2024.12.03

みなさん、こんにちは！
今回はCrowdStrike 2024年11月アップデート情報を配信いたします！

今月はNG-SIEM関係の製品アップデートが多くありました。また、Cribl とNG-SIEM領域においてのパートナーシップがブログ記事となっていました。

※配信されている情報を収集しまとめておりますが、ある程度重要度が高いと感じるものに絞っております。情報配信に抜け漏れが発生している可能性や環境に応じてアップデートの状況が異なりますので適宜メーカーサイト等をご確認いただけますと幸いです。

では、本編です

Marketing Topics

セミナー

CrowdTourが東京→大阪→名古屋と続きます。

CrowdTour24 Osaka

2024年12月5日(木)

・概要
この度弊社では「CrowdTour24 - Osaka」と題し、クラウドストライク主催のお客様とパートナー様向けの過去最大規模のイベントを12月に開催する運びとなりました。米国ラスベガスで毎年開催されているFal.Conというイベントの日本版の位置付けとなり、テクニカルセッション、パートナーセッション、導入事例と展示を通して、一日を通して、皆様のビジネス拡大に役立つ情報をお届けするイベントとなります。

・登録URL
https://www.crowdstrike.jp/events/crowdtour24osaka/

CrowdTour24 Nagoya

2024年12月10日(火)

・登録URL
https://crowdtournagoya.splashthat.com/

ウェビナー

2024年版グローバル脅威レポートについてのバーチャル説明会

オンデマンド　～12月末まで公開

・概要
クラウドストライクのCounter Adversary Operations担当シニアバイスプレジデントのAdam Meyersと、アメリカ地域担当最高技術責任者 (CTO) Cristian Rodriguezによる、独占脅威ブリーフィングをご覧ください。以下の内容を含む、最新の攻撃者の傾向と「クラウドストライク2024年版グローバル脅威レポート」の重要な調査結果について紹介します。

2023年に追跡を始めた新たな攻撃者と注意すべき事項

クラウド環境への侵入が大幅に急増した背後にある物語

ステルス性の高いアイデンティティベースの戦術使用の増加

ソフトウェアサプライチェーンの悪用の急増

管理対象外のデバイスおよびサポート期間が終了したシステムの悪用

生成AIが攻撃者の能力アップにどのように役立っているか

・URL
https://www.crowdstrike.jp/resources/crowdcasts/global-threat-report/

AI-Native SOC Summit:次世代SIEMの登場

オンデマンド　～12月末まで公開

・概要
今年必見のSOC変革イベントにご参加ください。業界のパイオニア、クラウドストライクのイノベーター、サイバーセキュリティの専門家が、これまで以上に迅速かつ効率的に侵害を阻止できるようにSIEMを再構築する最新のイノベーションを明らかにします。

・URL
https://www.crowdstrike.jp/resources/crowdcasts/ai-native-soc-summit-next-gen-siem/

プレスリリースとリソース

■プレスリリース

更新なし

■リソース

包括的なクラウドセキュリティのためのバイヤーズガイド

このバイヤーズガイドでは、適切なクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) とパートナーを選定するための明確な基準を提示します。今すぐダウンロードして以下をご確認ください。

CNAPPを成功させるための5つの柱

適切なCNAPPでどのようによりスマートかつ高速なクラウドセキュリティを実現できるか

企業におけるクラウド化を加速する、適切なプラットフォームとプロバイダーの選定基準

https://www.crowdstrike.jp/resources/guides/the-buyers-guide-to-complete-cloud-security/

ユーザー事例

【事例公開】ユーザー事例：株式会社博報堂プロダクツ様

『そばにスペシャリストがいる感じです』深い調査から修復まで完璧に対応するMDRでエンドポイントを脅威から保護
2019年に導入したが運用は外部SoCに委託しており、検知・ブロック以降の作業はユーザー責任となるのでメーカーMDRに安心感を感じFalcon Completeを採用した。

https://www.crowdstrike.jp/resources/case-studies/hakuhodo-products/

ブログ

日本語ブログ公開なし
CrowdStrike and Cribl Expand Partnership with CrowdStream for Next-Gen SIEM

CrowdStrikeとCriblのNG-SIEMにおけるパートナーシップについて記載されています。
Cribl(https://cribl.io/)は、データの関連性をパイプライン化することに長けたベンダーです。

CrowdStream は、 Falcon Next-Gen SIEM のネイティブ機能です。Cribl Stream との既存の統合に加え、CrowdStream を使用すると、セキュリティチームは、データソース接続の複雑さとコストを最小限に抑えながら、あらゆるソースから CrowdStrike Falcon® プラットフォームまたは選択した宛先にデータを簡単に接続してルーティングできます。

https://www.crowdstrike.com/en-us/blog/cribl-partnership-crowdstream-expansion/

CrowdStrike Partners with MITRE Center for Threat-Informed Defense to Launch Secure AI Project

CrowdStrike が MITRE 脅威情報防御センターと提携し、セキュア AI プロジェクトを開始
2021年に開始されたMITRE ATLAS は、大規模言語モデル (LLM) に基づくシステムを含む AI 対応システムに対して使用される TTP をキャプチャして定義するための、世界的に評価の高い MITRE ATT&CK® マトリックスをモデルにしたフレームワークでした。
SecureAIプロジェクトは、ATLASフレームワークを強化するべくAI対応サイバーセキュリティプロジェクトであり、CrowdStrike が、脅威情報防御センターの研究パートナーとして、実際の敵対的攻撃で観察されたインシデントに関する専門知識と匿名化された情報を提供することで、Secure AI プロジェクトに貢献しました。

https://www.crowdstrike.com/en-us/blog/mitre-center-for-threat-informed-defense-secure-ai-project-partnership/

CrowdStrike Launches AI Red Team Services to Secure AI Innovation

CrowdStrike、AIイノベーションの安全確保のためAIレッドチームサービスを開始
CrowdStrike Services チームによる最新の画期的な進歩であるCrowdStrike AI Red Team Services（https://www.crowdstrike.com/en-us/services/ai-red-team-services/）を発表します。CrowdStrike AI Red Team Services は、AI システムとその統合に対するプロアクティブなセキュリティ評価を提供し、新たな脅威に対して厳密にテストすることで、悪用される前に潜在的な脆弱性を特定して軽減します。

https://www.crowdstrike.com/en-us/blog/crowdstrike-launches-ai-red-team-services/

Technical Topics

リリースノート

各プロダクトごとのリリースノートをまとめています。

リリースノートは以下の環境のアップデートを記載しています。
環境に応じてアップデート時期が前後する可能性があるためご了承ください。

US-1
US-2
EU

資料作成時点でのアップデート内容をまとめたものになります。内容やURLは更新される可能性があります。

Falcon Sensor for Windows　アップデート情報サマリー

Release Notes: Falcon Sensor for Windows 7.20.19009

■New
・機械学習 (ML) 検出のための証明書ベースの許可リストのサポートが追加されました。詳細については、「Windows 証明書ベースの機械学習の除外」を参照してください。
・Falcon Data Protection のコンテンツ分類エンジンが改善され、データ識別の精度が向上し、誤検知の発生が減少しました。
・Windows Server オペレーティングシステムを実行しているホストで DLL が読み込まれたときに、追加のテレメトリと検出ロジックを評価するためのサポートが追加されました。この機能は、Windows 防止ポリシー UI の「拡張 DLL 読み込み可視性」トグルによって有効になります。

■Fixed
Windows 10 以降に影響するユーザーアカウントイベントテレメトリの問題を修正しました。この問題では、ローカルグループから削除されたユーザーが、ローカルグループに追加されたと報告されていました。この問題は、以前にサポートされていたすべてのセンサーバージョンに影響していました。

https://falcon.us-2.crowdstrike.com/support/release-notes/release-notes-falcon-sensor-for-windows-7-20-19009

Falcon Console　アップデート情報サマリー

Release Notes: Falcon Console, Week of November 25, 2024

■New

・Falcon Foundry オンデマンドワークフローを他のオンデマンドワークフローと同様に実行できるようになりました。ワークフローを実行する権限がある場合、Foundry で作成されたオンデマンドワークフローの Falcon Fusion SOAR コンテキストメニューに、ワークフローの実行アクションが含まれるようになりました。Foundry を使用したワークフローの作成については、「ワークフローテンプレートビルダー」を参照してください。オンデマンドワークフローの実行については、「オンデマンドでワークフローを実行する」を参照してください。

・CrowdStrike Ideas を更新し、Falcon Complete と Overwatch のカテゴリを別々にしました。

https://falcon.us-2.crowdstrike.com/support/release-notes/release-notes-falcon-console-week-of-november-25-2024

Identity Protection　アップデート情報サマリー

Release Notes: Falcon Identity Protection 5.81.68418

■New
・疑わしい Web ベースのアクティビティ (ML)の検出精度が向上しました。
・証明機関の構成に基づいて、攻撃パスに脆弱な証明書テンプレート名を追加しました。関連する攻撃パスの詳細については、「Identity Protection の証明機関サーバーと関連する攻撃パス」を参照してください。
・アクティブユーザー数を反映する新しいカスタムインサイトを追加しました。
・Identity Protection は、AWS IAM Identity Center 用の ITDR を提供するようになりました。詳細については、「AWS アカウント登録」を参照してください。

■Fixed
・疑わしい Web ベースのアクティビティ (ML)の検出で、位置座標が正しい緯度、経度ではなく、経度、緯度として誤って表示される問題を修正しました。
・PDF 作成時のエラーによりカスタムレポートの生成に失敗する問題を修正しました。
・パスワードがリセットされたにもかかわらず、パスワードリセットワークフローが失敗したと誤って表示される問題を修正しました。
・攻撃パスにおいて、対応していないオブジェクトタイプに対して継承された権限が誤って表示される問題を修正しました。

■Known issues
このリリースでは既知の問題はありません。

https://falcon.us-2.crowdstrike.com/support/release-notes/release-notes-falcon-identity-protection-5-81-68418

ITハイジーン　アップデート情報サマリー

Add External Assets from the Falcon Console

■New
CrowdStrike は、インターネットスキャンによって収集されたデータを使用して、外部攻撃対象領域の最新のインベントリを自動的に作成し、維持します。インベントリに表示されない資産がある場合は、Falcon コンソールから攻撃対象領域に追加できるようになりました。UI または API 経由で資産が追加されると、デジタルフットプリントが次に更新されるとき (24 時間以内) に次の処理が行われます。

　・資産は Falcon EASM インターネットスキャナーによってスキャンされ、インターネットに公開されているかどうか、またそれぞれにどのような脆弱性や誤った構成が存在するかが判断されます。
　・Falcon EASM は、これらのアセットをスキャンするときに収集されたメタデータを使用して、追加の類似アセットを検索します。

Falcon コンソールから外部アセットを追加するには、[Exposure management] > [Setup] > [Add external asset]に移動します。追加されたアセットと発見された脆弱性は、デジタルフットプリントが更新されると UI に表示されます。更新は 24 時間ごとに行われます。このリリースでは、従来の UI から外部アセットを追加する機能は廃止されました。

https://falcon.us-2.crowdstrike.com/support/release-notes/add-external-assets-from-the-falcon-console

クラウドセキュリティ　アップデート情報サマリー

Release Notes: DSPM Identifies Sensitive Data in Amazon S3 Buckets

※CloudSecurityにDSPM機能がリリースされたようです。
CrowdStrike は、コアデータセキュリティポスチャ管理 (DSPM) 機能を Falcon Cloud Security のお客様に提供しています。DSPM を使用すると、顧客情報やクレジットカード情報などの機密データがクラウド環境のどこに保存されているかを特定できるため、これらのデータが適切な場所にのみ保存され、適切なセキュリティ制御が実施されていることを簡単に確認できます。

DSPM はデータサンプリングアプローチを使用して、Amazon S3 バケット内のデータをスキャンします。スキャンは、Falcon Cloud Security に登録されている AWS アカウントに対して DSPM を有効にすると開始され、3 か月ごとに繰り返されます。スキャンは完全に AWS 環境で実行され、検出結果に関するメタデータのみが CrowdStrike に送信されます。

https://falcon.us-2.crowdstrike.com/support/release-notes/release-notes-dspm-identifies-sensitive-data-in-amazon-s3-buckets

Release Notes: Falcon Application Security Posture Management version 1.6.0

※CloudSecurity　ASPM機能の機能更新です。
・ビジネス重要度を使用して、優先して注意を払う必要があるビジネスアプリケーションとサービスを特定します。Falcon Application Security Posture Management バージョン 1.6.0 を使用すると、ビジネス重要度を手動で設定できるため、組織にとって最も重要なビジネスアプリケーションとサービスをすばやく特定し、それに応じてリソースを割り当てることができます。

・ノードを識別するための新しい方法を実装し、NODE_IDおよびRelayNodeId環境変数の必要性を排除しました。新しく作成されたリレーノードの場合、これらの変数はシステムで生成されず、必要もありません。

https://falcon.us-2.crowdstrike.com/support/release-notes/release-notes-falcon-application-security-posture-management-version-1-6-0

NEXT-GEN SIEM アップデート情報サマリー

Release Notes: Fusion SOAR Library of Actions, Apps, and Playbooks

Fusion SOAR > Fusion SOAR > コンテンツライブラリ
アプリ、プレイブック、アクションなどワークフローの設定に使用できるワークフローコンテンツがライブラリに表示されるようになりました。

https://falcon.us-2.crowdstrike.com/support/release-notes/release-notes-fusion-soar-library-of-actions-apps-and-playbooks

Feature Release Notes: Detection Coverage Management

次世代 SIEM > モニターと調査 > ルール
Falcon Next-Gen SIEM の検出範囲ダッシュボードを使用して、検出と MITRE ATT&CK 戦術とテクニックの範囲を視覚化します。
検出カバレッジダッシュボードには、次世代 SIEM から取り込まれたサードパーティデータを含む、Falcon プラットフォーム全体でカバレッジが確保されている MITRE ATT&CK テクニックが表示されます。カバレッジのギャップをすばやく特定して埋めたり、攻撃者ごとにテクニックをフィルタリングして関連するカバレッジを確認したりできます。

https://falcon.us-2.crowdstrike.com/support/release-notes/feature-release-notes-detection-coverage-management

Release Notes: SOC Efficacy Dashboard

SOC有効性ダッシュボードは、すべてのデータソースからのインシデントおよび検出データを脅威の状況に関する単一の直感的なビューに統合し、明確で最新のデータに基づいて意思決定を支援します。

https://falcon.us-2.crowdstrike.com/support/release-notes/release-notes-soc-efficacy-dashboard

Tech Alert: Required Changes to Fusion SOAR Workflow Integrations with Microsoft Teams and Deprecation of the Original CrowdStrike Store App

Microsoft は、Microsoft Teams 統合のために Falcon Fusion SOAR が使用する Office 365 コネクタを廃止します。Fusion SOAR のお客様は、ワークフローの一部として Microsoft Teams 内でメッセージを投稿するために、この統合を利用することがよくあります。次の廃止タイムラインと移行オプションを確認して、ワークフローが Microsoft Teams メッセージをシームレスに投稿し続けることができるようにしてください。

https://falcon.us-2.crowdstrike.com/support/release-notes/tech-alert-required-changes-to-fusion-soar-workflow-integrations-with-microsoft-teams-and-deprecation-of-the-original-crowdstrike-store-app

参考リンク

セミナー/ウェビナー
https://www.crowdstrike.jp/events/
プレスリリースとリソース
https://www.crowdstrike.jp/news/
https://www.crowdstrike.com/ja-jp/press-releases/?lang=1
https://www.crowdstrike.jp/resources/?lang=1
ユーザー事例
https://www.crowdstrike.jp/resources/case-studies/
ブログ
https://www.crowdstrike.com/en-us/blog/recent-articles/
リリースノート
https://falcon.us-2.crowdstrike.com/support/release-notes

※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
　正確性、最新性、完全性は保証できませんのでご了承ください。

他のおすすめ記事はこちら

CrowdStrikeに関する記事一覧

著者紹介

SB C&S株式会社
技術統括部第2技術部 2課
秋池幹直

【CrowdStrike】2024年11月 月イチ アップデート