はじめに

皆様こんにちは。
本記事はCrowdStrikeの生成AIツールであるCharlotte AIについて、さらなる活用集のご紹介でございます。
前回の記事はこちらをご覧ください。

【CrowdStrike】Charlotte AIによる生成AIを活用したセキュリティ運用

　

Charlotte AIエージェントワークフロー

Charlotte AIを活用し、Fusion SOARに対するLLMの適用が可能となりました。
Fusion SOARに「Charlotte AI - LLM Completion」という設定が新たに登場し、生成AIを活用したさらなるアクションを実施できることが可能となりました。

本記事では、エンドポイント検知した際にCharlotte AIでアラートをトリアージした後に、「Charlotte AI - LLM Completion」にてトリアージに対する要約や分析結果を提供するようにプロンプトを作成、結果をメールで送るフローを作成します。
下記が実際のワークフローと通知されたメールの例となります。

それではやってみましょう。

　

設定手順

FusionSOARの設定をご紹介します。今回はトリガーとしてエンドポイント検知である「Alert>EPP Detection」、条件として特定のホストグループで実施するよう設定します。

次にアクションの設定です。
まず「Triage Alert with Charlotte AI」を設定し、アラート内容をCharlotte AIにて要約します。

次に、「Charlotte AI - LLM Completion」をアクションとして設定します。これはCharlotte AIでトリアージしたデータをChat GPTやClaudeに渡せるアクションとなり後段のアクションのためにプロンプトを入力、生成することが可能となります。
今回はエンドポイントアラートを要約し、推奨対処をわかりやすく段落別で表示させてくれうように以下プロンプトを入力してみます。
これにより、関連情報の参照や要約、対処方法の日本語での出力が可能となります。

最後に通知したいメールアドレスを設定すればワークフローの完成となります。

　

ワークフロー確認

テストマルウェアを検知させ、どういった結果が出るのか確認します。
まず端末内でテストマルウェアを実行するとCrowdStrikeがブロックした通知がされます。

Falconのコンソールでもアラートとして検知したこと、Fusion SOARでワークフローが実行されたことが確認できました。

最後に通知したメールをみてみます。
先程のプロンプトで要望した内容が忠実に再現されており、段階的に情報提供できていることが確認できました。テストマルウェアはCrowdStrikeで隔離済みではありますが今後の対策のために、感染経路の特定方法やシステムスキャン、ログ分析等の推奨対処事項がまとめられていることはありがたいですよね。

ここまでとなります。FusionSOARを活用することで、今まで以上にCharlotte AI活用の幅が広がったのではないかと思います。

　

まとめ

いかがでしたでしょうか。
本機能は2025/4/9に追加された機能で、実装直後に検証した結果を記載させていただきました。
先日投稿した記事のまとめ欄に記載させていただきましたが、生成AIのテクノロジーは日進月歩で進化を続けており、今後も引き続きアップデートされていく予想です。

Charlotte AIを含めたCrowdStrikeに関する記事は今後もどんどん投稿させていただきますので皆さまのお役立ち情報となれれば幸いです。

最後までご覧いただきありがとうございました！

---

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください