共同ホスト型の機能が制限された Cortex XSOAR インスタンスを使用したPalo Alto Networks IoT セキュリティとは何ですか?
6862
Created On 12/16/24 19:10 PM - Last Modified 06/10/25 22:58 PM
Question
共同ホスト型の機能が制限された Cortex XSOAR インスタンスを使用したPalo Alto Networks IoT セキュリティとは何ですか?
Environment
共同ホストされた機能限定の Cortex XSOAR 6 インスタンスを使用したPalo Alto Networks IoT セキュリティ
Answer
以下は、Palo Alto NetworksのIoTセキュリティと、Cortex XSOARとのIoT統合のさまざまな方法の背景であり、その後に、共同ホストされた機能制限付きCortex XSOARインスタンスの詳細が続きます。
Palo Alto Networks IoT セキュリティ - サードパーティ システムとの統合
IoT セキュリティは、 パロアルトネットワークスの次世代ファイアウォールとの連携に加え、サードパーティ システムと統合し、それらを IoT 対応にすることでインベントリ、ネットワーク管理、ネットワーク セキュリティ、脆弱性検出を強化し、他のソースからデバイスとネットワークのデータを収集して独自のインベントリと機能を充実させます。
IoT セキュリティが Cortex XSOAR テクノロジーを活用してサードパーティ システムと統合するには、以下の 3 つのオプションがあります。これらのオプションの詳細については、 「IoT セキュリティ統合ガイド」および「Cohosted XSOAR を使用したサードパーティ統合」を参照してください。
共同ホスト型の機能限定 Cortex XSOAR インスタンスによる IoT セキュリティ
IoT セキュリティをサードパーティのシステムと統合したいが、Cortex XSOAR サーバーを持っていない場合は、IoT セキュリティ サードパーティ アドオン ライセンスを購入できます。これには、自動生成されたクラウド ホストの Cortex XSOAR モジュールが付属しています。このオプションに関する追加情報は、Cohosted XSOAR を使用したサードパーティ統合で確認できます。
フル機能のCortex XSOARサーバーによるIoTセキュリティ
すでにオンプレミスまたはクラウドにフル機能の Cortex XSOAR サーバーを展開している場合は、アドオン ライセンスを購入したり、クラウドでホストされる制限付きの Cortex XSOAR モジュールを使用したりすることなく、それを使用して IoT セキュリティをサードパーティ システムと統合できます。IoT セキュリティと連携するフル機能の XSOAR サーバーのセットアップについては、「フル機能の XSOAR サーバーを使用したサードパーティ統合」で説明されています。
IoTセキュリティAPIにアクセスできるCortex XSOAR
Cortex XSOARインスタンスがあり、それをIoTセキュリティと統合することが目的の場合は、Palo Alto Networks IoT統合ガイドを確認してください。このガイドでは、XSOARでの統合のコンフィグ方法と統合コマンドの実行方法が説明されています。
共同ホストCortex XSOARインスタンスのシリアル番号を確認する方法
共同ホストされた限定機能Cortex XSOAR インスタンスを使用する場合は、ナレッジベースの記事「IoT 共同ホスト Cortex XSOAR インスタンスのシリアル番号を確認する方法」を使用して、XSOAR のシリアル番号を確認できます。
共同ホスト型の機能限定 Cortex XSOAR による IoT セキュリティに関する追加の詳細
展開後
シングルサインオン
XSOAR インスタンスが起動すると、IoT 側 (CronJob) がSSO を設定します。これにより、顧客は IoT UI の起動ボタンを介してのみ XSOAR にログインできるようになります。これには、XSOAR での「SAML 2.0」統合の設定が含まれます。注記: エンド ユーザーは、IoT UI を通じてのみ XSOAR にアクセスできます。SAML 統合が無効になっている場合、起動ボタンは機能しません。IoT では、IoT UI を介して XSOAR ログを直接ダウンロードするオプションも提供されています。
ジョブと統合インスタンスの事前設定
デプロイメント後に実行される別の一連のアクションは、XSOAR 上の顧客向けに特定のパラメータを使用して統合インスタンスとジョブを作成することです。これらのアクションは、XSOAR 運用チームと IoT バックエンド チーム間で共有されます。統合インスタンスの追加に加えて、XSOAR 運用チームは、ユーザー権限と UI アクセス制限を定義する IoT ロールも顧客向けに作成します。
制限された XSOAR 機能
ユーザーがSSO経由で IoTポータル経由で XSOAR にログインすると、特別な IoTロールが割り当てられます。このロールによって適用される注目すべき制限事項は次のとおりです。
-
-
- ユーザーは設定ページとジョブページにのみアクセスできます
- ユーザーはXSOARログをダウンロードできません - IoT UIにはログをダウンロードするための専用ボタンがあります
- ユーザーはマーケットプレイスにアクセスできません
- ユーザーはCLI経由でXSOARコマンドを実行できません
- ユーザーは設定フラグを設定できない
-
コンテンツパックとアップグレード
コンテンツパック管理
IoT は独自のコンテンツ パックを管理しており、これらのパックは XSOAR マーケット プレイスでは入手できません。開発者がコンテンツ パックの準備ができたら、それを「ステージング」にアップロードします。これは AWS S3 の場所 ( s3://contentpack-staging/)に他なりません。IoT が提供するコンテンツ パックに基づいてゴールデンイメージが作成され、XSOAR インスタンスのデプロイに使用されます。すべての新規顧客は、このようにして最新のコンテンツを取得できます。既存の顧客向けに、IoT チームには Jenkins ジョブ (IoT リージョンごとに 1 つ) があり、API を介してプログラム的に IoT コンテンツ パックをすべての既存顧客 XSOAR にアップロードします。
XSOAR の既存の顧客の場合、IoT では IoT UI 経由でコンテンツ パックをダウンロードし、手動でアップロードする必要があります。顧客は「content.pack.verify」フラグを「false」に設定し、パックを手動でアップロードする必要があります。参照: https://docs.paloaltonetworks.com/iot/iot-security-integration/get-started-with-iot-security-integrations/third-party-integrations-using-a-full-featured-xsoar-server
XSOAR サーバーのアップグレード
現在、XSOAR 6.X のアップグレードはアドホック ベースで行われています。IoT は、指定された停止時間ウィンドウ中にダウンタイムを通知する UI 通知メッセージを表示します。
現在、XSOAR 6.X のアップグレードはアドホック ベースで行われています。IoT は、指定された停止時間ウィンドウ中にダウンタイムを通知する UI 通知メッセージを表示します。
ライセンス
IoT は、3P アドオン ライセンスを介して、または顧客が既に XSOAR 顧客である場合に、サードパーティ統合をサポートします。3P アドオン ライセンスには次の種類があります。
-
-
- アドバンス - 顧客は無制限に統合できます
- ベーシック - 顧客は一度に3つの統合のみを有効にできます
-
既存の XSOAR 顧客の場合、IoT の統合にはライセンスは必要ありません。ライセンスの適用はすべてプレイブック内で行われます。