こんにちは、 ネクストモード株式会社 の sobar です。
今回は、Netskopeのログを CrowdStrike NG-SIEM (Falcon LogScale) に取り込む方法についてご紹介いたします。
Netskopeには、アラートやイベントを記録する「Events & Alertsログ」と、すべての通信の生ログデータを記録する「Transaction Eventsログ」があります。 今回は前者の 「Events & Alertsログ」 をNG-SIEMに取り込む手順をご紹介します。
※ Transaction Eventsログについては、必要に応じてこちらのブログをご参照ください。
NG-SIEM (Falcon LogScale) はCrowdStrikeが提供するSIEMサービスです。従来のSIEMの課題であった高コスト、検索速度の課題を解決し、業務利用のログの一元管理が実施できます。NG-SIEM にログを一元的に収集・正規化し、利用状況の全体像を把握する基盤構築に寄与します。特徴や利用するメリット、詳細につきましては以下のブログも合わせてご参照ください。
その他のNG-SIEMの特徴やライセンスの詳細につきましては弊社までお問い合わせください。
CrowdStrike NG-SIEMにはNetskope専用のデータコネクターが用意されているため、スムーズに連携が可能です 。
【設定の流れ】
それでは早速Netskopeのデータを取り込むための設定を行っていきます。
1-1. Roles 作成
Netskope管理コンソールよりSettings > Administrators & Roles > Roles > New をクリック。
Role Name を入力し、Administation、Access Control、DLP、Events and Analytics の4つのみチェックをいれます。
同画面を下にスクロールし、フィルタ等が無い状態にし、Permission は一度すべてNoneとする
※現在のテナントの実装においては確実にページがまたがるため、すべてのページのPermissionを一旦Noneにする。以下はRows per page: 100の参考イメージとなる。(1ページ目)
(2ページ目)
Netskope側で以下のAPIアクセス権限(のみ)が必要となりますのでVIEW(Read)権限で設定していきます。
【CrowdStrike側からNetskope側にAPIアクセスする際に必要なアクセス権限:9件】
| Endpoint | Function | PREVILEGE |
| /api/v2/events/dataexport/events/audit | Administration > Audit Log | VIEW(Read) |
| /api/v2/events/dataexport/events/incident | DLP > Incident | VIEW(Read) |
| /api/v2/events/dataexport/events/infrastructure | Infrastructure > Infrastructure Log | VIEW(Read) |
| /api/v2/events/dataexport/events/infrastructure |
Infrastructure > On-Premises |
VIEW(Read) |
| /api/v2/events/dataexport/events/alert | Skope IT > Alerts | VIEW(Read) |
| /api/v2/events/dataexport/events/application | Skope IT > Application Events | VIEW(Read) |
| /api/v2/events/dataexport/events/page | Skope IT > Page Events | VIEW(Read) |
| /api/v2/events/dataexport/events/network | Skope IT > Network Events | VIEW(Read) |
| /api/v2/events/dataexport/events/endpoint | Skope IT > Endpoint Events | VIEW(Read) |
以下、Alertsの例となりますが、参考に設定を実施していただければと思います。(
最終的には以下のようなかたちとなります。※確認時はAdd Filter > Permissions:View を設定するのが見やすいです。
Save します。
1-2. Service Account 作成&Role紐づけ&API発行
Administrators タブ > Service Account で以下のようにService Account を作成する。
以下のようにトークンを作成し、テキストに保存する。
CrowdStrikeのテナントより、データコネクター > データ接続 で設定を行っていきます。
接続の追加をクリックします。
コネクター名でフィルターで「Netskope」を指定します。
「Netskope Security Service Edge Data Connector」をクリックすると「新しい接続」画面が右側に表示されるため「設定」をクリック。
以下のように設定を行います。「Manage」をクリックしてAPIトークン等を入力するNetskope Security Service Edge Data Connectorの設定で設定を作成し、Data souce configuration のコンフィグとして紐づけます。
「1. NetskopeでAPIトークンを発行する」より発行したAPIトークン、その他入力し接続を作成します。
作成した接続先が「Active」 となることを確認し設定が完了です。
今回はNetskopeのログを CrowdStrike NG-SIEM (Falcon LogScale) に取り込む方法についてご紹介いたしました。※CrowdStrike・Netskopeのテナント画面は2026年1月時点のものとなります。
この記事が、皆様のセキュリティ対策や、CrowdStrike NG-SIEM (LogScale)の運用の一助となれば幸いです。
まずはNG-SIEM 10GB Free を利用したスモールスタートで、最も重要なログから統合してみませんか?
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!