Workspace ONE Intelligence と VMware Carbon Black の連携
VMwareでは、複数のクラウドサービスを連携させることで、ゼロトラストセキュリティを最短距離で実現できるセキュリティソリューションの「VMware SASE」を提供しています。
本記事では、VMware SASEにおけるセキュリティ連携の一つである「Workspace ONE Inteligence」と「VMware Carbon Black」の連携についてご紹介します。
はじめに
2020年11月11日(水)に開催されたVMworld 2020のネットワールドLiveセッションでは、昨今のテレワークの課題をWorkspace ONEソリューションでどのように解決できるのか?旬のゼロトラストに触れつつ、セキュリティと管理性の両面からWorkspace ONEの紹介をしました。
本ページでは、そのセッションの中でお時間の都合上触れられなかった「Workspace ONE IntelligenceとVMware Carbon Blackの統合」についてSE工藤がさらに詳しくご紹介します!
連携のデモ動画がご覧いただけます。
Workspace ONE Intelligence & VMware Carbon Black 連携による自動隔離とWorkspace ONE AirLift Policy によるグループポリシーのWorkspace ONE UEMへの移行についてご紹介しました。
本ページの最後に弊社の検証で実際に動作させたデモ動画がありますので、興味のある方は是非お申込みいただき、実際の動作を見ていただければと思います。
Workspace ONE IntelligenceとVMware Carbon Blackの統合とは?
VMware Carbon Black Cloud™は、単一の軽量エージェントで使いやすいコンソールを使用して、NGAVやEDRを兼ね備えたクラウドネイティブのエンドポイント保護プラットフォーム(EPP)です。
Workspace ONE IntelligenceはWorkspace ONE UEMだけでなく、カスタムコネクタを追加することで様々なWebサービスと組み合わせて自動化することが可能です。
VMware社はGitHubで主要Webサービスとの連携のサンプルを提供しています。標準でもWorkspace ONE UEM,Slack,Service Nowとの連携が可能ですが、ここでは以下で公開されているCarbon Blackのカスタムコネクタを使って連携する自動化を試してみたいと思います。
https://github.com/vmware-samples/euc-samples/tree/master/Intelligence-Samples/Custom%20Connectors
Workspace ONE IntelligenceとVMware Carbon Blackのセットアップ
Workspace ONE IntelligenceとVMware Carbon Blackの連携についてはVMware社のDIGITAL WORKSPACE TECH ZONEでセットアップ手順が公開されています。
今回はCarbon Blackの導入自体は完了している前提の手順を紹介していきます。Carbon BlackのWindows10、Macへの導入、Workspace ONE UEMを使ったアプリケーションの配布についても先ほど紹介したドキュメントに記載があるので参考にしてください。
①Carbon Black Cloud側での連携設定
Workspace ONE IntelligenceからのAPIアクセスを許可するために「設定-> APIアクセス」で設定を行います。恒常的にWorkspace ONE Intelligenceのダッシュボードに情報を取得するためのAPIアクセス、SIEMアクセスの2つを設定します。
また自動化でCarbon Blackの操作を実行したい場合は、Workspace ONE Intelligenceから実行を許可する操作を許可するアクセスレベルを設定して、そのアクセスレベルでAPIアクセスを許可する必要があるので注意が必要です。
さらにWorkspace ONE Intelligenceが受信可能な通知を「設定->通知」で設定する必要があります。
②Workspace ONE Intelligence側の連携設定
手順1で設定したCarbon Black CloudのAPIアクセスの設定を入力して、Workspace ONE IntelligenceからCarbon Black Cloudの通知を確認できるように設定する必要があります。
Workspace ONE Intelligenceのポータルから「統合」を選択してCarbon Blackを選んで、Carbon Black Cloudで設定したAPIのIDとキーを入力します。
③Workspace ONE IntelligenceにCarbon Blackカスタムコネクタの導入
GitHubで公開されているCarbon BlackのカスタムコネクタをWorkspace ONE Intelligenceにインポートします。
Workspace ONE Intelligenceのポータルで「統合->ワークフローコネクタ」でCarbon Blackのカスタムコネクタを作成し、GitHubからダウンロードしたJSONファイルをインポートします。ダウンロードしたJSONファイルはいくつかのパラメータを置換して利用する必要があります。このとき手順1で作成したアクセスレベルを割り当てたAPI IDとキーを設定してください。
最後にカスタムコネクタの設定で、Carbon Black CloudのAPIのエンドポイントURLを入力します。これでCarbon Blackの通知情報を受信するだけなく、自動化ワークフローのアクションとして、「デバイスの隔離」と「デバイスのポリシーの変更」を利用することができるようになりました。
④Workspace ONE Intelligenceで自動化ワークフローを作成
Workspace ONE Intelligenceのポータルから「自動化」を選択して、ワークフローを追加します。
標準で提供されている「Ransomware Threat Detected」をベースにして「操作」として追加したCarbon BlackコネクタのQuarantine Deviceを追加します。
紹介した手順で構成された環境では以下のように動作が行われます。
- エンドポイントに導入されたCarbon Blackがマルウェアを検知してCarbon Black Cloudに通知
- Carbon Black Cloudが通知を元にアラートを生成
- Workspace ONE Intelligenceが通知を受け取って自動化ワークフローを実行
- 自動化ワークフローがメールを送って、Carbon Black Cloudに検知したデバイスの隔離を実行
Workspace ONE IntelligenceとVMware Carbon Blackの統合のユースケース
今回は自動化ワークフローではCarbon Blackのカスタムコネクタを使って隔離する自動化を作成しました。
それ以外にも、標準で提供されるWorkspace ONE UEMでは豊富なアクションを利用した自動化ワークフローを作成することができます。Remove Profileを使って、VPN接続用のプロファイルを削除したり、タグを付与したり削除したりすることでWorkspace ONE UEMの設定やアクセス権を制御することも可能です。また組織グループを変更することもできるので、全く異なる設定に自動で切り替えることも可能です。
