こんにちは、 ネクストモード株式会社 の sobar です。
今回はCrowdStrike Falcon の自動リードが新たに追加されたらSlack通知を行う設定についてご紹介いたします。
CrowdStrike Falcon の自動リード(Automated Leads)は、AIを活用してセキュリティ脅威の兆候を自動的に検出し、優先順位付けされたリード(調査すべき事象)として提示されてくる機能です。
CrowdStrike Falcon のNG-SIEM の項目にありますが、Falconセンサーをインストールした端末(エンドポイント)からのリアルタイムおよび過去のセキュリティイベント(検知イベント、ログインイベント、プロセスイベントなど)も包括的に収集・分析を行っています。以下のブログで内容をご紹介しておりますのでご参照ください。
以下よりCharotte AIよりSOARのワークフローを作成していきますが、Charotte AI については以下ブログも併せてご確認ください。
それでは自動リードが新たに追加されたらSlack通知を行うSOARを作成していきたいと思います。Charotte AIより以下のようなプロンプトを入力します。
Charlotte AI > 対話
| 自動リードが新たに追加されたらSlack通知を行うSOARを作成してほしい |
アクションの編集を行っています。Send Slack message をクリックします。
設定画面が開きますので、チャネルのところで送信するSlack チャネルを選択します。
今回は予め設定しておいたチャネルを選択しました。設定後次へをクリックします。※SOAR のSlackチャネルの設定については必要に応じて以下のブログをご確認ください。
次へ追加 よりSend Slack message の次のアクションや条件、ループなどを設定できますが、今回は設定不要ですので×でとじます。
ドラフトの保存、公開をそれぞれクリックして実施します。
必要に応じてコメントを入力し、ステータス:オン にし、ワークフローの公開 をクリックし、有効化します。
すべてのワークフローに作成したワークフローが追加されていることが確認できます。
今回はCharotte AIより自動リードが新たに追加されたらSlack通知を行うSOARの作成方法についてご紹介いたしました。アクションとしてSlack 通知を設定しましたが、アクションでメール通知を選択・設定することも可能ですので必要に応じてご確認ください。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike Falconの運用一助となれば幸いです。
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!