株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > CrowdStrike > Falcon Shieldのその後:連携後に使える機能を試してみました!

Falcon Shieldのその後:連携後に使える機能を試してみました!

CrowdStrike Security

前回のFalcon Shieldの記事を閲覧いただいた方、ありがとうございました。今回は続編です!
あれから少し時間が経ちましたが、裏ではちゃんと触ってました!
変更点や、色々といじってみた結果をご報告します。

前回の記事がまだの方はこちらから読めます。

blogs.networld.co.jp

経過報告

  • 連携先を増やしました
    前回の記事ではM365を連携する様子をご紹介しました。その後、思いつく限りいろいろと連携を増やして、今こんな感じです。
    だいぶ賑やかになりました!
    これは自慢ですが、おそらくRubrikの連携は世界最速で試したと思います(リリース日に触ったので)。
    ちなみにRubrikにやたら食いつきがいいのは筆者が以前バックアップを触っていたせいです。
    以前RubrikとCrowdStrikeの連携も試したので、よければこちらも見てみてください!

blogs.networld.co.jp

  • 連携してからできることを試していました
    前回は「とりあえず繋げられたらいい感じに可視化されます!」とまとめましたが、技術としては「その先」も気になるところ。
    SaaS連携後にどんなことができるのか、サクッとできる範囲で試してみました!

  • UIも変更になりました…?!
    タイミングよくUIがアップデートされ、CrowdStrikeに染ま…るはずだったのですが、アナウンスから反映まで意外と時間がかかっているようで、弊社環境ではまだUIが変わりません…
    そろそろ待てないので、今回は旧環境のスクリーンショットで失礼いたします!更新されたら改めてご案内しますね。

連携機能

今回のメインはこちらです。SaaS連携をしたらできるようになる設定をいくつかご紹介します。

コンプライアンスフレームワークの選択

Falcon Shieldは、公開されているコンプライアンスフレームワークの情報に従いセキュリティチェックをします。
フレームワークは色々あるのですが、任意のものをフォローすることでダッシュボードなどで見やすくなります。

フレームワークをフォローしていない場合、右下の赤枠部分は情報が表示されません

フォロー自体は何も連携していなくても可能ですが、今回は検証環境なこともあり、準拠したいフレームワークが明確に決まってはいなかったので事後設定としました。
フォローしていない状態でも各フレームワークの情報は参照できます。 現在23のフレームワークが用意されています。
ブロックをクリックで個別の詳細が確認できます

ログ転送

ログを外部のクラウドストレージに転送して保管ができます。 転送先にはAWS S3またはAzure Storageが選べます。 転送されたログは圧縮ファイルなので、中身を確認するにはひと手間必要です。あくまで保管目的の機能ですね。

S3にアップロードした例。圧縮ファイルが1日にいくつか自動アップロードされます
ただ、圧縮されている分容量は小さくなるのがお財布には嬉しいポイントです。
環境によって大きく変わるので参考程度の情報ですが、弊社の環境では0.5MB/日くらいでした。
容量とファイル数の遷移を表示したグラフ。放っておけばどんどん溜まっていく一方なので、運用によっては自動削除なども設定したほうが良さそうですね

イベント転送

リアルタイムでログを確認したい場合には、イベントの転送も設定可能です。
連携先にCrowdStrikeのNG-SIEM製品、Falcon NG-SIEMも選べます!(Rubrikとのログ連携でも利用しました)

イベント検索のクエリで「#type = "crowdstrike-saas-security"」と入力します
他にはCribl, Splunkの選択肢があります。 様々な方法で連携できる便利さを感じる反面、CrowdStrike内だけで複雑な構成が取れてしまうのでちょっとややこしい…
導入と運用、どんなフェーズでも、「何がやりたいか」「どんなことからデータを守りたいか」は明確に意識しておく必要があることを痛感します。
SaaSのユーザーの不審な動きなどもCrowdStrikeのコンソール上でイベントとして確認・解析でき、ユーザー次第で様々に活用できそうです。

レポート生成

可視化や報告用途に便利なレポート生成機能も試しました。
テンプレートを選び、グラフィカルな編集画面で直感的にカスタマイズすればきれいなレポートの完成です!

各ブロックの内容、サイズ、並び順などが自由にカスタマイズできます。PDF出力も可能です
メールでレポートの定期通知も可能なのですが、個人的にはこの通知機能はいまいちでした…
というのも、メールで送られてくるのはレポートページのURLなんです。コンソール統合途中なことが悪さをして、この先が大変なことに。
「View report」をクリックするとレポート画面が開く…はずなのですが
ログインしていない状態でメールのリンクをクリックすると、CrowdStrikeのログインページが開きます。
ログインしたらそこはFalcon UIのトップページ!レポートにたどり着けません…
ここにたどり着いてしまいます。まあログインした状態であれば関係ない話なのですが…
コンソール統合及びUIのリニューアル、楽しみに待ってます!

Falcon Fusion SOAR連携

最後に、Fusion SOARとの連携も設定してみました。
Fusion SOARはCrowdStrikeの機能の一つで、ワークフローを作成することで様々なアクションを自動化できるものです。
この機能の利用には「Falcon Fusion Workflows」という形式でCrowdStrikeを連携させる必要があります。

いくつかの連携は自動的にInventory Integrations(インベントリ連携)に分類されます。セキュリティチェック以外の用途で利用される連携です
ワークフローのトリガーは「オンデマンド」にします。このトリガーをFalcon Shield上のボタンが代行するイメージです。その先に好きなフローを組んでいきます。
今回は簡単にメールを送信するだけのワークフローを作成してみました。
本丸のワークフローはFalcon Fusion SOARで作成して…(スクショして気づきましたがWFの内容がわからないダメなタイトルですね)
Falcon Shieldからボタン一つでメールを送信できるようになります
Fusion SOARができることは膨大です。もっと複雑なフローを組みたいときに真価を発揮するでしょう。
イベント転送と同様にアイデア次第では様々に活用できる機能なので、まだまだ検証の余地がありそうです。

まとめ

SaaS連携のその後を色々紹介しましたが、おそらくすべてのお客様にすべての機能が必要というわけではないのでしょう。
セキュリティ製品の機能はどんどん増えていて、いろいろなことができます。そんな現代の環境では利用する人間の思考こそ重要度が高くなっていると思います。
ときには使わない機能の見極めも大事に、製品や機能と上手に付き合っていきたいです。
皆様の環境により良いセキュリティを提供できるよう、CrowdStrikeも弊社も引き続き頑張ります!