APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

Crowdstrike Falcon Zero Trust Assessmentを使ったSOARの活用事例

はじめに

こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの岸上です。 セキュリティ分野をメインに、自身のCSIRT及びSOCの経験を活かし、幅広く活動を行うエンジニアです。 今回はCrowdStrike Zero Trust Assessmentを使用したSOARの活用方法について記載したいと思います。

CrowdStrike Zero Trust Assessmentとは

CrowdStrike Zero Trust Assessment (以下略:ZTA)とは、CrowdStrikeがFalconセンサーが動作している端末に対してリアルタイムでセキュリティの安全性を評価する機能です。

評価スコアは1~100で評価され、1に近づくほどセキュリティ上脆弱な状態であり、反対に100に近ければ近いほどセキュリティが強固な状態であるという指標になります。

ZTAの評価ロジックはOS assessmentとSensor assessmentの二種類の評価軸で判定され、それら二つの評価スコアを総合して算出された端末の総合評価がOverallスコアとして表示されます。

ZTAスコア確認画面

・OS assessment

単なるOSバージョンの確認、パッチの適用有無だけでなく、メモリ領域の保護設定、カーネルの安全性、デバッグモードの稼働状態といった センサーがインストールされていることで得られる端末の詳細な情報で、計32個の項目を検証し端末自体の設定の安全性をスコアで算出します。

・Sensor assessment

EDRとしてFalconセンサーが機能するうえで最も重要な設定の一つとなる防御ポリシーの設定値を検証し、防御ポリシーの各設定値のON OFFや検知・防御レベルがセキュリティ上適切であるかを評価しスコアを算出します。

SOARの活用方法について

今回はZTAのOverallスコアが更新された際に、スコアが79~50点だった場合にはEメール通知のみ。50点未満だった場合にはEメール通知に加え、端末のネットワーク隔離を自動で実行するようにSOARを設定してみます。

Next-Gen SIEM>Fusion SOAR>WorkflowsからSOARの設定画面へ移動します。

手順1:Triggerの設定

Workflowの起動設定で”Event”を選択し、それぞれ下記の項目を選択します。

  • Trigger category・・・Zero Trust Assessment
  • Subcategory・・・Host assessment change
  • Type・・・Overall assessment
    手順1:Event Triggerの設定

手順2:Conditionの設定

”ZTAのスコアが79以下50以上の場合”という条件を定義します。

  • Parameter・・・Overall assessment
  • Operator・・・is less than
  • Value・・・80

入力が完了したら、Nextを選択し、続けてAdd Condition lineを選択しAnd条件でさらに項目を設定します。

  • Parameter・・・Overall assessment
  • Operator・・・is greater than or equal to
  • Value・・・50
    手順2:Conditionの設定

手順3:”ZTAのスコアが79以下50以上の場合”のActionを設定

”Notify”→”Send email”を選択します。下記項目の設定値は動作自体に影響はありませんのでご自由に設定下さい。下記は例です。

  • Subject・・・${Hostname} zero trust assessment score has been lower than 80
  • Message・・・We recommend you to check the device if it is vulnerable or not.
  • Recipients・・・(通知先にしたいメールアドレスを設定)
  • Data to include・・・Observed event time
    手順3:Actionの設定

手順4:ELSE IF(分岐条件)で更にConditionの設定

”ZTAのスコアが50未満の場合”という条件を定義します。

  • Parameter・・・Overall assessment
  • Operator・・・is less than
  • Value・・・50
    手順4:ELSE IF Conditionの設定

手順5:ELSE IF(分岐条件)に合致した場合のActionの設定

今回はさらに端末を自動隔離するアクションを設定します。”Contain”→"Contain device"を選択してください。

  • Device ID・・・Host ID
  • Note・・・(任意)
    手順5:ELSE IF Actionの設定(端末隔離)

そして手順3と同様に”Notify”→”Send email”のActionを追加で設定します。

手順5:ELSE IF Actionの設定(通知メール送信)

完成図

完成ワークフロー図

下記はOverallスコアが34(Overallスコアが50未満の場合)へ遷移した端末に対してワークフローが自動実行された結果となります。

ワークフロー実行例:Overallスコアが50未満の場合

実際に送信された通知メール

おわりに

今回の記事は以上となります。

今回はCrowdStrikeのZTAを使ったSOAR機能の活用例を紹介させて頂きました。 SOARはゼロトラストセキュリティを推進するうえで重要な自動化の役割を担います。 今後もCrowdStrike製品を中心に有益な情報を発信致します。

最後までお読みいただきありがとうございました。

0-WANについて

私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp