この記事では、CrowdStrikeを運用しているエンジニア・SOCアナリスト・セキュリティ管理者向けに、Developer Centerでできることを紹介します。
CrowdStrikeを運用していると、「この操作、毎回手でやるのは面倒だな」「コンソールには項目が見当たらないけど、本当にできないのかな」と感じる場面が出てきます。そんなときにのぞいてみてほしいのが、開発者向けポータルです。
ここには、製品コンソールやサポートポータルには載っていない情報、例えばAPIの全仕様や、ログ取り込みのためのパーサーの書き方、Terraformでの設定管理、センサーの自動展開、AIアシスタントとの連携(MCP)までが、一次情報としてまとまっています。これから導入する方にも、すでに運用している方にも役立つ場所なので、まずは一度ブックマークしておくのがおすすめです。
この記事では、運用の現場で「これは使える」と感じやすいポイントを入口ごとに紹介していきます。
運用に役立つ7つの入口:こんなときに見る
1. API Reference
定型操作を自動化したいときに見る入口です。Falcon APIのリファレンスが機能ごとに整理されています。110以上のAPIコレクションが、Endpoint Security / RTR / Threat Intelligence / Cloud & Container / Vulnerability Management / Identity & Access / Policy & Configuration といった機能ごとに整理されています。
いきなりコレクション一覧を眺めるより、
All Operations で目的の操作を探して、Falcon Query Language (FQL) のページで絞り込み構文を確認してから叩くとスムーズです。ホスト一覧やDetectionの抽出は、FQLのフィルタ式を少し覚えるだけで取得がぐっと楽になります。2. SDK(公式6言語)
スクリプトでFalconを操作したいときに使う入口です。FalconPy(Python)、PSFalcon(PowerShell)、gofalcon(Go)、FalconJS(TypeScript)、Rusty Falcon(Rust)、Crimson Falcon(Ruby) の6言語が用意されています。どのSDKも、Client IDとSecretを渡せばOAuth2トークンの取得・更新を自動でやってくれるので、認証まわりで悩まずに済みます。
SOC運用やデータ抽出のスクリプトならFalconPy、Windows資産管理・AD連携ならPSFalconが定番です。鍵は環境変数(
FALCON_CLIENT_ID / FALCON_CLIENT_SECRET / FALCON_CLOUD)にまとめておくと、コードに直接書かずに済んで安全です。3. Sensor Deployment(大量展開・移行を自動化したいとき)
Ansible(ロールと約20のモジュール、Event Driven Ansibleにも対応)、Chef、Puppet、Bash/PowerShellスクリプト、SystemD(Docker/Podman) など、センサーを展開・移行するための手順がそろっています。
大量の端末に展開したいときや、他のEDRからの移行・センサーのCID付け替えをするときは、ここが頼りになります。アンインストール保護を有効にしている環境では
maintenance_token のlookupプラグインが必要になるので、自前でインストールスクリプトを書く前に一度のぞいてみてください。4. Configuration as Code(設定をTerraformで管理したいとき)
Prevention Policy、Sensor Update Policy、Sensor Visibility Exclusion、FileVantage、Cloud Security、IT Automation、Host Group などをTerraformで管理するためのリファレンスです。AWS/Azure/GCP/OCIのクラウド登録モジュールやKubernetesモジュールもあります。
ポリシーをコンソールで手作業管理していると、テナントが増えたときに設定の差分を追うのが大変になりがちです。除外設定や防御ポリシーをコードにしておくと、レビューやロールバック、複数テナントへの横展開がそのまま楽になります。
5. Falcon Next-Gen SIEM(独自ログを取り込みたいとき)
CrowdStrike Parsing Standard (CPS)、パーサーテンプレート、event.module / Vendor / observer.type のガイドライン、HECによるデータ取り込み、Correlation Rules、Fusion SOAR、Limits & Standards などが解説されています。
標準パーサーがないログソースを取り込みたいときは、CPSに沿って自前パーサーを書くと、後段の相関ルールやダッシュボードがそのまま活きてきます。最初にVendor/Moduleガイドラインに目を通しておくと、正規化で崩れにくくなります。
6. Falcon Foundry(Falcon上に独自アプリを作りたいとき)
Falcon上で独自アプリを作るためのドキュメントです。アプリの作成・デプロイ・リリース・バージョニング、認可(RBAC/APIスコープ)、UI拡張、Functions、Workflowテンプレート、CLI/Manifestリファレンスまで、ひととおりそろっています。
GitHubに15以上のサンプルアプリ(Rapid Response、MITRE ATT&CKトリアージ、ServiceNow連携、Zscaler連携、退職者のインサイダーリスク監視 など)が公開されています。ゼロから書くより、近い用途のサンプルをクローンして手を加えるほうが、ぐっと近道です。
7. Falcon MCP(AIアシスタントから調査したいとき)
Model Context Protocol を使って、Claude Desktop・VS Code・Gemini CLI・自作のエージェントをFalcon環境につなげる仕組みです。検知の調査、ホストの照会、Spotlight脆弱性のハンティング、NG-SIEMへのCQL実行、IOC管理などを、自然言語で扱えるようになります。Amazon Bedrock / Docker / Google Cloud へのデプロイ手順も用意されています。
「直近24時間のCritical検知を出して」「このホストは封じ込め済み?」といった一次トリアージを、会話の感覚で回せます。まずは読み取り系から試して、対応系(書き込み)の権限は様子を見ながら段階的に付けていくと安心です。
サポートはどこに聞けばいい?
Developer CenterやGitHubで公開されているSDK・MCP・サンプルアプリなどは、主にGitHub IssuesやCommunityを通じて情報収集・相談する形になります。
- 不具合の報告は、各リポジトリの GitHub Issues(FalconPyやPSFalconなど)
- 質問や相談は、GitHub Discussions、公式の CrowdStrike Community(community.crowdstrike.com)、Redditの r/crowdstrike サブレディット
ここで一点だけ気をつけたいのは、これらはあくまで開発ツールの相談先だということです。本番運用での製品障害については、これまでどおりCrowdStrikeのサポート窓口(サポートポータル/TAM)が一次窓口になります。「開発ツールのことはGitHubやコミュニティ」「製品のことはサポート窓口」と、相談先を分けて覚えておくと迷いません。
まずはここから
すべてを一度に使う必要はありません。GUIで運用が回っているなら、まずはそれで十分です。ただ、「同じ操作を毎回手でやっている」「テナントが増えて設定管理が大変になってきた」「ログ取り込みやトリアージを自動化したい」と感じはじめたら、対応する章がきっとここにあります。
最初の一歩としては、API Referenceで普段の運用操作がAPI化できそうか眺めてみて、そこからSDKやTerraformに少しずつ広げていくのが、無理のない入り方だと思います。
CrowdStrikeを運用している方は、まず一度ブックマークしておくと便利です。
