はじめに
こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの岸上です。 セキュリティ分野をメインに、自身のCSIRT及びSOCの経験を活かし、幅広く活動を行うエンジニアです。 今回はCrowdStrike Zero Trust Assessmentを使用したSOARの活用方法について記載したいと思います。
CrowdStrike Zero Trust Assessmentとは
CrowdStrike Zero Trust Assessment (以下略:ZTA)とは、CrowdStrikeがFalconセンサーが動作している端末に対してリアルタイムでセキュリティの安全性を評価する機能です。
評価スコアは1~100で評価され、1に近づくほどセキュリティ上脆弱な状態であり、反対に100に近ければ近いほどセキュリティが強固な状態であるという指標になります。
ZTAの評価ロジックはOS assessmentとSensor assessmentの二種類の評価軸で判定され、それら二つの評価スコアを総合して算出された端末の総合評価がOverallスコアとして表示されます。
・OS assessment
単なるOSバージョンの確認、パッチの適用有無だけでなく、メモリ領域の保護設定、カーネルの安全性、デバッグモードの稼働状態といった センサーがインストールされていることで得られる端末の詳細な情報で、計32個の項目を検証し端末自体の設定の安全性をスコアで算出します。
・Sensor assessment
EDRとしてFalconセンサーが機能するうえで最も重要な設定の一つとなる防御ポリシーの設定値を検証し、防御ポリシーの各設定値のON OFFや検知・防御レベルがセキュリティ上適切であるかを評価しスコアを算出します。
SOARの活用方法について
今回はZTAのOverallスコアが更新された際に、スコアが79~50点だった場合にはEメール通知のみ。50点未満だった場合にはEメール通知に加え、端末のネットワーク隔離を自動で実行するようにSOARを設定してみます。
Next-Gen SIEM>Fusion SOAR>WorkflowsからSOARの設定画面へ移動します。
手順1:Triggerの設定
Workflowの起動設定で”Event”を選択し、それぞれ下記の項目を選択します。
- Trigger category・・・Zero Trust Assessment
- Subcategory・・・Host assessment change
- Type・・・Overall assessment
手順2:Conditionの設定
”ZTAのスコアが79以下50以上の場合”という条件を定義します。
- Parameter・・・Overall assessment
- Operator・・・is less than
- Value・・・80
入力が完了したら、Nextを選択し、続けてAdd Condition lineを選択しAnd条件でさらに項目を設定します。
- Parameter・・・Overall assessment
- Operator・・・is greater than or equal to
- Value・・・50
手順3:”ZTAのスコアが79以下50以上の場合”のActionを設定
”Notify”→”Send email”を選択します。下記項目の設定値は動作自体に影響はありませんのでご自由に設定下さい。下記は例です。
- Subject・・・${Hostname} zero trust assessment score has been lower than 80
- Message・・・We recommend you to check the device if it is vulnerable or not.
- Recipients・・・(通知先にしたいメールアドレスを設定)
- Data to include・・・Observed event time
手順4:ELSE IF(分岐条件)で更にConditionの設定
”ZTAのスコアが50未満の場合”という条件を定義します。
- Parameter・・・Overall assessment
- Operator・・・is less than
- Value・・・50
手順5:ELSE IF(分岐条件)に合致した場合のActionの設定
今回はさらに端末を自動隔離するアクションを設定します。”Contain”→"Contain device"を選択してください。
- Device ID・・・Host ID
- Note・・・(任意)
そして手順3と同様に”Notify”→”Send email”のActionを追加で設定します。
完成図
下記はOverallスコアが34(Overallスコアが50未満の場合)へ遷移した端末に対してワークフローが自動実行された結果となります。
おわりに
今回の記事は以上となります。
今回はCrowdStrikeのZTAを使ったSOAR機能の活用例を紹介させて頂きました。 SOARはゼロトラストセキュリティを推進するうえで重要な自動化の役割を担います。 今後もCrowdStrike製品を中心に有益な情報を発信致します。
最後までお読みいただきありがとうございました。
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。