免責事項
本記事のコンテンツや情報において、可能な限り正確な情報を掲載するよう努めておりますが、 誤情報が入り込んだり、情報が古くなったりすることもあり、必ずしもその内容の正確性および完全性を保証するものではございません。そのため、本記事をエビデンスとしたゼットスケーラー及びクラウドストライクへの問い合わせなどはご対応致しかねることをご理解頂けると幸いです。掲載内容はあくまで個人の意見であり、ゼットスケーラー及びクラウドストライクの立場、戦略、意見を代表するものではありません。当該情報に基づいて被ったいかなる損害について、一切責任を負うものではございませんのであらかじめご了承ください。
はじめに
はじめましてigaiga2です。
CrowdStrikeとZscalerはテックパートナーとなっており、様々な連携機能があります。例えば、Zscalerのサンドボックスで検知した情報をCrowdStrikeへ取り込み、迅速にインシデント対応を行ったり、CrowdStrikeのCrowdStrike Falcon(エージェント)によって算出されたスコアを元にZscalerのZscaler Client Connector(エージェント)でアクセスポリシーを制御したりすることができます。
今回、Zscalerさんと共に基本的なエージェント併用において、隔離機能の動作やバイパス設定の必要有無について検証を行ってみましたので、その結果を共有したいと思います。
今回の環境
今回の検証の目的は主に以下の3点となります。
少々細かいですが、実際にお客様に利用いただく際注意が必要な点だろうということで、Zscalerさんと一緒に環境を整えた上で検証を行いました。
- Zscaler Client Connectorが導入されている状態でCrowdStrike Falcon上のログで、通信先の可視化が可能か、プロセスから見た宛先が正しく可視化できるか?
- CrowdStrike FalconによるNW隔離・解除が問題なく動作するか?
- CrowdStrike FalconによるNW隔離を実施した際に、リモートレスポンス機能(Real Time Response:RTR)が利用できるか?
準備した検証環境及び、検証内容は以下の通りです。(少し前なのでバージョンが古い点はご容赦ください。。)
検証環境
- エージェントバージョン
- Zscaler Client Connector バージョン:4.1.0.98
- CrowdStrike Falconバージョン:6.54.16808.0
- Zscaler側の設定
- CrowdStrike宛先のBypass設定及び通信許可設定なし
- CrowdStrike宛先のSSL復号なし(Zscaler Recommended Exemptions ruleは有効化した状態)
- CrowdStrike側の設定
- Containment Policyでの設定なし(隔離時も通信を許可する宛先設定はしてない状態)
検証内容
-
ZTunnel2.0おける下記状況チェック
- 通信ログ:CrowdStrike Falconのロギングで、各プロセスの実通信先が記録されるか
- 隔離テスト:CrowdStrike Falconの隔離/隔離解除が動作するか
- 隔離テスト:CrowdStrike Falcon隔離時にReal Time Response機能が動作するか
-
検証パターン
- Tunnel2.0+ FAILOPEN: Direct
- Tunnel2.0+ FAILOPEN: Disable
- Tunnel2.0+ FAILOPEN: Disable + T2 Failure behavior: Block all traffic
結果
結果としては以下の通りです。
ZCC Tunnel2.0+CrowdStrike Falconの組み合わせにおいて全て問題なく動作しました。
ZCC設定 | Falconでの NW可視化 |
Falconでの NW隔離/解除 |
Falconでの 隔離時のRTR |
---|---|---|---|
ZTunnel2.0 設定なし |
OK | OK | OK |
ZTunnel2.0 +FAIL OPEN: Disable access |
OK | OK | OK |
ZTunnel2.0 +T2 Failure behavior: Block all traffic |
OK | OK | OK |
まとめ
今回ZscalerとCrowdStrikeエージェントの併用を検証しました。
ZscalerのSSL inspection設定においてはZscaler Recommended Exemptions ruleを利用することで自動バイパスされます。隔離利用において特別な設定は必要なく、隔離及び隔離解除、隔離時のRTRが可能でした。