【CrowdStrike × Zscaler × OKTA】3社で実現するXDRとゼロトラストセキュリティ｜技術ブログ

2024.06.14

はじめに

みなさんこんにちは。今回はCrowdStrike、Zscaler、OKTAを組み合わせたXDR連携機能を紹介します。
3製品を組み合わせることで、エンドポイント/ネットワーク/認証を包括的にカバー出来る協力なゼロトラストセキュリティソリューションが提供されます。

CrowdStrike、Zscaler、OKTAを連携することでユーザに対してシームレスなアクション実行が可能です。また今回、Fusion SOAR機能によって全て自動化してアクションを実行していきます。

動作概要:

OKTAからSCIMにてグループ情報をZIAにプッシュ
CrowdStrikeのXDR分析機能にてインシデント検知
CrowdStrikeからZIAへ該当ユーザをグループ変更するように指示
該当ユーザはZIA内で隔離グループに移動され、隔離用のポリシーが適用
※一連の流れをCrowdStrikeのFusion SOARによって全て自動化にて実行

ZIA × OKTA連携

はじめにZIAとOKTA間にてSAML/SCIM連携を実施致します。両製品の連携手順は以下記事にて記載しておりますので、まずはこちらをご確認してください。

連携実施後は、OKTA側で隔離用のグループを作成しZIAにPUSHしておきます。
※本検証では「ykym-CS-quarantine」という名前のグループを作成しています。

【Zscaler】Okta連携手順 (SAML/SCIM) ～ZIA編～

ZIA ポリシー作成

続いて、ZIA側にて通常/隔離用それぞれのグループに対するポリシーを作成します。
※グループはOKTAで作成後、ZIAにPUSHしています。
今回は以下のルールにて定義していきます。
もちろんポリシー定義は任意で設定出来ますので、隔離時は全てのアクセスをブロックなども可能です。

まずはZIA側にて Administration > User Management > Groups よりグループが存在しているか確認します。

続いて、それぞれのグループ毎に先ほど決めたアクションを指定したポリシーを作成します。
隔離用グループのポリシーが上位になるようにしておきます。

CrowdStrike ZIA 連携設定

続いて、CrowdStrikeにてZIAとの連携を実施していきます。
CrowdStrike Store > All appsより [Zscaler Internet Access Response Actions for Falcon Insight XDR] を選択します。

設定画面よりZIA側で生成しているSCIM情報や、隔離用のグループ名を入力していき完了です。
こちらは次のFusion SOARでも使用します。

Fusion SOAR作成

今回はCrowdStrikeでのXDR検知 -> ZIAのグループ移動の流れを全て自動化したいのでFusion SOAR Workflowを作成します。そもそもFusion SOARってなに？という方はこちらの記事をご参照ください。

Fusion SOAR 例:
　・Trigger：XDR Incident にて検知
　・Condition：今回は利用なし (要件に合わせて、任意の条件を設定可能)
　・Action：対象ユーザをZIAの隔離グループに移動
　・Action：Wrokflowによりグループ移動した場合、メール通知

動作確認

これで設定は完了したので、動作確認をしていきます。
まずはトリガーとして設定したXDR Incidentとして検知するために、端末側で何かしらのアクションを実行していきます。
※検証時にインシデント発生させる場合は、良性の検知ファイルを使うなど各自の責任で実施ください

CrowdStrike側でインシデント検知後、Workflowも全て動作していたのが確認出来ます。