Netskope Cloud Exchange とCrowdStrikeを連携してみた　～ ZTAスコア抽出によるデバイス分類　後編～

こんにちは、NI＋C 若手社員です。
本ブログは、Netskope CloudExchangeの一部の機能と、CrowdStrikeの連携についての後編となります。前編では、Netskope CloudExchange(CE)の機能の一つであるCloudRiskExchange(CRE)の機能概要と、CREとCrowdStrikeの連携の概要を説明させていただきました。今回は、CREとCrowdStrikeの連携の動作検証をしていきます。

前編のリンクは以下URLからご覧いただけます。本ブログの検証概要の詳細を記載していますので、本ブログを読む前に、ぜひ目を通していただければと思います。

目次

0.前編ブログの振り返り
1.RTRスクリプト配置アクションの実行
2.RTRスクリプト配置アクション後のファイル作成有無の確認
3.Custom Device Clasificationの適用の確認
4.おわりに

0.前編ブログの振り返り

実際の検証に入っていく前に、簡単に前編ブログのおさらいをします。

本検証では、NetskopeのCREとCrowdStrikeを連携させ、CrowdStrikeからユーザデバイスのZTAスコア(ZeroTrust Assessmentスコア：CrowdStrikeが各デバイスに対して、セキュリティポスチャを評価し計算されたスコア)を抽出し、RTR スクリプト配置 アクションを実行します。
RTR スクリプトの配置アクションとは、各デバイスのZTAスコアに応じて、各デバイスに特定のファイルを配置するものです。そのアクションの実行前に、Netskopeにて、各デバイスのZTAスコアに応じたファイルが配置されると、Netskopeがデバイスを分類するように事前に設定をしておくことで、RTRスクリプト配置アクションが実行されると、自動的にユーザデバイスがNetskopeによりカスタムデバイス分類される、という機能の検証方法について説明していました。
この機能を利用するメリットは、ZTAのスコアに応じたNetskopeによるデバイスの分類が可能となるため、管理者がユーザのデバイスが侵害されているかどうか、Netskopeの管理画面から簡単に管理することが可能となります。以下の図が、検証全体の概要図となります。

1.RTRスクリプト配置アクションの実行

まず初めに、検証端末にNetskopeClientとCrowdStrikeのFalconセンサーをインストールし、それぞれ有効化されていることを確認します。※本ブログでは、インストール手順については省略します。
検証端末のタスクバーからNetskopeClient＞Configurationをクリックすると、以下のようなPOP UPが出てきます。Custom Device Classification:にて、unmanagedであることを確認し、カスタムデバイス分類が適用されていないことを確認します。

次に、CEにログインし、CE上に作成したRTRスクリプト配置アクションの実行をします。前編のおさらいになりますが、CE上の本アクションを実行することで以下の図の2、3の動きを想定しています。

それでは、アクションを実行していきます。
以下画像の赤枠をクリックすると、対象アクションが実行されます。

アクションをクリックすると、以下のようなPOP UP表示されるので、 All timeにチェックを入れ、Syncをクリックします。

正常に反映されると、画面右上に以下のようなPOP UPが表示されます。

また、アクションが正常に実行されていると、Action Logsにて以下のように確認することが出来ます。

2. RTRスクリプト配置アクション後のファイル作成有無の確認

アクション実行後、検証端末にて対象ファイルが作成されているか確認します。作成されるファイル名は、端末のZTAスコア1～100のスコアに応じて、crwd_zta_1_25.txt、crwd_zta_26_50.txt
、crwd_zta_51_75.txt、crwd_zta_76_100.txtのいずれかで作成されます。
エクスプローラーを立ち上げ、PC＞ローカルディスク＞Program Files(x86)＞Netskope＞STAgentにて、デバイスのZTAスコアに応じた名前のついたファイルを確認することが出来ました。

CEとCrowdStrikeの管理画面にて、対象ホストのZTAスコア(OverallAssessmentScore)を確認すると、端末に配置されたスクリプト名に記載の範囲内で、同様のスコアが確認出来たことから、CEが抽出したZTAスコアがファイル作成に反映されたことがわかりました。
※以下、CrowdStrike管理画面

※以下、CE管理画面

3. Custom Device Classificationの適用の確認

次に、カスタムデバイス分類が適切に反映されているか確認します。
NetskopeClientのConfiguration＞Netskope Client Configurationにて、
Custom Device Classification：の箇所が、CS_ZTA_testに変更されていることが確認出来ました。

※上手くいかない場合は、NetskopeにCrowdStrikeのバイパス設定を投入すると解消される場合があります。

以上が、NetskopeCRE RiskExchangeとCrowdStrikeを連携した、RTRスクリプト配置アクションの実行とNetskopeDevice Classificationの適用の検証になります。

この機能を利用することで、Netskopeによるデバイスの分類がZTAスコアに応じてユーザに自動的に適用され、管理者がユーザのデバイスが侵害されているかどうかについて確認を容易にし、侵害されたユーザがいる場合の原因究明をより簡易的にすることが可能となります。

4.おわりに

NetskopeCRE RiskExchangeとCrowdStrikeの連携についていかがでしたでしょうか。
少しでも理解を進めていただける一助となっていましたら幸いです。
最後までお読みいただきありがとうございました！