自己紹介
こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの田中と申します。
弊社でEDR製品を導入いただいたお客様のインシデント調査を主に担当しております。
その傍らプログラマーとしての経験と知識を生かしてセキュリティに関するウェブアプリケーションを設計構築するなどSOCチームのメンバーとして日々サイバーセキュリティと共に在るエンジニアです。
2025年は12回に渡ってCrowdStrikeの利用者視点で役に立つ情報をお伝えする連載をスタートします。 今回のテーマは「FalconConsole徹底解説 その3」です。
過去のCrowdStrikeに関する記事は以下の通りです。
- 2024/12 CrowdStrikeに関する基本情報についてお伝えします。 - APC 技術ブログ
- 2025/01 FalconConsoleのダッシュボードとアラート画面についてご紹介します。 - APC 技術ブログ
- 2025/02 FalconConsoleのホスト管理と検索機能についてご紹介します。 - APC 技術ブログ
- 2025/03 FalconConsoleのレポート機能についてご紹介します。 - APC 技術ブログ
- 2025/04 今回から「CrowdStrike Falcon」の強力な機能の一つであるFalconセンサーの「クエリー」に焦点を当て、その機能概要から具体的な活用方法まで、全3回にわたって詳細に解説します。第1回目は「イベント検索」についてご紹介します。 - APC 技術ブログ
- 2025/05 Falconセンサーの「高度なイベント検索」についてご紹介します。 - APC 技術ブログ
基本的な使い方
FalconConsoleの主要な機能は以下のとおりです。
- ダッシュボード
- アラート画面
- ホスト管理
- 検索機能
- レポート機能
今回はFalconConsoleのレポート機能についてご紹介します。
CrowdStrikeの管理画面からユーザーガイドが利用できますので参考になさってください。
購入済の製品によって利用できるメニューが変わりますが現在0-WANで購入している検証環境では以下のメニューが利用できます。
1. レポートの役割
レポートの役割は以下の立場に対する内容が含まれることが一般的です。
| カテゴリ | 役割・立場 | 内容構成のポイント |
|---|---|---|
| 経営層・役員 | 意思決定・予算配分 |
・全体のリスク傾向 ・インシデント件数と影響 ・対応状況の改善傾向 ・件数の推移グラフ ・重大インシデントの概要3件程度 ・対応率/MTTRなどのKPIサマリ ・攻撃の傾向(業界トレンド視点も歓迎) |
| CISO / 情報セキュリティ部門長 | セキュリティ施策の統括 |
・リスクの変化 ・未対応リスクの把握 ・人・組織別の対応レベル ・検知重大度別の傾向 ・インシデント未対応数、対応平均時間 ・部門別・拠点別の比較 ・TTPの増減(攻撃タイプ別トレンド) |
| SOC / CSIRTアナリスト | 日常的な監視・対応 |
・直近の検知詳細 ・未対応インシデント一覧 ・MITREマッピング ・全検知ログ(フィルター済) ・ホスト名、ユーザー名、TTP分類 ・タイムスタンプ、ファイルパス、プロセスツリー情報 |
| IT運用チーム | セキュリティ対応の実行 |
・対象端末の情報 ・どのホストが要対応か ・パッチ・隔離対応の必要性 ・ホスト名+検知種別+推奨アクション ・対象ホストへの優先度付きタスクリスト ・リンク付きでFalcon UIへ誘導 |
セキュリティ製品は検知精度やリアルタイム性だけでなくその情報をどう伝え活かすかが運用の分かれ目です。 CrowdStrike FalconはEDR製品の中でも検知→可視化→共有の流れが短く、操作レスポンスも軽快で、UI中心の直感操作+API対応により、属人性を下げながら継続運用しやすい特性があります。これは、定期的な状況確認や外部共有用の資料作成、インシデント時の証跡保全など、幅広い用途で活用できます。
詳細はこちらのドキュメントをご参照ください。
2.ダッシュボードおよびレポート
ダッシュボードおよびレポートには以下のメニューがあります。
ダッシュボード画面
「ダッシュボードは、Falcon環境の情報を表す特定のビューです。各ダッシュボードは1つまたは複数のウィジェットで構成され、グラフ、カウント、リストなどによって情報が視覚的に表現されます。」(公式ドキュメントより抜粋)
「ダッシュボードでは、検知、最新のCrowdScore、ホスト情報、攻撃者、インテリジェンスなど、組織のFalcon環境に関するカウント、グラフ、トレンドを表示します。」(公式ドキュメントより抜粋)
ダッシュボード画面ではプライベート、共有、プリセット、レガシー、FoundryごとにFalconConsoleで利用可能なダッシュボードを管理することができます。
- プライベートダッシュボードは、その作成者だけが表示して編集できます。他のユーザーがそれらを表示または編集することはできません。ダッシュボードは右上の「ダッシュボードの作成」ボタンをクリックすると作成することができます。
- 共有したダッシュボードは組織の他の管理者ユーザーが表示、編集、削除できます。
- プリセットはFalconConsoleに事前に登録されたダッシュボードでよく使用するデータが事前に設定されているビューを表示することができます。
- レガシーは編集可能な新しいダッシュボード構成にまだ変換されていない旧来のダッシュボードです。
- Foundryは、Falconプラットフォームのデータと自動化機能を活用しユーザーが独自のカスタムアプリケーションを構築できるノーコードのアプリケーション開発プラットフォームで、構築したアプリケーションの情報を可視化し管理するダッシュボードです。
様々なプリセットダッシュボード
レポートスケジュール
「最も重要なデータを自動定期更新するには、レポートスケジュールを作成します。 ユーザーは、レポートスケジュールのダウンロードと共有を行うことができるほか、新規レポートが入手可能になるたびに通知を受け取ることができます。」(公式ドキュメントより抜粋)
「スケジュールすることができるのは、以下などに関するレポートです。(公式ドキュメントより抜粋)
- ご使用環境のホストのウィークリーサマリー
- 脆弱性が「Critical」に分類されているホストの数(日単位)
- エグゼクティブサマリーダッシュボードのマンスリースナップショット」
レポートスケジュール画面ではスケジュールしたレポートを管理することができます。右上の「レポートスケジュールの作成」ボタンをクリックすると作成することができます。
レポートスケジュールが実行されるたびに他のユーザーにアラートを送ることができます。 使用できる通知方法は以下のとおりです。
- メールの送信
- Slackメッセージの送信
- PageDutyインシデントの作成
- Microsoft Teamsメッセージの送信
- Webhook通知の送信
3.APIを活用したレポート生成
0-WAN SOCチームではCrowdStrike APIを活用して独自のレポートをお客様にご提供しています。
以下のレポートはFalcon SDKに含まれるFalconPy (Python)を使用してFalconプラットフォームからデータを収集し必要な情報を加工してBacklog向けのMarkdown形式文書を自動生成したものです。(Falcon SDKは、お好みの言語を使ってすべてのCrowdStrike APIエンドポイントと対話形式で操作するためのオープンソースのソリューションを提供します。)
まとめ
今回はFalconConsoleのレポート機能についてご紹介しました。 Falcon SDKを利用するとプログラミングに組み込んで柔軟に情報が加工できるのでお客様に合わせたレポートを出力したり、インシデントの際の調査に役立てることができます。ぜひご活用ください。
今後の連載の予定をご参考に興味があるトピックだけでもご覧いただければ幸いです。
少しでもサイバーセキュリティに興味を持っていただけるように楽しくお伝えしますのでお楽しみに。
最後まで読んでいただきありがとうございました。
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。 www.ap-com.co.jp
一緒に働いて頂ける仲間も募集しています
今までの経験を活かして、私たちと一緒にゼロトラスト分野で活躍しませんか? www.ap-com.co.jp
