Zenn
📘

NetskopeとSecurityScorecardの連携方法

2024/11/22に公開
netskope
securityscorecard
cloudexchange
tech

NetskopeとSecurityScorecardを連携させることで、NetskopeはSecurityScorecardが生成するIoCや危険なURL情報を取得することが可能になります。

NetskopeとSecurityScorecardの連携方法について解説します。

■前提条件

NetskopeとSecurityScorecardを連携させるために以下の前提条件が完了している必要があります。

  • Netskopeテナント
     - URL共有用のNetskope Secure Web Gatewayライセンス
     - Cloud Exchangeと連携済みのNetskopeテナント

  • Netskope Cloud Exchange
     - Threat Exchangeモジュール有効化済みのNetskope Cloud Exchangeテナント。

  • SecurityScorecard
     - SecurityScorecard ライセンス (Pro、Business、Enterprise)。
     - 以下URLへアクセス可能であること
      https://platform.securityscorecard.io/

■連携作業の流れ

連携作業全体の流れを記載します。

  1. SecurityScorecard : SecurityScorecard APIトークンを取得します。
  2. CloudExchange : SecurityScorecardプラグインを構成します。
  3. CloudExchange : Business Rulesを設定します。
  4. CloudExchange : Sharingを設定します。
  5. CloudExchange&Netskope : 動作確認。

■Step1 SecurityScorecard APIトークンの取得

本作業はSecurityScorecardテナントでの作業となります。

  1. 連携対象のSecurityScorecardテナントにログインします。

  2. 画面右上のユーザープロファイルアイコンをクリックします。

  3. "My Settings"をクリックします。

  4. 左側メニューから、APIをクリックします。

  5. "Generate new API Token"をクリックします。

  6. "Confirm"をクリックします。

  7. "API Token"をメモ帳等にコピーします。

■Step2 SecurityScorecardプラグインを構成する

本作業はCloudExchangeでの作業となります。

  1. CloudExchangeテナントにログインします。

  2. Settings > Pluginをクリックします。

  3. "SecurityScorecard"を検索し、表示されたアイコンをクリックします。

  4. Basic Informationを入力します。
    Configuration Name:任意のプラグイン名を入力します。
    Sync Interval:デフォルトは60分ですが、SecurityScorecardから送信されるデータ頻度に基づき12時間が推奨です。
    Aging Criteria:インジケーターが期限切れになるまでの時間を選択します。
    Override Reputation:インジケーターのデフォルトの評判レベルを別のレベルに置き換えることができます。これはインジケーターを並べ替えるときに便利です。
    Tags Aggregate Strategy:既存のIoCに新しいタグを追加するか、上書きするかを選択します。この設定パラメータは、この設定のためにプルされたインジケータのタグがどのように保存されるかを決定します。
    Enable SSL Validation:無効にする必要性や理由がない限り、この設定は有効のままにしておきます。
    Use System Proxy:Proxyを利用している場合には有効にします。そうでない場合には無効で問題ありません。

  5. "Next"をクリックします。

  6. Configuration Parametersを入力します。
    API Token:Step1で保管したAPI Tokenを入力します。
    Portfolios:インジケーターを取得する必要があるポートフォリオ名をカンマで区切ります。ポートフォリオ名はSecurityScorecardの"Companies > Portfolios"から確認可能です。
    Company Grade Threshold:インジケーターを取得するScorecardの最大グレードを選択します。Aを選択した場合、統合により全てのScorecardが取得されます。Bを選択した場合、統合によりAより低いスコアカードがすべて取得されます。
    Tag Severity:この設定は統合の一部ではないため無視してください。

  7. "Save"をクリックします。

■Step3 Business Rulesの設定

本作業はCloudExchangeでの作業となります。
CloudExchangeがPluginから取得する情報を指定するためのBusiness Rulesを設定します。

  1. Threat Exchange > Business Rulesをクリックします。

  2. "Creat New Rule"をクリックします。

  3. Step2で作成したSecurityScorecardプラグインから情報を取得するルールを指定します。

  4. "Save"をクリックします。

■Step4 Sharingの設定

本作業はCloudExchangeでの作業となります。
CloudExchange上に登録されているPlugin間で共有する情報を設定します。

  1. Threat Exchange > Sharingをクリックします。
  2. "Add Sharing Configuration"をクリックします。
  3. Step3で作成したBusinessルールから、Netskope Threat Exchange Pluginへ共有する設定を行います。
    Source Configuration:Step2で作成したPluginを指定します。
    Business Rule:Step3で作成したルールを指定します。
    Destination Configuration:Netskope Threat Exchange Pluginを指定します。 Target: "Add to URL List"を指定します。
    List Name:NetskopeのURL List名を指定します。
    URL List Type:URL Listのタイプを指定します。
    List Size:Listのサイズを指定します。単位はMB、最大8MBまで指定可能です。
    Default URL:URL Listが空の場合に使用するURLを指定します。
  4. "Save"をクリックします。

■Step5 動作確認

本作業はCloudExchangeとNetskopeテナントで作業を行います。

まず、CloudExchangeにてSecurityScorecardと正常に同期出来ているかを確認します。

  1. Threat Exchange > Sharingをクリックします。
  2. Step4で作成したSharing Configurationの同期ボタンをクリックします。
  3. "All time"にチェックを入れ、"Fetche"をクリックします。
  4. "Sync"をクリックします。

次に、NetskopeテナントでURLをインポート出来ているかを確認します。

  1. Netskopeテナントにログインします。
  2. Policies > Profiles > URL Listsをクリックします。
  3. Step4で指定したURL Listをクリックし、SecurityScorecardからURLをインポート出来ているか確認します。

これで、動作確認は終了です。正常にNetskopeとSecurity Scorecardが連携しています。

Discussion