【CrowdStrike】自動リード機能について（NG-SIEM）｜Nextmode Blog

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。

今回はCrowdStrike Falcon の自動リード機能についてご紹介いたします。

自動リード機能 とは

CrowdStrike Falcon の自動リード（Automated Leads）は、AIを活用してセキュリティ脅威の兆候を自動的に検出し、優先順位付けされたリード（調査すべき事象）として提示されてくる機能です。

CrowdStrike Falcon のNG-SIEM の項目にありますが、Falconセンサーをインストールした端末（エンドポイント）からのリアルタイムおよび過去のセキュリティイベント（検知イベント、ログインイベント、プロセスイベントなど）も包括的に収集・分析を行っています。自動リードは以下のような仕組みと特徴があります。

自動リードの仕組み

• AIエンジン（CrowdStrike Signal）が、Falconセンサーやサードパーティデータから収集した大量のイベントを自動分析し、異常な振る舞いや脅威の兆候を検出します。

• 検出された事象は「自動リード」として生成され、優先度や確信度（Confidence Score）に基づいて提示されます。

• 確信度スコアは、行動の異常性や脅威の可能性を数値化したもので、管理者はしきい値（Threshold）を設定して、どのレベルからリードとして扱うかを調整できます。

• 自動リードは「次世代SIEM > 自動リード」から確認・対応が可能です。
  

主な特徴とメリット

• 手動でのルール作成や複雑なクエリ不要で、AIが自動的に脅威を抽出。

• サードパーティのログやテレメトリも統合し、広範な攻撃面をカバー。

• リードの量や精度は、しきい値や設定で柔軟に調整可能。

• 誤検知（False Positive）が多い場合は、しきい値の見直しやAIの学習状況を確認することで最適化が可能です。

運用上のポイント・ベストプラクティス

• 初期導入時はリードの量や精度を観察し、しきい値を自社の運用に合わせて調整することが推奨されます。

• 誤検知が多い場合は、正規の業務アクティビティをホワイトリスト化するなどの工夫が有効です。

• 定期的にCrowdStrike Falcon の自動リード用のAIエンジンがアップデートされますので内容の確認を行い、レビューを実施、運用最適化を図ることが重要です。

注意点・トラブルシューティング

• リードが多すぎる場合や精度が低い場合は、Confidence Thresholdの設定を見直してください。

• スコアリングが期待と異なる場合は、AIの学習状況やデータソースの設定もご確認ください。

• この自動リード機能により、SOCやセキュリティ担当者は膨大なイベントから本当に重要な脅威に集中でき、効率的なインシデント対応が可能になります。
  

この自動リードを裏で支えているのが、CrowdStrikeのAIエンジンである『CrowdStrike Signal』です。

CrowdStrike Signal評価システム

Signalによって生成された自動リードは、確信度スコアに基づいて分類され、優先順位が付けられます。

確信度スコアは、過去のアクティビティパターンに基づいて、振る舞いがどの程度異常かを測定するもので、影響を受けるホストとより広範なご使用環境の両方におけるアクションを比較します。スコアの範囲は1～100で、スコアが高いほどより不審なアクティビティであることを示します。

生成された自動リード の確認

確信度の高いものから生成された自動リードの確認を行っていきます。生成された自動リードの詳細を確認すると確信度の値に加え「大・中・小」といった記載もされてくるため（キャプチャ画像は「中」の例）、こちらの値も参考に運用時の対応方針を策定いただければと思います。

また、本自動リードの確認は説明 と 検知コンテキスト の内容を確認し、作成された自動リードがクローズ対応可能なものか、対処を行う必要があるものかを確認していきます。

Process tree タブからは該当するコンテキストのプロセスの関連を見れます。通常のエンドポイント検知で検知時の対応と同様にファイルや実行プロセス内容を確認していくかたちとなります。

• （参考）【CrowdStrike】Falconのアラート検知時の対応まとめ（Prevent＆Insight）

ステータスの編集も適宜行い、調査・対応が完了後には最終的には自動リードをクローズします。

自動リード機能必要ライセンス

自動リードはNG-SIEMの一機能であり、利用にはNG-SIEMの有効化が必要です。

NG-SIEMはエンドポイントからのリアルタイムおよび過去のセキュリティイベント（検知イベント、ログインイベント、プロセスイベントなど）を包括的に収集・分析します。NG-SIEM機能の内容については以下のブログも必要に応じてご参照ください。

• 【CrowdStrike】Falcon NG-SIEMで実現する「見えない」リスクを解消するログ統合と可視化について

• 【CrowdStrike】FalconのNG-SIEMでのログ集約環境の構築と可視化について

その他の詳細なNG-SIEM機能につきましては弊社までお気軽にお問合せください。 

参考

• 【CrowdStrike】自動リードが追加されたらSlack通知を行う設定について（CharlotteAI＆Fusion SOAR）
• Falconドキュメント > 次世代SIEM > 自動リード（※要US-2テナントログイン）

さいごに

今回はCrowdStrike Falcon の 自動リード機能についてご紹介いたしました。NG-SIEMを利用するために必要なサブスクリプションのひとつであるFalcon Insight は、CrowdStrike Falcon をご契約いただいている場合はPrevent（NGAV）とセットでご契約いただく場合が多いかと思いますので、是非本機能をご確認、ご利用してみていただければと思います。

この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike Falconの運用一助となれば幸いです。

CrowdStrike についてのお問い合わせ

ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください！