はじめに

皆さんこんにちは！
本日は弊社で今年取り扱いを開始いたしましたCrowdStrikeについて、Crowd Accelerate ‐ Tokyoに参加した際のレポートとなります！

---

Crowd Accelerateとは？

CrowdStrikeが4半期ごとにパートナーSE（エンジニア）や営業向けに新製品や新機能などのアップデート情報、販売促進をサポートする内容を含めたCrowdStrike認定パートナー限定のイベントでございます。
例年はアップデート情報＋懇親会が開催されておりましたが、今回は2部制となっておりNG-SIEMのトレーニング含めた内容となっておりました。
今回は、イベントの内容の一部分ご紹介させていただきます。

■イベント概要
Crowd Accelerate - Tokyo
日程:2024年10月24日（木）
会場:日比谷国際ビルコンファレンススクエア
主催:クラウドストライク合同会社様
・アジェンダ
　第一部:注力製品Techトレーニング
　第二部:営業目線での提案ポイント、Fal.conアップデート、NG-SIEMデモ＋懇親会

　

第一部:注力製品Techトレーニング

今年CrowdStrikeが注力しているNG-SIEMに関する機能紹介や活用できるツールのご紹介がされておりました！

・Falcon NG-SIEMとは？
CrowdStrikeが現在提供しているセキュリティソリューションに加えてサードパーティ製品も連携することで、セキュリティデータの収集、分析、相関付けを行うプラットフォーム。
NG-SIEMはリアルタイムでの脅威検知やインシデント対応を支援し、企業のセキュリティ姿勢を強化することを目的としている。
従来のSIEMの機能に加えクラウドネイティブのアプローチやAI・機械学習を活用して、より迅速かつ効果的に脅威を特定。また、さまざまなデータソースからの情報を統合し、インシデントの相関分析を行うことで、セキュリティチームが迅速に対応が可能。

CrowdStrikeはエンドポイントを中心にIdentity、クラウド、脆弱性管理等のセキュリティソリューションを提供するセキュリティプラットフォームベンダーです。個人的にはCrowdStrikeを検討することで、いきなり各サードパーティ製品を連携してSIEMを導入するのではなく、お客様のセキュリティの課題に合わせてEDR、Identity、Cloud等段階的に導入して統合的に運用する際にNG-SIEMを利用出来るという点が運用者の負担も少なく導入できるポイントだと思います。

第一部の最後には実際にCrowdStrike様がNG-SIEMを最大限に活用できるようなデモツールのご紹介がありました。第二部NG-SIEMのご紹介で管理コンソールの画面は触れますが、ダッシュボードはお客様自身でカスタマイズすることが可能です。CrowdStrike様がGithub上でテンプレートを公開しており日本語版もございます。
下記がサイトURLと実際の画面の一例となりますが、セキュリティの統合、ハンティング、対処についてかなり直感的な操作が出来る印象を受けました。

▼NG-SIEM日本語ダッシュボードのテンプレート
https://github.com/sgmr-gr/NG-SIEM/tree/main

　第一部の最後にCrowdStrikeのE-learningサイトを使ってNG-SIEMに関するテストがありましたが、弊社メンバーは事前にPassしており無事第一部は終了しました。。

　

第二部:Fal.conアップデート、NG-SIEMデモのご紹介

第二部では営業面でのCrowdStrikeを提案する際のポイントや先日ラスベガスで開催された年次イベントであるFal.conのアップデート情報、NG-SIEMの画面デモについてセッションがありました。そこで技術的なピックアップについてご紹介させていただきます。
※アップデート情報については文字だけのご紹介となる点、ご了承いただければ幸いです。

・Fal.conアップデート情報

今年のFal.conでは各製品についてアップデート情報がありましたが、本記事では全般的な内容とアップデートの多かったCloud Securityについてピックアップさせていただきます。

・全般:Project Kestrel
概要:Falcon PlatformのUIが刷新
シンプルでわかりやすいユーザーエクスペリエンスを核に利用者の用途に合わせてカスタマイズ出来るUIに刷新される予定です。用途に合わせてカスタマイズできる事によって、各セキュリティアラートに対する対応速度の迅速化が見込めます。

・Cloud Security:DSPM
概要:Flow Security買収に伴いDSPM領域のコンソール統合
CrowdStrikeは先日、DSPM*製品を提供しているFlow Securityを買収しFalconに統合することを発表しました。
・DSPM（Data Security Posture Management）とは？
クラウド上のデータを検出、可視化しそのデータが適切にセキュリティ対策や保護を受けているかチェックする機能を提供。機密情報などを常に監視するため、攻撃経路の検知を自動実施、データ漏洩や窃取のリスクを低減する。

・Cloud Security:AI-SPM
概要:クラウド環境に展開されたAIモデルとサービスを可視化
AI-SPMと呼ばれる領域で生成AI、AIサプライチェーンの全体にわたる可視化および制御を実施する機能がこちらも今後Falconに統合予定でございます。昨今急速に利用が普及している生成AIから設定ミスのあるAIサービスの検出や脆弱性の可視化を行い、セキュリティコンプライアンスを維持する目的で利用できます。

・NG-SIEMデモのご紹介

第二部後半のセッションではNG-SIEMの実画面でデモのご紹介がされておりました。ここではセッションの中でもご紹介があったデプロイ、インシデント画面、対処方法について実際の画面からご紹介させていただきます。

・デプロイ:サードパーティ連携
CrowdStrikeのセキュリティ製品をすでにご利用であれば各領域のアラート情報はNG-SIEMに集約されるため特段設定は不要です。そのためデプロイで必要な操作はサードパーティ製品との連携でございます。こちらはすでにCrowdStrikeが連携する際に必要となるコネクターをすでに幅広くテンプレートとして公開しているため、APIキーとURLを基にサードパーティ製品と連携するだけでご利用が可能です。

・インシデント、アラート検知
SIEMなので、サードパーティ含めたアラートを単一画面でグラフィカルに表示しますがCrowdStrikeのNG-SIEMでは幅広い相関ルールからCrowdStrike製品とサードパーティ製品を相関的に分析し一元的にアラートを検出します。

・対処、インシデントレンスポンス
対処方法についてもいくつかご紹介されておりました。まずはSOARが標準的に実装されており、SIEMで検知したアラートに対してワークフローを設定することで、利用者の調査および対処を自動化することが可能です。また、テンプレートもコンソール上でいくつかあるためあまり抵抗がなく利用ができる点も良いかと思います。
SOARについては弊社もブログ記事を公開しておりますのでご興味ある方はぜひご覧ください。
【CrowdStrike】Fusion Workflowでセキュリティ運用を自動化しよう！

また、デモの中ではCrowdStrikeの生成AIであるCharlotte AIを用いたアラートの要約や対処までを自然言語形式で案内する画面も公開されておりました。
セキュリティのための生成AIは現在各ベンダーが急速なアップデートを図っているためCrowdStrikeもCharlotte AIの今後に要注目です。

　

まとめ

私自身このイベントに参加させていただいたのは3回目ですが、CrowdStrikeが掲げている「We Stop Breaches」、脅威を止めることに対してのアップデートがかなりはやい印象をうけました。
4半期に一度本イベントが開催されておりますが、毎回新たなアップデート情報や新機能のご紹介がございます。

また、CrowdStrikeといえばエンドポイント、EDRの印象が強いですが今回メインでご紹介させていただいたNG-SIEMを始めIdentity、Cloud Security、脅威インテリジェンス、エクスポージャーマネジメント等多数のセキュリティソリューションを提供しているセキュリティプラットフォームベンダーです。こちらについてはエンドポイント以外の領域について我々も発信していきますので今後も本ブログをご覧いただければ幸いです！

最後に・・・
CrowdStrike様のセッションの写真でございます。