【CrowdStrike】NG-SIEMでのログ集約環境の構築と可視化について｜Nextmode Blog

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。

今回は CrowdStrike NG-SIEM (Falcon LogScale) を利用したログ集約環境の構築と可視化とダッシュボードの利用についての概要についてご紹介いたします。

CrowdStrike NG-SIEM (Falcon LogScale) について

NG-SIEM (Falcon LogScale) はCrowdStrikeが提供するSIEMサービスです。従来のSIEMの課題であった高コスト、検索速度の課題を解決し、業務利用のログの一元管理が実施できます。NG-SIEM にログを一元的に収集・正規化し、利用状況の全体像を把握する基盤構築に寄与します。特徴や利用するメリット、詳細につきましては以下のブログも合わせてご参照ください。

• 【CrowdStrike】NG-SIEMで実現する「見えない」リスクを解消するログ統合と可視化について
  

その他のNG-SIEMの特徴やライセンスの詳細につきましては弊社までお問い合わせください。

ログ集約環境の構築と可視化

NG-SIEMへログを取り込む方法

NG-SIEMへログを取り込む方法は複数パターンがあり、取り込み元製品によって異なります。製品毎の取り込み方法をご検討の上、NG-SIEMへ取り込んでください。

• パターン①：API連携（Okta, Netskope, Menlo等)
• パターン②：AWS S3/Azure EventHub経由 （Cato, Microsoft製品等）
• パターン③：LogScale Collector経由（Trellix, FortiGate等)

データコネクターを利用しログを収集

CrowdStrike NG-SIEMが用意しているのデータコネクターを利用してオンプレミスサービス、クラウドサービスなどのログ取集設定を実施します。

ログの正規化（Parsing）

ログを取り込み時、異なるログソースから、「user_id」「input_token_count」「data_transfer_size」などの共通フィールドを抽出・正規化する必要があります。NG-SIEMではそれぞれのデータ接続設定（コネクタ作成）時に、あらかじめ用意されているパーサーを選択しチェックボックス一つでログの正規化が完了でパース機能が利用できますので構築の手間が大幅に削減されることが期待できます。

ルール

Netskope、Okta、Entra IDなど複数のベンダーログを対象としたテンプレートが用意されており、予め用意されているルール（相関ルール）をテンプレートから有効化することでログの取込み後、ただちに検知可能となります。

検知内容について

検知内容については以下のように出力され重大度として優先度付けが行われている。また検知内容の詳細の確認が可能です。

可視化ダッシュボード

カスタマイズ性が高く、編集画面は各ウィジェットをクエリ表示に切り替え機能など実装され、専門知識がなくても直感的に操作できるGUIを備えています。以下ダッシュボードをいくつかご紹介いたします。

Okta - SSO - User Activity：Okta でのSSO利用状況の統計が確認できます。特定のユーザーの行動を時系列で追跡し、通常と異なる時間帯や場所からのアクセスを特定することができたりと、集中的な調査ツールとして機能します。Oktaテレメトリ全体の概要を把握できるほか、提供されているパラメータを使用することで、Identities、IP addresses、Autonomous System Numbers (ASN)、Autonomous System Organizations、Event Types、Activity from Proxies  のいずれか、あるいは複数に属する特定の指標を調査するためのツールとしても使用できます。

AI Service Usage Monitoring：組織内の生成AI利用状況を把握し、どのAIドメインに、どのホストがアクセスしているかを可視化することで、シャドーAIのリスクを軽減します。AI関連のアクティビティに関する詳細なインサイトを通じて、情報に基づいたセキュリティ上の意思決定を可能にします。

 detection_activity_events：アラートを検知した内容・統計が確認できます。

 AWS - CloudTrail - Overview：AWS CloudTrailに関する統計が確認できます。AWS 環境内のセキュリティ関連のアクティビティとイベントを包括的に表示します。ログインアクティビティ、ユーザーアクティビティ、ルートユーザーアクティビティ、AWS 組織アクティビティなど、様々なセクションにわたるユーザー行動、認証、リソースへのアクセスを網羅。

さいごに

今回はCrowdStrike NG-SIEM (Falcon LogScale) を利用したログ集約環境の構築と可視化とダッシュボードの利用についての概要についてご紹介いたしました。バラバラだったログを統合し、セキュリティ部門・IT部門が必要とする包括的な可視性を低コスト・高速で実現できます。また、統合的にログを管理するため、装置・サービスごとに調査を行う必要がなくなるため、運用コストも減らせるメリットも期待できます。

この記事が、皆様のセキュリティ対策や、CrowdStrike NG-SIEM (LogScale)の運用の一助となれば幸いです。

CrowdStrike についてのお問い合わせ

まずはNG-SIEM 10GB Free を利用したスモールスタートで、最も重要なログから統合してみませんか？

ネクストモードでは、Netskopeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください！