株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > Security > Falcon Shield UIが統合されました:機能面での統合運用も試してみました!

Falcon Shield UIが統合されました:機能面での統合運用も試してみました!

Security CrowdStrike

Falcon Shieldブログ記事も気がつけば3つめになりました。いつもありがとうございます。
今回は内容が2つあります。目次のリンクから、興味のあるところをお読みください!

Falcon Shield UI がFalconコンソールに統合されました

先日このブログでFalcon UIについて軽く触れていましたが、 ついに弊社環境でも新しいUIになりましたので、予告どおりこのブログで紹介します。

前回のブログを読みたい方はこちら:

blogs.networld.co.jp

同じウィンドウ内で画面遷移するようになりました

以前は「Falcon Shield」をクリックすると新しいタブが開いていましたが、同じウィンドウで開くようになりました。
以前トップページになっていたダッシュボードを開く場合は、メニューボタンからSaaSセキュリティ > 概要 に移動します。

CrowdStrikeカラーになりました

劇的ビフォーアフター!ってほどでもないですね

本格的な統合はこれから

ただ、現状の統合で変わったことはこれだけのようです。例えば、以下のことは確認しています。

  • ページ遷移時は内部的にFalcon Shieldへのログインが行われているため、表示までちょっと時間がかかる
  • UIは引き続き英語のみ、タイムゾーンもUTCで表示
  • 前回ブログで指摘した「レポートのメール通知からレポートに飛べない」問題は未解決
  • ドキュメントページが統合されていない

Falcon Shieldのドキュメントは、CrowdStrikeの通常のドキュメントページ(メニュー > サポートおよびリソース > ドキュメント)にはありません。
Falcon Shieldの概要ページなどに移動したあとConfigure > Documentation でアクセスできます。

Falcon Shield関連のページであれば、概要ページに限らずどこからでもアクセスできます

Falcon Shieldを他のCrowdStrike機能と連携してもっと便利に!

UIの統合の話だけだとちょっと物足りないので、追加で試したことについてもこの場でご紹介します 。
前回の記事でも言及したのですが、Falcon Shieldは他のCrowdStrikeの機能(NG-SIEM, Fusion SOAR)と連携が可能です。
連携してからどうやって使えばいいんだろう?CrowdStrikeのいち機能として、Falcon Shieldはどのポジションが適しているんだろう?という検証をしました。
※ Falcon Shield自体にもFusion SOARとの直接連携機能はありますが、今回はその機能は使っていません。Fusion SOARとはNG-SIEM経由で連携しています。

NG-SIEMとの連携は可能性の塊

前回のおさらいになりますが、Falcon Shieldでは、取得したイベントをイベント転送機能によりFalcon NG-SIEMに取り込むことができます。
NG-SIEMにデータを取り込むことで便利な2つの機能が使えるようになります。

  • 相関ルールを自分で作ることで任意のイベントを検知できるようになる
  • 作成したルールをトリガーにしてFusion ワークフローを起動できる

今回は試しに「Rubrikの環境にログインがあった場合にメール通知する」というフローを組んでみました。設定手順はこんな感じです。

  1. Falcon ShieldのイベントをNG-SIEMに転送する ※詳細は前回ブログを参照
  2. NG-SIEMのイベント検索でRubrikのログインイベントを特定する
    上の行から順に、「Falcon Shield経由で取り込んだデータ」「Rubrik連携のデータ」「ログインイベント」という意味です
  3. 検索クエリを元に相関ルールを作成する
    「相関ルールを作成」ボタンから作成すると今入力しているクエリで相関ルールが作れます

    相関ルールでは主に実行するクエリとそのスケジュールを決めます。「通知」はルール自体に障害などがあったときの通知先なので、フローには関係しません
  4. 相関ルールをトリガーとしメールを送信するFusionワークフローを作成する
    上から順に「NG-SIEMの検知が発生して」「その検知名が一致したときに」「メールを送信する」というフローです

ここまでの設定がうまくいくと、ログインを検知したときにメールが届くようになります!

メッセージは色々カスタマイズできます。日本語でもOK!

今回はシンプルなトリガーにしましたが、ログイン以外にもログさえあればトリガーにできます。
ログイン一つをとっても、例えば

  • 普段使用されていないユーザーのログインがある
  • ログインに失敗している

みたいなトリガーを考えることもできますし、実行する動作としてもメール通知だけでなく

  • SlackやTeamsに通知する
  • インシデントとしてアラートをあげる

など、様々な選択肢があります。
相関ルールを複数絡めて総合的に判断するような設定も可能ですし、ログさえ取り込めればその先は本当にユーザーの知識とアイデア次第です。

まとめ

UI統合のついでに、Falcon ShieldとFalcon NG-SIEMとの連携例をご紹介しました。
「知識とアイデア次第で何でもできる」という柔軟さは逆に難しさでもありますが、ユーザーの数だけ使い方にバリエーションがあるのは将来性を見据えたときに大きな強みとなります。

また、最初のブログ(Falcon Shield触ってみた:簡単設定でSaaSを可視化! - ネットワールド らぼ)でも書いたとおり、まずは可視化できるだけでも十分に価値がありますし、Falcon Shieldとしては可視化ができるかどうかが最も大切なポイントです。

いきなり複雑な仕組みを作る必要はないと思います。
まずはシンプルに連携して「可視化」を第一目標に、そこから他製品も含め自社に合った「統合運用」を目指していくのが、Falcon Shieldとの上手な付き合い方になりそうです。

なお、NG-SIEMやFusion SOARの設定については今回はさらっと触れただけなので、ご興味があれば今後別記事で改めて紹介します。

他にも面白い使い方や発見があれば、引き続きこのブログで共有していきます!