ITDR
Zscaler Internet Access (ZIA)用の封じ込め構成ガイド
この構成ガイドでは、前提条件と、Zscaler ITDRをZscaler Internet Access (ZIA)と統合する方法について説明します。この統合により、組織内のZscaler Client Connectorの攻撃者を封じ込め、隔離することができます。ITDRの脅威検出がトリガーされると、アクティビティーが攻撃として記録され、ユーザー情報がZIAと共有されます。ZIAは、そのユーザー情報に基づいて、制限されたグループにユーザーを移動することで、デバイス間でそれらのユーザーへのインターネット アクセスをブロックします。
前提条件
封じ込め統合を設定する前に、次のものがあることを確認します。
- ZIA管理ポータルにサインインし、IdPを構成し、SCIMプロビジョニングを有効にしました。
- ZIA管理ポータルから構成済みIdP([管理]>[認証設定]>[アイデンティティー プロバイダー])のベースURLとベアラー トークンを取得しました。
- ユーザー グループを作成し、アクションとしてのブロック/ドロップでグループのファイアウォール フィルタリング ポリシーを設定しました。
- すべてのエンドポイントにわたってZscaler Client Connectorバージョン4.1以降がインストールされました。
ZIAとの封じ込め統合の設定
以下の手順に沿って操作し、ZIAとの封じ込め統合を設定します。
- ステップ1:ITDRとZIA間の封じ込め統合を設定する
- Zscaler ITDR管理ポータルで、[オーケストレート]>[封じ込め]に移動します。
テーブルで、[Zscaler Internet Access]を見つけて、[編集]アイコンをクリックします。
- Zscaler Internet Accessの設定ウィンドウで、次の操作を行います。
- 有効:封じ込めを有効にする場合に選択します。
- [SCIMベースURL]:ZIA管理ポータルからコピーしたベースURLを入力します。
- [SCIMベアラー トークン]: ZIA管理ポータルからコピーしたベアラー トークンを入力します。
- [既存の値を保持]: ZIA管理ポータルから既存のベアラー トークンを保持する場合に選択します。
- SCIMユーザー グループ:ネットワーク トラフィックをブロックするポリシーを使用して、ZIAで作成されたユーザー グループの名前を入力します。
[ITDRアイデンティティー メタデータ]の下で、次の操作を行います。
- [有効]: ZIAとの同期を有効にして、ZIAからトラフィック違反または不正なアクティビティーのデータをフェッチする場合に選択します。
- [ベースURL]: ZIA管理ポータルに使用するベースURLを入力します。
- [ユーザー名:]ZIA管理ポータルへのサインインに使用するユーザー名を入力します。
- [パスワード:]ZIA管理ポータルへのサインインに使用するパスワードを入力します。
[既存の値を保持]:既存のパスワードを保持するには選択し、新しいパスワードを使用するには選択を解除します。
デフォルトでは、新しいパスワードを入力しない場合、[既存の値を保持]のチェックボックスが選択されています。新しいパスワードを入力すると、チェックボックスは無効になります。
保存 をクリックします。
設定が保存されたことを示す確認メッセージが表示されます。
- ステップ2:オーケストレーション ルールを設定するか、検出された攻撃者を封じ込めるためのアクションを実行する
オーケストレーション ルールを作成して、検出された攻撃者を自動的に封じ込めることも、調査ページから手動でアクションを実行することもできます。
- オーケストレーション ルールを作成します。
- [オーケストレーション] > [ルール]に移動します。
[ルールの追加]をクリックします。
- [ルールの詳細]ウィンドウで、次の操作を行います。
- ルールの名前を入力します。
- [有効]を選択してルールを有効にします。
クエリーと条件を使用するルールを作成します。 クエリーの作成方法については、クエリーの理解と作成を参照してください。
[応答]で[Zscaler Internet Access]を有効にします。
- 保存 をクリックします。
攻撃者は、オーケストレーション ルールの設定時に定義された条件に基づいてZIAによって封じ込められます。
閉じる - 調査ページからアクションを実行します。
[調査]ページで、アラート グラフの攻撃アイコンをクリックします。
攻撃者の詳細ウィンドウが開きます。
[アクション]をクリックします。
脅威を修復するために実行できるアクションのリストが表示されます。
[Zscaler]ドロップダウン メニューをクリックし、[Zscaler Internet Accessで封じ込める]を選択します。
- 確認ウィンドウで、[OK]をクリックします。
- オーケストレーション ルールを作成します。
検出された攻撃者を封じ込めた後、攻撃者の詳細を表示できます。