ホストベースのファイアウォールは、アセット保護の重要な要素です。Carbon Black Cloud ホストベースのファイアウォール機能を使用すると、アセット ファイアウォール ポリシーを集中管理できます。

注: Carbon Black Cloud ホストベースのファイアウォール機能には Windows センサー v3.9 以降が必要であり、 Carbon Black Cloud Endpoint Standard 以降、または Carbon Black Cloud Workload Advanced 以降でのみ使用できます。

Carbon Black Cloud は、ネットワークとアプリケーションの動作を制御するルールに基づいてアセットの保護に取り組むホストベースのファイアウォール ソリューションを提供します。これらのルールは、確認された動作に基づいて指定されたアクションを実行します。複数のルールがポリシーを形成でき、これらのポリシーがアセットに適用されます。

Carbon Black Cloud ホストベースのファイアウォールは、次の集中管理機能を提供します。

  • Carbon Black Cloud コンソールを使用してアセット間のファイアウォール ルールを管理するための統合ビュー。
  • 順序付けされた(ランク付けされた)ルール グループのセキュリティ ポリシーへの関連付け。ルール グループはセキュリティ ポリシー間で再利用できます。
  • ルールは、ユーザー定義の優先順位で評価されます。
  • 適用前にルールをテストする機能。
  • ホストベースのファイアウォール ポリシーによってブロックされた動作の数。
  • Carbon Black Cloud コンソールの [アラート] 画面と [調査] 画面を通じてアセットのセキュリティ状態を可視化します。

Carbon Black Cloud ホストベースのファイアウォールの仕組み

ファイアウォール ルールは、アクションオブジェクト で構成されます。使用可能なアクションは次のとおりです。

  • [許可]:ネットワーク トラフィックを許可します
  • [ブロック]:ネットワーク トラフィックをブロックします
  • [ブロックおよびアラート]:ネットワーク トラフィックをブロックし、[アラート] 画面にアラートを送信します

ファイアウォール ルールは、次のタイプのオブジェクトの評価に基づいています。

  • ローカル(クライアント コンピュータ)とリモート(クライアント コンピュータと通信するコンピュータ)
    注: ローカル ホストは常にローカル クライアント コンピュータであり、リモート ホストは常にネットワーク上の他の場所に配置されたリモート コンピュータです。このホスト関係の表現は、トラフィックの方向に依存しません。
  • IP アドレスとサブネット範囲
  • ポートまたはポート範囲
  • プロトコル(TCP、UDP、ICMP)
  • 方向(受信と送信)
  • アプリケーション(ファイル パスによって決定)

ファイアウォール ルール グループ は、ファイアウォール ルールの論理セットです。ルール グループは、複数の個別のルールの管理を、共通の目的を持つ単一グループに簡素化します(たとえば、FTP サーバへのアクセスを制御する複数のルール)。

ルール グループとルールはポリシーで定義され、ポリシーはアセットに割り当てられます。

ルールの優先順位

ルールを作成して適用する場合は、次の優先順位に注意してください。

  • バイパス ルールは、他のすべてのルールよりも優先されます。したがって、ホストベースのファイアウォール ルールの優先順位はバイパス ルールよりも低くなります。
  • ホストベースのファイアウォール ルールの優先順位は、[許可] または [許可とログ] に設定されている権限ルールよりも高くなります。
重要: プロセスレベルの権限のバイパス ルールは、ルールで指定されたプロセスをバイパスするだけでなく、その子孫もバイパスします。

既存のセンサー条件は、ルールの適用に影響を与える可能性があります。たとえば、センサーをバイパス モードにしたり、隔離したり、アプリケーションをブロックしたりできます。Carbon Black Cloud ホストベースのファイアウォールは、ユーザーが指定したようにルールの意図したアクションを維持しますが、センサーの条件に基づいてルールが適用されたときに、異なる実際のアクションを取ることができます。

例:

センサー モード 目的のホストベースのファイアウォール アクション 目的の権限またはブロックおよび隔離ルール 実際のアクション 概要
隔離 任意 任意 ブロック 隔離ブロック ルールは、ホストベースのファイアウォール ルールと権限をオーバーライドします。
バイパス 任意 任意 許可 センサーはバイパス モードであるため、ホストベースのファイアウォール ルールは無効です。
アクティブ 任意 プロセス レベルのバイパス 許可 バイパスされたプロセスとその子孫は、ホストベースのファイアウォール ルールによってブロックされません。
アクティブ ブロック 許可、許可とログ ブロック ホストベースのファイアウォール ルールは、バイパス以外の権限ルールよりも優先されます。
アクティブ 許可 ブロック ブロック ホストベースのファイアウォールで接続を許可しても、[ネットワーク経由の通信] のブロックおよび隔離ルールの適用を妨げることはありません。

Carbon Black Cloud ホストベースのファイアウォールの使用

このセクションには、ファイアウォール ルールを作成および実行する方法の概要について記載されています。以降のトピックでは、これらのアクションについて詳しく説明します。

  1. ファイアウォール ルールを追加するポリシーを選択します。
  2. デフォルト ルールを設定します([すべて許可] または [すべてブロック])。
  3. ルール グループを作成し、ファイアウォール ルールを入力します。
  4. 必要に応じて、ルール グループとルールを表示、作成、および変更します。
  5. ホストベースのファイアウォールを [センサー] タブで [有効] に切り替えます。
  6. ルールをテストします。
    注: [ステータス][無効] に設定されている場合にのみ、ルールをテストできます。
  7. ルールの結果を確認します。ルールのテスト データが [調査] ページに表示されます。
  8. 必要に応じてルールを変更し、ルールが期待どおりに実行されるまで再テストします。
  9. 期待どおりに実行することが確認されたルールのテストを停止し、[ステータス][有効] に設定します。
  10. 変更中に無効にした場合は、ホストベースのファイアウォールを [センサー] タブで [有効] 切り替えます。
  11. ファイアウォール関連のイベントとアラートを [調査] 画面と [アラート] 画面にそれぞれ表示します。
  12. 必要に応じてルールの変更を続行します。