ホーム / Workspace ONE /

自動隔離や脆弱性チェックを試してみた!

2024/03/28

Anywhere Workspace Carbon Black EUC EUC Expert vExpert VMware Workspace ONE

t f B! P L


今回はWorkspace ONEとCarbon Blackを利用したデモ動画を交えて記載していきます。
デモを行う上での前提などもありますので、そちらも軽く触れていきます。
デモは3つ、自動隔離、VPN(Tunnel)接続のみ切断、復旧となっています。
それでは本編どうぞっ。

デモを行う前提など

ソリューション構成

Workspace ONE UEM
Workspace ONE Intelligence
Carbon Black

デモ用デバイスについて

デモに使用するデバイスは、あらかじめWorkspace ONEに加入およびCarbon BlackのSensorをインストールしておく。加えて、Workspace ONEよりTunnelをインストールしておく。

脆弱性検知について

今回のデモでは、脆弱性検知については該当のパッチが適用されているかどうかをトリガーとしています。このあたりはWorkspace ONEの仕組みに従っています。
検知の基準軸をパッチ起因としているため、「CVE-2022-35820(番号は例)の対処となる修正プログラムのインストール状態が「Installed」以外」のデバイスを検知した場合を「脆弱性検知」とみなすようなつくりにしています。
つまり、「CVE-〇〇を修正するパッチがあるのにインストールしくったか、インストールできる状態なのにインストールしてないヤツは危ないからVPNプロファイルを削除せねば!」というワークフローをつくっています。


VPN(Tunnel)の切断

通常はVPN(Tunnel)接続をキルする設定にしますが、今回のデモでは明示的にわかるようにコマンドプロンプトを起動しておき、それを強制的にキルしています。

プロセスの強制切断

通常はVPN(Tunnel)接続をキルする設定にしますが、今回のデモでは明示的にわかるようにコマンドプロンプトを起動しておき、それを強制的にキルしています。

シナリオ1 マルウェア検知時のPC自動隔離

デモ内容

Carbon Blackでマルウェア(テスト用)を検知後、検知されたWindows端末をネットワーク から自動的に隔離する。

実行概要

Carbon Blackでマルウェア検知(検知レベル4)後、 Workspace ONE Intelligenceの自動化アクションで “検知レベル4” をトリガーにして、Carbon BlackのAPIから自動隔離を実施するアクションを実行する。

手順

① インターネットに接続していることを確認
② EICARをダウンロード
③ ダウンロードしたEICARを実行
④ Carbon BlackによりBlockの通知
⑤ Carbon Blackコンソール上でログの確認
⑥ デバイスが隔離されていることを確認
⑦ インターネット接続ができないことを確認
デモ動画を参照してください。

シナリオ2 脆弱性検知後にVPN接続を遮断、特定プロセスをキル

デモ内容

Workspace ONEで脆弱性を検知後、VPN(Tunnel)接続するための証明書を自動的に削除し、VPN接続できないようにする。あわせて、コマンドプロンプトプロセスを強制的に終了させる。

実行概要

Windows端末にWorkspace ONEから予め証明書プロファイルを配布しておき、Workspace ONE Intelligenceで脆弱性チェックを実施。脆弱性検知(検知対象のCVEは予め設定)をトリガーに、自動化アクションで証明書プロファイルを削除。
次に、Windows端末でコマンドプロンプトを実行しておき、Workspace ONE Intelligenceで脆弱性を検知後、実行していたアプリケーションのプロセスを切断。

手順

① VPN接続を利用し、インターナルネットワークにあるvCenterにアクセス確認
② プロセスキル確認のためコマンドプロンプトを起動しておく
③ 特定のKBをデモPC自動から削除
④ デバイス情報を同期(デモでは時短のため手動実行しています)
⑤ ワークフローが実行され、該当のプロファイルが削除される(Workspace ONEコンソール上で確認)
⑥ コマンドプロンプトが切断される
⑦ ①で確認したvCenterに接続できないことを確認
⑧ インターネットには接続できることを確認(VPNのみ切断しているため)


シナリオ3 OSパッチ適用後VPN接続を復旧させる

デモ内容

脆弱性にヒットするためにアンインストールしたパッチをPCに再適用し、削除していた証明書プロファイルをWorkspace ONEから再自動配布し、弊社社内環境へ接続可能な状態へWindows端末を復帰させる。

実行概要

Workspace ONE Intelligenceで下記の抽出条件を定義し、脆弱性が解決すると自動化アクションが実行される。
・抽出条件     
 “指定するCVE番号に該当する脆弱性がない” (脆弱性対応が完了していることがトリガー)
・自動化アクション
 上記の抽出条件に該当するWindows端末に証明書プロファイルを自動配布する

手順

① シナリオ2でアンインストールしたパッチを手動で再インストール
② デバイス情報を同期(デモでは時短のため手動実行しています)
③ Workspace ONEコンソール上でKBの一覧に5012170が復活したことを確認
④ ワークフローが実行され、VPNプロファイルのインストールがキックされる
⑤ Workspace ONEコンソール上でプロファイルが復活したことを確認
⑥ シナリオ2で確認したvCenterにアクセス可能(復旧)なことを確認

まとめ

いかがでしょうか。あくまでも機能のデモなので、実際に実装する場合はしっかりと検証や動作確認することをおすすめします。

 


Translate Blog

自己紹介

自分の写真
ITインフラエンジニア。のはずだけど最近は実機をいじれていないので錆びついてる疑惑。営業、コンサル(エセコンw)、プリセールスあたりの色が強い今日このごろです、はい。 vEXPERT 2019-2023

このブログを検索

ブログ アーカイブ



本サイトについて

ITインフラ系エンジニア(のはず)による、気の向くままに書きたいことをつぶやく場所です。もしかしたら備忘録的な側面もあるかも。 ブログに記載する内容はあくまでも個人的見解です。参考情報としてお取り扱いください。

QooQ