こんにちは、セキュリティチームの佐藤です。
特定のウェブサイトカテゴリに対して一律でポリシー制御を適用する前に、一度ユーザーの閲覧状況を把握したいなと思うことはありませんか?「特定のカテゴリに対してアクションをアラートにしてポリシー適用させれば見られるのでは?」 と思うじゃないですか。
Netskopeのリアルタイム保護ポリシーにおいて、「Browse(閲覧)」アクティビティに対して「Alert」アクションを指定した場合、アラートイベントは生成されない仕様があります。これは、閲覧行為のたびにアラートを生成すると無数のアラートが大量発生しうる状態になるためです。
Tip 9: Alert events are not generated for Real-time Protection Policies with the “Alert” action selected for “Browse” activity.
https://docs.netskope.com/en/inline-policies
そのため、閲覧に対して何らかの制御をしたい場合は「User Alert」や「Block」のアクションを指定する必要がありました。
しかしながら、Netskopeを導入したばかりの企業であればいきなりユーザーに警告を出して対処をさせる運用ではなく、カテゴリに分類されているサイトに該当しているのかもわからないわけですから、まずはどのサイトにユーザーがアクセスしているか、それが業務上必要なものかというのを確認してからアラートを出したりブロックしたりしたいですよね。
もちろんこれらはPage Eventsで見ることはできますが、毎回検索して、カテゴリにフィルターをかけて、どのサイトを見ているのかも一つのページで見たい時は設定で表示内容を変更して・・・とやるのは、正直めちゃくちゃ手間ですよね。
今日はAdvanced Analyticsを活用した特定のカテゴリに対する閲覧情報を可視化する方法をご紹介します。
現在、追加のアドオンライセンスを購入していなくても、Advanced Analyticsでは標準で7日分のTransaction Eventのレポートを取得可能となっていますが、R121リリースアップデート以降、この機能をダッシュボードのロードやクエリを最後に実行したタイミングから90日間利用が確認されていないテナントに対して機能が無効化されております。
New Features And Enhancements In Release 121.0.0
無効化された機能を有効化する際は購入元の窓口にご確認ください。
NAA(Netskope Advanced Analytics)で何ができるの?
NAAのダッシュボードを利用することで、ログを視覚的に可視化できます。一度作成してしまえば、毎回フィルタリング設定をする必要がなく、保存済みのダッシュボードを選択するだけで簡単に確認できます。
特定の動作イベント(Netskope Clientが端末にインストールされたなど)を元に1日1回のレポート通知(メール通知)を出すことができます!こちらの手順については下記のブログをご確認ください!
Netskope Clientが端末にインストールされたら通知させてみる
なお、Skope ITやログでのデータの保存期間が短いNetskope Private Access (NPA) 関連などの項目でも、NAAのライセンスによっては最長13ヶ月間保存して確認できます! ただし、イベントのログが形成されてからNAAに反映されるまではラグがあり、データが反映されるまでの目安時間はNetskopeのサポート情報によると概ね30~90分程度あるとのことですのでご注意ください。
ダッシュボードに追加する内容を設定しよう!
Exploreでフィルター設定を行おう!
Advanced Analytics > Exploreより、Data CollectionをPage Eventsに設定します。デフォルトでPage Eventsが選択されています。
続いてFiltersの+FilterをクリックしてCategoryを選択します。
補足:「許可ポリシー」または「設定されたどのポリシー」にも該当しないWebアクセスのログデータ(Page Event)は、以下のヘルプページに記載されている特定の条件を満たした場合にのみ生成されます。
このログデータが生成されると、Advanced Analyticsで参照可能になります。ただし、「Action」欄に「許可(Allow)」と明示されないため、別途分析条件(ブロックポリシーと一致しない、ユーザーアラートと一致しない)などフィルタを設定することが必要です。
https://docs.netskope.com/en/page-events-faqs#UUID-506ba326-27c3-af76-ba55-ee10347f3b86_bridgehead-idm4552949788100832704095650302
今回は「Gambling」カテゴリの可視化を行いますので検索窓で選択します。
ここからは可視化したい内容を設定していきます。設定項目はAll Fieldsの中から選んでいきます。
例えばどのユーザーが、どのブラウザで、どのURLに、いつアクセスしたか(Event Timestamp)が気になる場合は、All Fieldsの中にある「User」、「Browser」、「URL」、「Event Timestamp」を選択して設定します。
選び終われば「Run」を押して一度分析してみましょう。カテゴリに対してアクセスがあればそのアクセスログが表示されますし、なければ「No Results」となります。
ここまでは、Page Eventsでカテゴリ検索するのとあまり変わりません。ここからがNAAの良さです。
Visualizationを保存してダッシュボードを作成しよう!
Visualizationでより視覚的に可視化でき、設定内容を保存できます。
この画像のように、特定のURLやサイトに対してどれだけのセッション数があったのか、などをグラフや表を用いて可視化できます。現在は表を選択していますがオレンジで囲った部分のマークを選択するとグラフなどに変化します。
保存する際はRunの横にある三点マークよりSave>As a new dashboard(新しいダッシュボードに追加)またはTo an exsting dashboard(既存のダッシュボードに追加)を選びましょう。
また、保存先を「Personal」にすれば個人用のフォルダに格納でき、「Group」にするとダッシュボードを共有して設定されたフィルターで確認することができます。そのため、テストとして「Personal」で試作した複数のダッシュボードから1つを完成させ、最終的にそれを「Group」で共有して運用することも可能です。
このように特定のカテゴリ専用のダッシュボードを作成しておけば、毎回フィルター設定をせずとも保存したダッシュボードにアクセスするだけで確認できます。
ダッシュボード内のグラフはEdit dashboardで横にグラフを二つ並べるなどカスタマイズが可能です。
「ここをクリックして確認してください」と確認場所を伝えるだけで上の画像のように可視化された状態で容易に状況を把握できるようになります。また、毎回の操作も容易なため、他部門や担当者への運用委託もできそうですね。
一から作るのが大変だという方は、Netskope Libraryで目的に近いものを検索してコピーし、そこからカスタマイズしていく方法もあります。
まとめ
本記事では、Netskopeのリアルタイム保護ポリシーにおける「Browse」アクティビティへのAlertアクションの制約を克服し、ユーザーの閲覧状況を効率的かつ正確に把握するための、Advanced Analytics(NAA)の活用方法をご紹介しました。
NAAを活用し、特定のカテゴリに対する閲覧情報(User、URL、セッション数など)をカスタマイズされたダッシュボードとして永続的に可視化することで、Skope ITのPage Eventsで毎回検索・フィルター設定を行う手間を削減できます。
さらに、最近UIが変更されData CollectionでPage Eventsなどを選択するときに「この項目はどのデータソースを使用しているのか?」などの説明がカーソルを合わせた時に表示されるようになりました。より見やすく運用しやすいデザインに変化しています。
今回はPage Events(ページイベント)からの抽出を中心にご紹介しましたが、Data CollectionをApplicationEventなどに切り替えることで、同様の操作で各種情報の抽出・可視化が可能です。
特定のクラウドアプリケーションの利用状況、ポリシーの適用状況、会社として許可していない生成AIの利用状況などのアラートで特に可視化したい項目がある時に様々な状況で応用可能です。他にもフィルターで「このポリシーに一致しない」などの条件追加もできますので自社の状況に合わせてカスタマイズできますね!
ぜひ活用してみてくださいね。
