISE 連携 (beta) 新しい Observations: Session Closed Session Opened SWC Sensor と Cisco ISE が pxGrid で連携
35
FY20 Azure アップデート Azure 向けの新しいアラート(実装 済) Azure 向けの新しいロール
Cloud FY20 Azure アップデート Azure 向けの新しいアラート(実装 済) Permissive Security Group, Permissive Storage Account など Azure 向けの新しいロール Azure Availability Set, Load Balancer など Azure 向けの新しい機能 Abnormal User alerting Automating Azure setup Integration with Marketplace
36
FY20 Grouping と Policy コンプライアンスとセグメンテーション のユースケースにフォーカス Cloud
ホストやサブネットにグループ名を付与 各グループをモニタリングするポリシー を適用可能に
37
Stealthwatch Focus Releases CSAL
38
Cisco Security Analytics & Logging
Cloud Cisco Security Analytics & Logging Store & search logs in the cloud シスコセキュリティ製品からのログ、イベン ト、テレメトリを収集し、相関分析するサー ビス(それを CDO でシンプルに管理) Logging is the foundation for platform use cases コンプライアンスやフォレンジックのためのレ ポーティングやログ蓄積 Security analytics is the differentiator 脅威検知、資産管理、ポリシーチューニング、 コンプライアンス管理 Security analytics for threats, policy, and compliance Enrichment for incidents from network logs
39
Cisco Security Analytics and Logging Overview
Cloud Cisco Security Analytics and Logging Overview Cisco Defense Orchestrator Stealthwatch Cloud Cisco Cloud Log Viewing Log Storage & Analytics NGFW On-Premise
40
90日間ログ保管 (1、5、10、15、25 GB /日) /テナント
Cloud Cisco Security Analytics & Logging (SAL) ライセンス体系 90日間ログ保管 (1、5、10、15、25 GB /日) /テナント 注釈 1/3/5年 サブスクリプション Lic TA -Total Network Analytics & Detections (SWC UI) ニア・リアルタイムイベント閲覧 – 検索、ソート、フィルタ Logging Service ファイアウォールログにおける行動ベース脅威解析 SWC Analytics for NGFW SWC Analytics for PNM 内部ネットワークに対する拡張行動解析 Logging Service 選択された収集率で90日間のログを保存するために必要な保管容量 テナント/顧客おける、CDO管理されたファイアウォール全体で保管領域を共有 SWC Analytics for NGFW 収集率に応じて送信されたログの行動解析を行う SWC Analytics for PNM 1GB/日のNGFWログ収集率毎にPNMの為の50エンドポイントライセンス * PNM : Private Network Monitoring 1/3/5年 サブスクリプション Lic FA - Firewall Analytics & Detections (SWC UI) ニア・リアルタイムイベント閲覧 – 検索、ソート、フィルタ Logging Service ファイアウォールログにおける行動ベース脅威解析 SWC Analytics for NGFW シングル PID 1/3/5年 サブスクリプション Lic LT - Logging and Troubleshooting (CDO UI) ニア・リアルタイムイベント閲覧 – 検索、ソート、フィルタ Logging Service テナント毎 シングル PID シングル PID Cisco Defense Orchestrator (全てのライセンス体系に必要) ファイアウォール毎 Logging Estimator FW毎 シングルPID 1/3/5年 サブスクリプション (必須)
