株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > CrowdStrike > CrowdStrikeとRubrikの連携機能を検証してみた

CrowdStrikeとRubrikの連携機能を検証してみた

CrowdStrike Rubrik バックアップ Security

はじめに

セキュリティソリューションのCrowdStrikeにデータ保護ソリューションのRubrikとの連携機能があることはご存知ですか?CrowdStrike環境からRubrikのバックアップ結果の参照やRubrikのログの取り込みがしやすくなる便利な機能です。

ネットワールドではどちらの製品も取り扱っています!せっかくなのでセキュリティ担当が実際に検証してみました。本記事では連携方法や結果、レビューをまとめていきます!

CrowdStrikeとは?

EDR(エンドポイント保護)を筆頭に様々なセキュリティ機能を提供する統合プラットフォームです。保護対象のサーバーやPCにひとつのエージェントをインストールするだけでお客様環境に合わせた様々なセキュリティ機能が使える他、APIなどを利用してサードパーティ製品と連携し、より統合的な保護・解析のソリューションを提供できることなどが特徴です。

設定・運用にはFalconコンソールというコンソールを利用します。

製品の紹介ページ:

www.networld.co.jp

Rubrikとは?

バックアップをはじめとするデータ保護・データ管理の機能を提供する統合プラットフォームです。様々なサーバーやデータをバックアップできる他、バックアップデータに対するセキュリティ機能もあり、マルウェアや機密データ、脅威に侵害されたデータなどを解析できることなどが特徴です。

設定・運用にはRSC(Rubrik Security Cloud)というコンソールを使用します。

製品の紹介ページ:

www.networld.co.jp

 

連携方法は2つあります。正式名称ではないのですが、本記事ではわかりやすいように「コンソール連携」と「ログ連携」と呼び分けてそれぞれまとめていきます。

 

コンソール連携

コンソール連携の特徴

Falconコンソール上にRubrikのバックアップ結果、セキュリティ機能の実行結果を表示します。リンクをクリックするとRSC(Rubrikのコンソール)が新しいタブで開き、更に詳細な情報を確認できます。

設定手順

  1. RSCでRubrikのサービスアカウントを作成します。

  2. アクセストークンURI、クライアントID、クライアントシークレットを控えます。

  3. FalconコンソールでCrowdStrikeストアにアクセスし、Rubrik Security Cloudのアプリを設定します。

使用手順

  1. Rubrikでバックアップを取得します。
  2. Falconコンソールの検索窓でバックアップを取得したホストのIPアドレスを検索します。

  3. 検索結果で「Rubrik」タブを開きます。

  4. 必要に応じてリンクをクリックし、RSCで詳細を確認します。

所感

Rubrik専用のタブがCrowdStrikeの画面に組み込まれていて、スムーズに連携できていると感じました。現状、このような製品専用のタブが用意されているものは少なく、2社の協力関係の本気具合を感じます。

一方で、Rubrikのセキュリティ機能は使っていないお客様も多いのではないでしょうか?その場合バックアップ情報が表示されるだけになってしまい、正直「これだけ?」という印象を受けるかもしれません。

おまけの検証

せっかくなのでRubrikのセキュリティ機能を色々試しました。

クレジットカード番号が保存されているファイルと含まれるデータ件数を検出したり、

大量のファイルが暗号化されていることを検出したり、

不審なファイルを検出したり、

上記のような検出された脅威を分析したり。


機能も豊富だし、「バックアップデータを分析して本番データに影響を与えずセキュリティ機能を提供する」というのは強みを活かしているなと思いました。

ただ、今回の検証に限って言えば、CrowdStrikeと連携する時点でセキュリティソフトは導入されている環境ということになり、どこまで必要だろう...というのは難しいところです。

 

ログ連携

ログ連携の特徴

Rubrik側で生成されたログをCrowdStrikeに取り込みます。取り込んだログはCrowdStrike側での検索や分析などに利用できます。

設定手順

  1. FalconコンソールでRubrik用のデータコネクターを作成します。

  2. APIキー・API URLを控えます。

  3. RSCでWebhookを作成します。設定にはCrowdStrikeデータコネクターのAPIキー・API URL情報が必要です。

使用手順

  1. Falconコンソールで「詳細なイベント検索」ページを開きます。
  2. フィールドに「Rubrikから受け取っているログ」を意味するクエリ(#repo = 3pi_rubrik_security_cloud)を入力し実行します。

所感

「簡単に設定できる」という点がすばらしいです。CrowdStrikeでサードパーティ製品のログを取り込み分析するにはデータコネクター(接続用のアプリ)を作成しますが、製品によっては自力でイチから作ることになります。API周りの知識、出てくるログの知識がないとハードルが高く感じる部分なので、プリセットが用意されているのは大変ありがたいですね。

また、Rubrik側のWebhook作成時にも「CrowdStrike Falcon LogScale」というCrowdStrike用のプロバイダーが選べるようになっており、双方とも連携のための準備は整っている印象です。

課題としては、Rubrikとの連携に限らずXDRやNG-SIEM全般に言えますが、たくさん送られてくるログをどう活用するか?はユーザーが考えないといけない点です。きちんと活用するには連携後の運用イメージをしっかり持つ必要があると感じました。

おまけの検証

取り込んだRubrikのログでどんなことができるか試してみました。

Rubrikのバックアップ失敗をCrowdStrikeで検知されるようにしたり、

Rubrikのバックアップ結果をグラフ表示したり。

連携できているデータはたくさんあるので悩みがいがあります。

Rubrikのデータだけを見るならRSCで十分ですが、例えば複数のバックアップ製品のバックアップ結果を並べるとか、発想次第で色々できるし、応用の幅も広そうです。

 

総評

CrowdStrikeとRubrikの連携は、特にコンソール連携は機能的にもう少し欲しいと思うものの、2社間の協力姿勢を強くうかがえる作り込みでした。サイバー攻撃の苛烈化に伴い、バックアップの重要性のみならず、バックアップデータに対する保護の重要性も高まっています。セキュリティとバックアップの距離は今後近づくと考えられ、そうするとすでにこのレベルで連携できていること自体が今後の強みになってくるのではないかと思います。

CrowdStrike目線で見ると、これら2つの機能は保護対象のサーバーにFalconセンサー(エージェント)を入れなくても利用可能な点がメリットになる可能性はありそうです。エージェントなしではCrowdStrikeによる保護はできないのですが、周辺資産の保護も考える時代になってきました。より柔軟で強度の高いセキュリティに活かせるかもしれません。

 

ありがとうございました!