はじめに
こんにちは、 ネクストモード株式会社 の sobar です。
今回はCrowdStrike Falcon のFusion SOARと、Slack通知を行う設定についてご紹介いたします。
CrowdStrike Falcon のSOAR とは?
CrowdStrike Falcon のSOARは、CrowdStrike Falconプラットフォーム上で提供される統合型のSOARフレームワークです。
例えば、何らかのイベントや検知が発生した際にその条件に応じてアクションとして特定のSlackチャネルに通知する、といったようなことが実行可能です。以下でFalcon SOARについてのご紹介します。また、以下のようにアクションとしてSlackチャネルにメッセージ通知を行うワークフローを作成する場合、設定を行う設定方法についてご紹介します。
(※SOARワークフロー イメージ参考)
実行されるアクション にてSlackチャネルへの通知を選択・設定できますが、Slackチャネルの設定箇所へ別のところ(CrowdStrike Store)からとなりますのでその設定方法についてご紹介します。
(※SOARワークフロー > Slack通知アクションのチャネル設定 イメージ参考)
Falcon SOARの概要
- Falcon Fusion SOARは、セキュリティ運用の自動化とオーケストレーションを実現するための仕組みです。
- インシデント対応や脅威検知後のアクションを自動化し、セキュリティチームの負担を軽減し、対応速度を大幅に向上させます。
- 事前に用意されたプレイブック(自動化ワークフロー)を利用したり、独自のワークフローを作成したりできます。
主な機能
- ワークフローの自動化:検知から対応までの一連のプロセスを自動化。
- オーケストレーション:複数のセキュリティツールやサービスと連携し、統合的な対応を実現。
- プレイブック:よくあるインシデント対応手順をテンプレート化し、すぐに利用可能。
- 拡張性:APIやサードパーティ連携により、さまざまなユースケースに対応。
代表的なユースケース
- インシデント発生時の自動通知やエスカレーション。
- 脅威インテリジェンスとの連携による自動調査。
- 感染端末の自動隔離やユーザーアカウントの一時停止。
- レポート作成や証跡の自動記録。
利用の流れ
- Falcon Fusion SOARの管理画面から、既存のプレイブックを選択または新規作成。
- 必要に応じてワークフローをカスタマイズ。
- イベント発生時に自動でワークフローが実行され、対応が進行。
メリット
- 人手による対応を減らし、ミスや遅延を防止
- セキュリティ運用の標準化と効率化
- 迅速なインシデント対応による被害最小化
SOAR のSlackチャネルの設定について
※Slackチャネルの設定はCrowdStrike Store > すべてのアプリ よりSlack SOAR Actions > 設定 より行います。
Slack SOAR Actionsの設定 より送信するSlackチャネルの設定の追加・編集が実施できます。
設定する内容については名前と、送信するSlackチャネル の Incoming webhook URLの設定を行います。Incoming webhook URLの確認方法についてはSlackc のドキュメントをご確認ください。
参考
さいごに
今回はCrowdStrike Falcon のFusion SOARと、Slack通知を行う設定についてご紹介いたしました。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike Falconの運用一助となれば幸いです。
CrowdStrike についてのお問い合わせ
ネクストモードでは、Netskopeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!
