コンテンツまでスキップ

【CrowdStrike】NG-SIEMへのログ取り込みについて_Netskope編

Picture of sobar

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。

今回は、Netskopeのログを CrowdStrike NG-SIEM (Falcon LogScale) に取り込む方法についてご紹介いたします。

Netskopeには、アラートやイベントを記録する「Events & Alertsログ」と、すべての通信の生ログデータを記録する「Transaction Eventsログ」があります。 今回は前者の 「Events & Alertsログ」 をNG-SIEMに取り込む手順をご紹介します。

※ Transaction Eventsログについては、必要に応じてこちらのブログをご参照ください。

CrowdStrike NG-SIEM (Falcon LogScale) について

NG-SIEM (Falcon LogScale) はCrowdStrikeが提供するSIEMサービスです。従来のSIEMの課題であった高コスト、検索速度の課題を解決し、業務利用のログの一元管理が実施できます。NG-SIEM にログを一元的に収集・正規化し、利用状況の全体像を把握する基盤構築に寄与します。特徴や利用するメリット、詳細につきましては以下のブログも合わせてご参照ください。

その他のNG-SIEMの特徴やライセンスの詳細につきましては弊社までお問い合わせください。

NG-SIEMでのNetskopeログ取り込みについて

CrowdStrike NG-SIEMにはNetskope専用のデータコネクターが用意されているため、スムーズに連携が可能です 。

【設定の流れ】

  • 1.Netskope側でAPIトークンを発行する
  • 2.NG-SIEM側でデータコネクターを利用しNetskopeのログを取り込む

それでは早速Netskopeのデータを取り込むための設定を行っていきます。

設定

1. NetskopeでAPIトークンを発行する

1-1. Roles 作成

Netskope管理コンソールよりSettings > Administrators & Roles > Roles > New をクリック。

want_to_know_how_to_pay_using_apiv2_01

Role Name を入力し、AdministationAccess ControlDLPEvents and Analytics の4つのみチェックをいれます。

importing-logs-into-ng-siem-netskope_05

同画面を下にスクロールし、フィルタ等が無い状態にし、Permission は一度すべてNoneとする

importing-logs-into-ng-siem-netskope_06

※現在のテナントの実装においては確実にページがまたがるため、すべてのページのPermissionを一旦Noneにする。以下はRows per page: 100の参考イメージとなる。(1ページ目)

importing-logs-into-ng-siem-netskope_07

(2ページ目)

importing-logs-into-ng-siem-netskope_08

Netskope側で以下のAPIアクセス権限(のみ)が必要となりますのでVIEW(Read)権限で設定していきます。

【CrowdStrike側からNetskope側にAPIアクセスする際に必要なアクセス権限:9件】

Endpoint Function PREVILEGE
/api/v2/events/dataexport/events/audit Administration > Audit Log VIEW(Read)
/api/v2/events/dataexport/events/incident DLP > Incident VIEW(Read)
/api/v2/events/dataexport/events/infrastructure  Infrastructure > Infrastructure Log VIEW(Read)
/api/v2/events/dataexport/events/infrastructure 

Infrastructure > On-Premises
※Infrastructure Logを有効化するために必要

 VIEW(Read)
/api/v2/events/dataexport/events/alert Skope IT > Alerts VIEW(Read)
/api/v2/events/dataexport/events/application Skope IT > Application Events VIEW(Read)
/api/v2/events/dataexport/events/page  Skope IT > Page Events VIEW(Read)
/api/v2/events/dataexport/events/network Skope IT > Network Events VIEW(Read)
/api/v2/events/dataexport/events/endpoint  Skope IT > Endpoint Events VIEW(Read)

以下、Alertsの例となりますが、参考に設定を実施していただければと思います。(

  • 例:Add Filter で API:Alerts で検索し、Skope IT > Alerts のみ View にチェックをつける

importing-logs-into-ng-siem-netskope_09

最終的には以下のようなかたちとなります。※確認時はAdd Filter > Permissions:View を設定するのが見やすいです。

importing-logs-into-ng-siem-netskope_10-1

Save します。

importing-logs-into-ng-siem-netskope_11

1-2. Service Account 作成&Role紐づけ&API発行

Administrators タブ > Service Account で以下のようにService Account を作成する。

importing-logs-into-ng-siem-netskope_12

以下のようにトークンを作成し、テキストに保存する。

importing-logs-into-ng-siem-netskope_13

2. NG-SIEM側でデータコネクターを利用しNetskopeのログを取り込む

CrowdStrikeのテナントより、データコネクター > データ接続 で設定を行っていきます。

log_import_with_ng-siem_okta_01-1

接続の追加をクリックします。

log_import_with_ng-siem_etc01

コネクター名でフィルターで「Netskopeを指定します。

importing-logs-into-ng-siem-netskope_01

Netskope Security Service Edge Data Connector」をクリックすると「新しい接続」画面が右側に表示されるため「設定」をクリック。

importing-logs-into-ng-siem-netskope_02

以下のように設定を行います。「Manage」をクリックしてAPIトークン等を入力するNetskope Security Service Edge Data Connectorの設定で設定を作成し、Data souce configuration のコンフィグとして紐づけます。

importing-logs-into-ng-siem-netskope_03

「1. NetskopeでAPIトークンを発行する」より発行したAPIトークン、その他入力し接続を作成します。

importing-logs-into-ng-siem-netskope_04

作成した接続先が「Active」 となることを確認し設定が完了です。

importing-logs-into-ng-siem-netskope_14

さいごに

今回はNetskopeのログを CrowdStrike NG-SIEM (Falcon LogScale) に取り込む方法についてご紹介いたしました。※CrowdStrike・Netskopeのテナント画面は2026年1月時点のものとなります。

この記事が、皆様のセキュリティ対策や、CrowdStrike NG-SIEM (LogScale)の運用の一助となれば幸いです。

CrowdStrike についてのお問い合わせ

まずはNG-SIEM 10GB Free を利用したスモールスタートで、最も重要なログから統合してみませんか?

ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!

SaaSバナー_CrowdStrike

, ,