はじめに
こんにちは、 ネクストモード株式会社 の sobar です。
今回は CrowdStrike NG-SIEM (Falcon LogScale) の検知ルールについてご紹介いたします。
CrowdStrike NG-SIEM (Falcon LogScale) について
NG-SIEM (Falcon LogScale) はCrowdStrikeが提供するSIEMサービスです。従来のSIEMの課題であった高コスト、検索速度の課題を解決し、業務利用のログの一元管理が実施できます。NG-SIEM にログを一元的に収集・正規化し、利用状況の全体像を把握する基盤構築に寄与します。特徴や利用するメリット、詳細につきましては以下のブログも合わせてご参照ください。
- 【CrowdStrike】Falcon NG-SIEMで実現する「見えない」リスクを解消するログ統合と可視化について
- 【CrowdStrike】FalconのNG-SIEMでのログ集約環境の構築と可視化について
その他のNG-SIEMの特徴やライセンスの詳細につきましては弊社までお問い合わせください。
CrowdStrike NG-SIEM (Falcon LogScale) の検知ルールについて
CrowdStrike Falcon Next-Gen SIEM (Falcon LogScale) では、従来のEDR(エンドポイントでの検知)に加え、サードパーティ製品やクラウド、アイデンティティなど、多様なデータソースからのログを統合して脅威をあぶり出す仕組みが整っています。
今回はNG-SIEM (Falcon LogScale) の以下の検知ルールについてご紹介します。
- サードパーティ検知
- エンドポイント検知
- 相関検知
まずはフィルターの追加/削除 より 検知タイプのカラムを表示させます。
検知のタイプ のフィルタより、現在フィルタが可能な検知ルールとその数が確認できます。
サードパーティ検知
サードパーティ検知はNG-SIEM連携元のサードパーティ製品側でアラートとして検知したものが該当します。NetskopeやOktaなどをNG-SIEM連携している場合はNetskope、Oktaなどでアラート出力したものがNG-SIEMの検知 にて確認ができます。
NetskopeやOktaとのNG-SIEMの連携方法については以下ブログをご確認ください。
エンドポイント検知
CrowdStrikeのコア機能であるFalconエージェントが、端末(PCやサーバー)上で直接検知するものが該当します。
相関検知
相関ルールを活用して、検知をあげていきます。相関ルールについては、お客様で細かく作り込まなくとも、テンプレートで用意しているルールが数多くありますので、まずはそちらからご活用が出来そうなルールを選択・適用・確認していくことをお勧めいたします。
相関ルールの詳細、作成方法については以下ブログをご確認ください。
参考
さいごに
今回はCrowdStrike NG-SIEM (Falcon LogScale) 検知ルールについてご紹介いたしました。サードパーティ製品のログ連携設定を行った後、まずは相関ルールの作成より検討・実施いただくことをお勧めいたします。
この記事が、皆様のセキュリティ対策や、CrowdStrike NG-SIEM (LogScale)の運用の一助となれば幸いです。
CrowdStrike についてのお問い合わせ
まずはNG-SIEM 10GB Free を利用したスモールスタートで、最も重要なログから統合してみませんか?
ネクストモードでは、Netskopeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!
