SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【CrowdStrike × Zscaler × OKTA】3社で実現するXDRとゼロトラストセキュリティ

セキュリティ
2024.06.14

はじめに

みなさんこんにちは。今回はCrowdStrike、Zscaler、OKTAを組み合わせたXDR連携機能を紹介します。
3製品を組み合わせることで、エンドポイント/ネットワーク/認証を包括的にカバー出来る協力なゼロトラストセキュリティソリューションが提供されます。

CrowdStrike、Zscaler、OKTAを連携することでユーザに対してシームレスなアクション実行が可能です。また今回、Fusion SOAR機能によって全て自動化してアクションを実行していきます。


動作概要:

  1. OKTAからSCIMにてグループ情報をZIAにプッシュ
  2. CrowdStrikeのXDR分析機能にてインシデント検知
  3. CrowdStrikeからZIAへ該当ユーザをグループ変更するように指示
  4. 該当ユーザはZIA内で隔離グループに移動され、隔離用のポリシーが適用
    ※一連の流れをCrowdStrikeのFusion SOARによって全て自動化にて実行

Z12.png

ZIA × OKTA連携

はじめにZIAとOKTA間にてSAML/SCIM連携を実施致します。両製品の連携手順は以下記事にて記載しておりますので、まずはこちらをご確認してください。

連携実施後は、OKTA側で隔離用のグループを作成しZIAにPUSHしておきます。
※本検証では「ykym-CS-quarantine」という名前のグループを作成しています。

【Zscaler】Okta連携手順 (SAML/SCIM) ~ZIA編~

OKTA2.png

ZIA ポリシー作成

続いて、ZIA側にて通常/隔離用それぞれのグループに対するポリシーを作成します。
※グループはOKTAで作成後、ZIAにPUSHしています。
今回は以下のルールにて定義していきます。
もちろんポリシー定義は任意で設定出来ますので、隔離時は全てのアクセスをブロックなども可能です。

Z1.png


まずはZIA側にて Administration > User Management > Groups よりグループが存在しているか確認します。

Z2.png

続いて、それぞれのグループ毎に先ほど決めたアクションを指定したポリシーを作成します。
隔離用グループのポリシーが上位になるようにしておきます。

Z3.png

CrowdStrike ZIA 連携設定

続いて、CrowdStrikeにてZIAとの連携を実施していきます。
CrowdStrike Store > All appsより [Zscaler Internet Access Response Actions for Falcon Insight XDR] を選択します。

Z4.png

設定画面よりZIA側で生成しているSCIM情報や、隔離用のグループ名を入力していき完了です。
こちらは次のFusion SOARでも使用します。

Z5.png

Fusion SOAR作成

今回はCrowdStrikeでのXDR検知 -> ZIAのグループ移動の流れを全て自動化したいのでFusion SOAR Workflowを作成します。そもそもFusion SOARってなに?という方はこちらの記事をご参照ください。

Fusion SOAR 例:
 ・Trigger:
XDR Incident にて検知
 ・Condition:今回は利用なし (要件に合わせて、任意の条件を設定可能)
 ・Action:対象ユーザをZIAの隔離グループに移動
 ・Action:Wrokflowによりグループ移動した場合、メール通知

Z6.png

動作確認

これで設定は完了したので、動作確認をしていきます。
まずはトリガーとして設定したXDR Incidentとして検知するために、端末側で何かしらのアクションを実行していきます。
※検証時にインシデント発生させる場合は、良性の検知ファイルを使うなど各自の責任で実施ください

CrowdStrike側でインシデント検知後、Workflowも全て動作していたのが確認出来ます。

Z7.png

続いてZIAにて対象ユーザの所属グループを確認すると隔離用に作成した [ykym-CS-quarantine] に追加されているのが確認出来ました。

Z9.png


該当ユーザにてブラウザ閲覧すると想定通りポリシーが働き、Zscaler Isolation Browserにて閲覧されるようになりました。

Z10.png

また、受信BOXを見るとこちらもWorkflow通りにCrowdStrikeよりメールが届いているのも確認出来ました。こちらで今回の検証は完了です!

Z11.png

さいごに

本記事ではCrowdStrike、Zscaler、OKTAの3製品間連携をご紹介しました。本連携によって単一では実現することが出来ない強力なゼロトラストソリューションの実現が可能となります。

今回ご紹介した製品に関するご質問などあれば気軽に我々SB C&Sまでお問合せください。

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
 今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。

著者紹介

SB C&S株式会社
技術本部 第2技術部 2課
横山 章太郎