はじめに

みなさんこんにちは。

今回はFusion SOARについて、Charlotte AIを用いて自然言語形式でワークフローを作成できる機能が搭載されたため実際に触ってみた記事となります！
CrowdStrikeは、2025年10月27日から対象となるサブスクリプションをご利用のお客様向けに、Charlotte AIの無償利用権を付与することを発表いたしたしました。

クエリ制限（50クエリ）付きで利用出来ますのでぜひご活用ください！

※今回ご案内する記事に関して、投稿時点での情報となります。今後のアップデートにより手順等変更される場合がありますのでご了承ください。

・アジェンダ　

　・Fusion SOAR、Charlotte AIおさらい
　・必須要件
　・実際にやってみた
　・動作確認
　・その他活用法
　・まとめ

　

Fusion SOAR、Charlotte AIおさらい

今回登場するFusion SOAR、Charlotte AIについておさらいです。

・Fusion SOAR

サイバー攻撃に対する迅速な対応を支援するセキュリティオーケストレーション機能です。特定のシナリオやインシデントに対するアクションを自動化することにより、本来セキュリティアナリストや管理者が実施すべきワークフローを自動化、合理化することができます。最近では、NG-SIEM等でAPI経由でサードパーティ製品に対するアクションも拡充しています。
我々でも活用記事についてまとめておりますのでご興味ある方はぜひご覧ください。

・【CrowdStrike】Fusion Workflowでセキュリティ運用を自動化しよう！

・【CrowdStrike】Fusion SOARでセキュリティ運用を自動化しよう！〜第2弾〜

・Charlotte AI

生成AIを活用したサイバーセキュリティアシスタントツールです。​自然言語による質問・応答を通じて、セキュリティ業務の効率化と迅速な対応を支援するツールとなります。
いわゆる今何が起きているか、どういった対処を実施すればいいのかを質問し、Charlotte AIが回答してくれるようなものです。
なんと、こちらについても活用記事についてまとめておりますのでご覧ください。

・【CrowdStrike】Charlotte AIによる生成AIを活用したセキュリティ運用

・【CrowdStrike】Charlotte AIによる生成AIを活用したセキュリティ運用〜Charlotte AIエージェントワークフロー編〜

必須要件

本機能を利用にするにあたり必要となる要件となります。

・必要なライセンス： Charlotte AI
※対象となるサブスクリプションをご利用のお客様に提供されるCharlotte AIの無償利用権である50クエリでも利用可能です。

・必要となるロール

• Charlotte AIにプロンプ​​トを送信ために：Charlotte AI AnalystまたはFalcon Administrator

• Fusion SOARワークフローを編集して保存するには:Workflow AuthorまたはFalcon Administrator

　

実際にやってみた

もともとFusion SOARにてワークフローを作成する際には、大きく3点を考慮する必要がありました。
・トリガー：ワークフローを実行する起点となるもの
・条件：特定の条件下（Ex.Windowsのみ、特定ホストグループのみ..etc）で実行する場合に設定
・アクション：実行するアクション（Ex.メール/チャットツール通知、ウォッチリスト登録、端末隔離..etc）

以下、活用記事でも投稿させていただいたワークフローの例となります。今までは各項目について作成する必要があったのですが、これをCharlotte AIにて自然言語で作成してくれるとのことです。

実際にやってみましょう。手順としてはCharlotte AIの画面から操作します。
・Charlotte AI＞Charlotte AI＞対話

公式対応言語は英語となりますので、英語でプロンプトを作成してみます。
今回は、活用記事でも紹介したエンドポイント検知において、セキュリティ重大度が"高"以上のアラートを検知した際に端末隔離を実施するアクションをCharlotte AIに作成してもらうよう質問してみます。

質問の意図を読み取りSOARを作成してくれました。これはかなり魅力的ではないでしょうか。これまで、Fusion SOARの設定画面から各設定値を考慮する必要があったのですが、やりたいことを入力するだけで作成してくれます。
ちなみに、Charlotte AIの正式言語対応は英語のみですが、日本語でも読み取ってくれました。先ほど英語で質問した際と同じフローを作成してくれました。

フローを作成したところで、保存もしてくれるのか！！！やってみましょう。
シンプルですが、「保存して」とプロンプト文を質問してみたのですが、さすがに保存はできなかったです。。。しかし、回答の内容を見てみるとワークフローを回答した部分を読み取り、保存手順をご紹介してくれます。しっかり回答に従い、先ほど回答いただいたワークフローから「Fusionで編集」を選択します。

いつもの見慣れたFusion SOARのワークフロー図が出てきます。
フローの中身を見てみますが、しっかり質問した内容が反映されています。保存し、ステータスをオンにしましょう。
・トリガー：Detection ＞ EPP Detection
・条件　　：IF Severity is High or Higher
・アクション：Contain Device

　

動作確認

端末に対してテストファイルを実行し意図的に検知アラートを発生、設定されたアクションが実行されるか確認してみましょう。

エンドポイント検知にて重大度"高"で検知したことが確認できました。

Fusion SOARの実行履歴を見てみましょう。「監査ログ」からワークフローが実行されていることが確認できました。これにより、Charlotte AIで自然言語で作成したワークフローが正常に実行されたことが確認できました。
また、端末内の挙動およびFalconコンソールからも隔離状態であることが確認できました。これにて、Charlotte AIを用いたFusion SOARの作成について一通りのご紹介は以上となります。

※検証や確認等で実施する際は、隔離解除をお忘れなく・・・

　

その他活用法

こちらはご紹介となりますが、CrowdStrikeがすでに公開しているプレイブックを見つけるものにも役立ちます。
以下、例となりますがFalcon ITPにて「侵害されたパスワードを識別してリセットするための、Identity Protection用のFusion SOARプレイブックはありますか？」とCharlotte AIに質問すると、既に存在しているプレイブックから回答してくれます。

　

まとめ

いかがでしたでしょうか。
Charlotte AIとFusion SOARの連携により、これまで手作業で行っていたワークフロー構築が、自然言語だけで直感的に実現できるようになりました。
CrowdStrikeに関する記事は日々投稿させていただいておりますが、AIに関するアップデートはかなりのペースで進んでおり、今後もさらなるアップデートが発表されています。

まずは本記事からCharlotte AIを活用し、日々の運用効率化を体感してみてください。