APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > CrowdStrike > 【CrowdStrike】クエリー徹底解説 その1

【CrowdStrike】クエリー徹底解説 その1

CrowdStrike EDR NG-SIEM Cyber Security サイバーセキュリティ
< techblogAPCについて(はじめにお読み下さい) >

自己紹介

こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの田中と申します。
弊社でEDR製品を導入いただいたお客様のインシデント調査を主に担当しております。
その傍らプログラマーとしての経験と知識を生かしてセキュリティに関するウェブアプリケーションを設計構築するなどSOCチームのメンバーとして日々サイバーセキュリティと共に在るエンジニアです。

2025年は12回に渡ってCrowdStrikeの利用者視点で役に立つ情報をお伝えします。 今回から「CrowdStrike Falcon」の強力な機能の一つであるFalconの「クエリー」に焦点を当て、その機能概要から具体的な活用方法まで、全3回にわたって詳細に解説します。第1回目は「イベント検索」についてご紹介します。

過去のCrowdStrikeに関する記事は以下の通りです。

1. イベント検索機能の役割

端末上では日々、膨大なシステムイベントが発生しています。この中には、サイバー攻撃の兆候や異常動作を示す重要な情報が隠れています。サイバー攻撃は、痕跡を細かなシステムイベントとして残します。プロセス起動、ファイル操作、通信発生など、これらを迅速に検索・分析できるかが、初動対応の成否を左右します。

CrowdStrikeのイベント検索機能は、端末上で収集された広範なイベントデータに対し、自由な条件で検索・抽出を行える仕組みです。GUIから手軽にクエリを作成でき、特定のプロセス、通信、ファイル操作などを効率よく絞り込めます。

イベントの調査について詳しくは以下のドキュメントをご覧ください。 参考:イベントの調査

Falconドキュメント イベントの調査

2. イベント検索画面

イベント検索にはEvent search(イベント検索)Advanced event search(高度なイベント検索)があります。

メニュー 次世代SEIM>ログ管理

Event search(イベント検索)は、CrowdStrikeクエリ言語の検索構文を使用せずにクエリを視覚的に作成することにより、FalconでXDR、調査、またはフォレンジックイベントを検索します。(検索範囲は契約しているモジュールにより異なります。)

「Investigate(調査)」>「Search(検索)」>「Event search(イベント検索)」

Advanced event search(高度なイベント検索)は、CrowdStrikeクエリ言語(CQL)での高度なイベント検索を使用して、環境内の疑わしい/悪意のあるアクティビティをすばやく分析、確認、ハンティングします。

「Next-Gen SIEM(次世代SIEM)」>「Log management(ログ管理)」>「Advanced event search(高度なイベント検索)」

3. 基本的な使い方

それでは、Falconコンソールでイベント検索を実行するための基本的な手順を見ていきましょう。

「Event search(イベント検索)」ではCQL検索構文を使用せずにGUI操作によって直感的にクエリを作成できます。 メニューから「Event search(イベント検索)」を選択して画面を表示します。

Event search(イベント検索)

以下の手順で検索を実行します。

  1. クエリ対象となる「Source(ソース)」を選択します。

    Source(ソース)

  2. クエリ対象となる時間範囲を選択するか、デフォルトの「Last 1 day(過去1日間)」を使用します。

    対象時間範囲

  3. 定義した条件の部分一致またはすべて一致を選択します。

    部分一致または完全一致指定

  4. 「events(イベント)」ドロップダウンで、クエリ対象となるイベントのタイプを選択します。

    events(イベント)

  5. フィールドを選択するか、デフォルトの「Any field(任意のフィールド)」を使用します。

    フィールド指定

  6. 目的の操作を選択するか、デフォルトの「is equal to(に等しい)」を使用します。

    演算子の指定

  7. 空白のフィールドで、目的の検索ワードを指定します。「*」(ワイルドカード文字)を指定することもできます。

    検索ワード

8.オプションとして、「別のクエリ条件行を追加」したり「Add conditional group(条件付きグループの追加)」で条件の細かい制御を行うことができます。

オプション

9.クエリーを実行します。表示形式は「イベント」か「テーブル」を選択できます。

クエリーを実行

テーブル表示の場合はフィールドを指定

フィールドはイベントで表示されるリンクから追加することも可能

イベント表示の場合は見やすいようにビューを切り替えて表示することができます。

ビューの切り替え(フォーマットされたビューまたは圧縮ビュー)

まとめ

今回はFalconConsoleのイベント検索画面についてご紹介しました。 Event search(イベント検索)では他にも検索クエリを保存して再利用したり検索をスケジュールすることもできますのでぜひご活用ください。

検索をスケジュール

今後の連載の予定をご参考に興味があるトピックだけでもご覧いただければ幸いです。
少しでもサイバーセキュリティに興味を持っていただけるように楽しくお伝えしますのでお楽しみに。
最後まで読んでいただきありがとうございました。

0-WANについて

私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。 www.ap-com.co.jp

一緒に働いて頂ける仲間も募集しています

今までの経験を活かして、私たちと一緒にゼロトラスト分野で活躍しませんか? www.ap-com.co.jp