はじめに

みなさんこんにちは
本記事では、CrowdStrike搭載の機能であるFusion SOARについて活用事例をいくつかご紹介させていただきます。
前回記事もあるため併せてご覧ください。
▼
【CrowdStrike】Fusion Workflowでセキュリティ運用を自動化しよう！

　

Fusion SOARとは？

本編に入る前に、まずFusion SOARについて解説させていただきます。
Fusion SOARは、特定のシナリオやインシデントに対するアクションを自動化することにより、本来セキュリティアナリストや管理者が実施すべきワークフローを自動化、合理化することができます。
ユーザーはCrowdStrikeで検知したインシデント、検知、ポリシー等に関する情報を基に、実行させるアクションを正確に定義するためにワークフローを作成することができます。
以前はFusion Workflowという名称で記事を投稿しておりましたが、現在はFusion SOARと名称が変更されております。　

　

活用例1

サーバーを隔離処理する際に管理者への承認を求めるSOARを作成いたします。
即座に隔離することが難しいサーバーに対して管理者承認というフローが必要な方、ぜひご活用ください。　

手順にまいります。
「Fusion SOAR」＞「ワークフロー」＞「ワークフローを作成」をクリックし、新規のワークフローを作成します。
トリガーとして「ワークフローを最初から作成」＞「次へ」＞「Alert>EPP Detection」＞「次へ」を選択します。これでエンドポイントの検知をトリガーとします。

次に条件の設定です。今回はSeverityをHigh以上を検知したWindows Serverを対象とします。
条件としてAND条件で2種類のパラーメーターを設定します。
　・条件1
　　パラーメーター:Severity
　　演算子 　　　 :is greater than or equal to
　　値　　　　　 :High
　・条件2
　　パラーメーター:Sensor host type
　　演算子　　　 :is equal to
　　値　　　　　 :Server

アクションの設定です。
「Request human input - Send email」を選択、メール本文に記載したい内容や通知先を設定します。必須情報として、メール題名と通知先を設定します。
その他、条件として管理者が承認する設定を入力します。

今回設定したSOARの全体像です。ワークフロー名とステータスをオン、「保存して終了」をクリックし完成となります。

動作確認です。
Windows Server内でテストアラートを発生させると、ワークフロー内で設定したメールが通知されて「Respond in Falcon」のリンクをクリックすると、Falconのコンソール画面にうつります。
「Approve」をクリックすると、Windows Serverに隔離処理が実行されます。
この部分が管理者のメールアドレスに設定することで、メールを通知→隔離というアクションを実行することが可能です。

　

活用例2

次に端末内でアラート通知した際、ポップアップ通知を実施するSOARを作成します。
デフォルトでは、タスクトレイ付近に通知されます。
こちらはポップアップ通知として表示、メッセージ内にセキュリティチームや情シスチームなどの連絡先を記載しておくことで、ユーザーに対してリアルタイムに連絡を促すことが可能であり、管理者さまもリアルタイムにアラート対応を実施することができます。

手順にまいります。
本手順ではリアルタイムレスポンスと連携してSOARを作成します。操作されるユーザーには「Real Time Responder - Administrator」の権限を付与いただいたうえで実施ください。

まず、ポップアップで通知および表示するメッセージを作成するカスタムスクリプトを作成します。「ホストのセットアップおよび管理」＞「レスポンススクリプトとレスポンスファイル」をクリック後に「カスタムスクリプト」のタブを選択、「＋スクリプトの作成」をクリックしてください。

スクリプトの作成になりますがスクリプト名や説明分は任意で入力いただき、シェルのタイプを「PowerShell」、スクリプトを以下のような例で入力します。
※本手順はWindowsで実施

↓メッセージの部分は任意の文言に変更してください。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

$Message = -join

("CrowdStrikeによる疑わしいファイルの検知が発生しました。", "不明な点がある場合は、内線番号#999に連絡してください。, サポートへの問い合わせ https://xxx-abc.com ")

$strCmd = "c:\WINDOWS\system32\msg.exe * " + $Message

iex $strCmd

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

また、注意点として「ワークフローとのスクリプト共有」必ずにチェックを入れてください。
チェックすることでSOARでスクリプトを選択できます。

作成後はスクリプトが正常に動作するかテストを実施します。
「ホストのセットアップおよび管理」＞「ホストの管理」からテスト対象の端末を選択します。
端末の「アクション」から「ホストに接続」をクリック、シェルの画面に偏移するので先程作成したスクリプトを実行します。正常に実行されると、テスト対象の端末からポップアップのメッセージが表示されます。

次にエンドポイントが検知した際に自動でポップアップを通知するワークフローを作成します。
「Fusion SOAR」＞「ワークフロー」＞「ワークフローを作成」をクリックし、新規のワークフローを作成します。

トリガーとして「ワークフローを最初から作成」＞「次へ」＞「Alert>EPP Detection」を選択し、「次へ」をクリックします。

次に条件の設定ですが、今回はWindowsOSを対象として作成します。
・条件
　パラーメーター：Sensor platform
　演算子：is equal to
　値：Windows

たとえば、特定のホストグループのみを対象としたい場合は「条件行の追加」でホストグループを指定してください。

最後にアクションの設定です。「アクション」を選択し、「その他（カスタム、Foundryなど）」から先ほど作成したスクリプトを選択します。
スクリプトを選択後、「次へ」を選択することでワークフローは完成となります。
最後に任意のワークフロー名とステータスをオンに変更いただくことで、設定は完了です。

ワークフローのおさらいです。
トリガー：エンドポイント検知
条件　：Windows OS（その他追加条件は作成可能）
アクション：スクリプト実行

動作確認です。テストファイルを実行するとCrowdStrikeが検知し設定したポップアップが表示されたことが確認できました。
実行ログからもステータスが「Complete」となり、SOARが実行されたことが確認できます。

以上で設定および動作確認完了となります。

　

まとめ

いかがでしたでしょうか。
今回はFusion SOARについて活用例を2件ご紹介させていただきました。エンドポイント以外のモジュールについても大いに活用できるため、また別の記事等でご紹介させていただければと思います。
ここまでご覧いただきありがとうございました！！