PAシリーズで利用可能なサブスクリプションにIoT Security(Enterprise IoT Security/Enterprise IoT Security+/Industrial OT Security/Medial IoT Security)があります。IoT SecurityではAI/Machine Learningを活用して、デバイスの検出と識別、デバイスの異常動作の検出、デバイスの制御を行う為の推奨ポリシーの提供を行います。今回はこのIoT Securityの新機能である”SNMP Network Discovery”をご紹介します。
SNMP Networks Discoveryの概要
IoT Securityはネットワークトラフィックから様々なメタデータを収集し、デバイスの検出と識別を行います。デバイスの検出と識別を行う際に、デバイスの識別子(MACアドレスやIPアドレス)を利用し、データトラフィックをマッピングしていくことでデバイスの特定を行います。
デバイスの識別子の情報を取得する場合、下記のようにいくつかの方法があります。
今回ご紹介する新機能ではPAN-OSにネイティブに実装されているSNMP Crawling機能です。この機能を利用すればネットワーク内のスイッチからSNMPパケットを利用したデバイスの学習を行うことが出来ます。具体的にはPaloAltoNetworksのNGFWからターゲットにしたネットワークスイッチにSNMP Getを送り、DHCP/ARP情報やCDL/LLDP情報を取得します。ターゲットとなったスイッチが保有するARP/DHCP情報からデバイス識別を行います。さらにCDP/LLDP情報から隣接するネットワークスイッチの情報も取得し、隣接するネットワークスイッチに対しても同様にSNMP Getを送りDHCP/ARP情報やCDL/LLDP情報を取得します。このように繰り返しネットワーク内のデバイス情報を取得し広範囲にネットワーク内のデバイス情報を取得していくことが出来ます。本機能を利用する上で、ネットワークスイッチでLLDP又はCDPを有効にする必要がありますのでご注意下さい。本機能についての詳細はこちらをご覧下さい。
設定方法
SNMP Network Discovery Pluginのインストール
Device > Plugin
SNMP Network Discovery Parameterの設定
Device > IoT Security > Network DiscoveryでEdit(Gear Icon)をクリック
確認方法
動作
PAシリーズからSNMPのGetがネットワークスイッチに送られると、さまざまな情報を得ることが出来ます。ネットワークスイッチで保有するARP/DHCP情報だけでなく、隣接スイッチの情報も含まれます。PAシリーズは取得した隣接スイッチの情報を元に、同様にSNMP Getを送信しネットワーク内のデバイス情報を収集します。
コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!