OTセキュリティブログ

Nozomi Networks Guardianスマートポーリングで資産の見える化、Log4jを検出してみた。

作成者: 株式会社テリロジー 技術統括部|May 23, 2022 12:00:00 AM

こんにちは。

Nozomi Networks製品を担当している木村と申します。

本日は Nozomi Networks Guardian (以降 Guardian) のスマートポーリングという機能について紹介させていただきます。

スマートポーリングとは

スマートポーリングとは、Guardianから監視対象へポーリングを行い、細かな資産情報を取得、表示する機能です。

Guardianは産業用IDSなどと呼ばれることもあり、自身からは監視対象のネットワークに通信を行わないと思われている方もいらっしゃるかもしれません。基本はその通りでして、監視対象へ影響を極力与えたくないといったOT環境への導入に対するメリットとなります。このような使い方でも通信の内容から資産の可視化は一部可能ですが、資産の中でどのようなアプリケーションが動作しているのかなどの情報は通信には現れず、取得できないことが多々あります。スマートポーリングは資産をより詳細に可視化するためのオプション機能となります。

旬を過ぎてしまった感は否めませんが、昨年末から緊急度の高い脆弱性を保有していることで巷を騒がせたLog4jを検出する機能が2022年版のGuardianに実装されました。Guardianのスマートポーリングでどのように情報を取るのか、表示されるのかLog4jの検出もあわせて記していきます。

https://www.nozominetworks.com/blog/critical-log4shell-apache-log4j-zero-day-attack-analysis/

スマートポーリングの設定

スマートポーリングは、名前のとおり「スマート」にポーリングを行うことが可能です。「スマート」とは、あるネットワークのレンジに対して全体にポーリングを行うのではなく、Guardianが監視ネットワーク上で存在を検出している資産に対してポーリングを行えるということです。加えて管理者が簡単にポーリング対象の条件を指定することも可能です。余分な通信を行わないため、ネットワークや資産への負荷を低減することが可能です。

まずはスマートポーリングで使用するストラテジーを選択します。今回はWindows端末で検証を行いましたので、WinRMを使用したいと思います。

ポーリングの対象を設定します。今回は、予めGuardianに用意した「Teri_NW_管理」というネットワーク上に存在するWindows端末をポーリング対象としました。ポーリングの実行間隔は1日(=86,400秒)にしました。

スマートポーリングで収集する情報を選択します。WinRMでは、このリストにある情報を取得できるということですね。今回はすべて選択しました。

特定の脆弱性のところでLog4jを選択します。今後も拡張されていくことを期待したいと思います。

WinRMサービスに接続するための情報を入力します。多くの情報を取得する場合はタイムアウト値を少し長めにとるとよいと思います。

スマートポーリングで可視化された資産情報

こちらがスマートポーリングによって情報が追加された資産の画面です。性能情報、インストールされたソフトウェア、セキュリティパッチ情報などが表示されるようになりました。

Log4jの脆弱性も検知、表示しています。

まとめ

私共では、資産の可視化はセキュリティ対策の第一歩であるとお伝えさせていただいております。スマートポーリングを使用する場合は、監視対象ネットワークへの関与、監視対象での監視サービスの有効化が必要など、導入のハードルは上がると思いますが、このような機能が許容できる場面では、是非ご活用いただければと思います。