CrowdStrike、生成AIを活用する次世代SIEM「CrowdStrike Falcon Next-Gen SIEM」を発表：セキュリティソリューション

CrowdStrikeは次世代SIEM「CrowdStrike Falcon Next-Gen SIEM」を発表した。生成AIを活用した調査機能などを搭載し、AIネイティブなSOCの構築を支援する。

[後藤大地，有限会社オングス]

　CrowdStrikeは2024年5月15日、次世代SIEM（Security Information and Event Management）「CrowdStrike Falcon Next-Gen SIEM」を発表した。AIネイティブなSOCの構築を支援する機能が提供されている。

生成AIを活用した次世代SIEMの実力とは？

　CrowdStrike Falcon Next-Gen SIEMに含まれる主な機能は以下の通りだ。

生成AIや自動化関連の機能

• 生成AIツール「Charlotte AI」によるデータ分析：　セキュリティに特化したCharlotte AIを利用して「Falconプラットフォーム」の全てのデータを分析できる。このデータに加えて製品ドキュメントやナレッジベースに関する疑問を自然言語で質問できる（英語による質問および回答）
• Charlotte AIを活用した調査：　発生したインシデントについて、関連事象などと合わせて自動的にインシデントサマリーを生成することで、全てのセキュリティアナリストが状況を把握できるようサポートする
• 生成AIプロンプトブック：　標準搭載されたプロンプトブックによって、セキュリティアナリストが実施する検知や調査、ハンティング、対応などのワークフローのスピードが向上する
• SIEMとSOARをネイティブに統合：　「Falcon Fusion SOAR」のUIがモダナイズされ、ドラッグ＆ドロップ操作でハンドブックやワークフローを作成できるようになった。統合機能やアクションを追加できるライブラリーが用意されており、サイロ化したチームやツールを超えてセキュリティおよびITユースケースの自動化に役立てられる
• 調査と脅威ハンティングの自動化：　Falcon Fusion SOARで、脅威の調査やハンティングのワークフローを自動化できる。全データを対象にクエリを自動実行して結果を視覚化したり、サードパーティーツールのアクションを統合したりできる

検知と対応を一元化するデータエコシステムやコネクター

• データエコシステムの拡張：　新しいコネクターによってサードパーティーのITデータとセキュリティデータを統合し、「Falconプラットフォーム」で一元管理できるようになった
• 新しいクラウドコネクター：　「Amazon Web Services」（以下、AWS）や「Microsoft Azure」（以下、Azure）、「Google Cloud」に対応する包括的なコネクターを提供する。AWS用のコネクターは「GuardDuty」や「Security Hub」などの主要クラウドサービスに対応しており、Azure用のコネクターは「Microsoft Defender for Cloud」や「Microsoft Exchange Online」などに対応している
• 共通標準に基づいてデータを自動的に正規化：　新しいパーサーでデータの取り込みプロセスを合理化し、簡略化できる。サードパーティーデータを自動的に正規化し、共通標準に基づいてデータ構文を解析してスピーディーかつ精度の高い検出と対応が可能となった
• SIEMへのデータの取り込みを自動化：　新しいデータ管理機能によって、データ取り込みの健全性やボリューム、ステータスが容易に把握できる。カスタムパーサーを管理、編集して、オンプレミスのログコレクターなどの新しいデータソースを簡単に取り込める

アナリスト業務をモダナイズする革新的なインシデントワークベンチ

• インシデントの自動エンリッチメント：　アナリストが追加したインシデントのインジケーターに攻撃者の手法や関連するホスト・ユーザーデータ、脆弱（ぜいじゃく）性などのコンテキストを追加でき、調査時間を短縮できる
• ケース管理とインシデントに関する共同作業：　新たな拡張機能によってアナリストの共同作業および使い勝手が向上
• カスタムルックアップファイルで脅威インテリジェンスを強化：　脅威インテリジェンスやカスタムコンテンツを簡単に追加でき、手作業なしで検索精度を向上させられる