APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > CrowdStrike > 【CrowdStrike】API徹底解説 その1

【CrowdStrike】API徹底解説 その1

CrowdStrike EDR NG-SIEM Cyber Security サイバーセキュリティ ゼロトラスト

自己紹介

こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの田中と申します。
弊社でEDR製品を導入いただいたお客様のインシデント調査を主に担当しております。
その傍らプログラマーとしての経験と知識を生かしてセキュリティに関するウェブアプリケーションを設計構築するなどSOCチームのメンバーとして日々サイバーセキュリティと共に在るエンジニアです。

2025年は12回に渡ってCrowdStrikeの利用者視点で役に立つ情報をお伝えしています。

掲載月 トピック
1 2025/1 【CrowdStrike】FalconConsole徹底解説 その1
2 2025/2 【CrowdStrike】FalconConsole徹底解説 その2
3 2025/3 【CrowdStrike】FalconConsole徹底解説 その3
4 2025/4 【CrowdStrike】クエリー徹底解説 その1
5 2025/5 【CrowdStrike】クエリー徹底解説 その2
6 2025/6 【CrowdStrike】クエリー徹底解説 その3
7 2025/7 【CrowdStrike】API徹底解説 その1
8 2025/8 【CrowdStrike】API徹底解説 その2
9 2025/9 【CrowdStrike】API徹底解説 その3
10 2025/10 【CrowdStrike】Falcon Foundry徹底解説 その1
11 2025/11 【CrowdStrike】Falcon Foundry徹底解説 その2
12 2025/12 【CrowdStrike】Falcon Foundry徹底解説 その3

今回からクエリーと共に「CrowdStrike Falcon」の強力な機能の一つであるFalconの「API」に焦点を当て、その機能概要から具体的な活用方法まで詳細に解説します。

CrowdStrike APIとは

CrowdStrike APIとはプログラム的にアクションを実行することができるプログラミングインターフェースで多くのエンドポイントが提供されています。

公式ドキュメント falcon.us-2.crowdstrike.com

API (Application Programming Interface) とは、異なるソフトウェアやシステム間で機能を共有するための仕組みのことです。簡単に言うと、APIは「窓口」のようなもので、他のプログラムが提供する機能を利用するためのルールや手順を定めています。これにより、開発者は既存の機能を活用して効率的に開発を進めることができます。

CrowdStrike APIでは主に以下のアクションを実行できます。(ご契約のライセンスによって、利用可能なAPIのエンドポイントや機能が異なります。)

  • デプロイメントおよび管理API
  • エンドポイントセキュリティAPI
  • クラウドセキュリティAPI
  • SaaS Security APIs
  • アイデンティティ保護のAPI
  • エクスポージャー管理API
  • ファイル整合性監視API
  • 脅威インテリジェンスAPI
  • MDRおよびマネージド脅威ハンティングAPI
  • XIoTセキュリティ系API
  • IT Automation APIs

デプロイメントおよび管理API

SDKについて

これらのAPIを利用するために複数言語のSDKが提供されていることも大きな特徴です。 Falcon SDKは、お好みの言語を使ってすべてのCrowdStrike APIエンドポイントと対話形式で操作するためのオープンソースのソリューションを提供します。

SDK(Software Development Kit)とはソフトウェア開発キットの略で、アプリケーション開発に必要なツールやライブラリ、ドキュメントなどをまとめたものです。開発者はSDKを利用することで、ゼロから開発するよりも効率的に、そして短期間でアプリケーションを開発できます。Falconプラットフォーム利用者は最適な開発環境を利用して柔軟にAPIを組み込むことができます。

FalconPy (Python)

FalconPy SDKは、CrowdStrike APIにPythonネイティブのインターフェースクライアントを提供します。

PSFalcon(PowerShell)

PowerShellおよびPSFalcon SDKを利用してインシデント対応を可能にし、DevOps/DevSecOpsプロセスを強化できます。

goFalcon(Golang)

goFalcon SDKは、CrowdStrike APIにGolangネイティブのインターフェースクライアントを提供します。

Rusty Falcon(Rust)

Rusty FalconはRust SDKであり、すべてのCrowdStrike APIにクライアントインターフェースを提供します。

FalconJS(JavaScript)

FalconJSは、JavaScript用のSDKです。

CrowdStrike API仕様

CrowdStrike API仕様はSwagger UIで確認することができます。

Swagger UI は、OpenAPI (旧Swagger) 仕様で記述されたAPIドキュメントを、視覚的に分かりやすく表示し、インタラクティブに操作できるツールです。APIの仕様をHTML形式で表示し、エンドポイントやパラメータ、リクエスト・レスポンス例などを確認できます。また、実際にAPIを試せる「Try it out」機能も備わっており、API開発やテストを効率的に行う上で非常に便利です。

CrowdStrike API仕様へのアクセス(Swagger) falcon.us-2.crowdstrike.com

Swagger UI

Swagger UIを使うために[Authorize]をクリックして認証をします。

認証する

SOC業務で最もお世話になる「Alerts」APIを使ってみましょう。

Alerts API

[Try It Out]をクリックして利用できるようにします。

今回はエンドポイントプロテクション(epp)の情報を取得するためにfilterにproduct:'epp'を指定します。

エンドポイントプロテクション(epp)の情報を取得

[Execute]をクリックすると結果が返ってきます。

Alerts APIエンドポイントから返ってきた結果

まとめ

今回はCrowdStrike API、SDK、Swagger UIについて概要を解説しました。

CrowdStrike APIの機能は、単なるアラート取得にとどまりません。脅威インテリジェンスの参照、デバイス情報の取得、さらにはリモートからの端末隔離まで、多岐にわたる操作が可能です。これらのAPIを積極的に活用することで、日々の定型業務から解放され、よりプロアクティブで戦略的なセキュリティ対策にリソースを集中させることができます。

今後の連載の予定をご参考に興味があるトピックだけでもご覧いただければ幸いです。
少しでもサイバーセキュリティに興味を持っていただけるように楽しくお伝えしますのでお楽しみに。
最後まで読んでいただきありがとうございました。

0-WANについて

私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。 www.ap-com.co.jp

一緒に働いて頂ける仲間も募集しています

今までの経験を活かして、私たちと一緒にゼロトラスト分野で活躍しませんか? www.ap-com.co.jp