APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > CrowdStrike > 【CrowdStrike】Charlotte AIをオプトインしてみた

【CrowdStrike】Charlotte AIをオプトインしてみた

CrowdStrike Cyber Security サイバーセキュリティ CharotteAI AI

自己紹介

こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの田中と申します。
弊社でEDR製品を導入いただいたお客様のインシデント調査を主に担当しております。
その傍らプログラマーとしての経験と知識を生かしてセキュリティに関するウェブアプリケーションを設計構築するなどSOCチームのメンバーとして日々サイバーセキュリティと共に在るエンジニアです。

先般より予告されていた、Charlotte AI オプトインと50クレジットプロモーションがリリースされました。
リリースノート:https://supportportal.crowdstrike.com/s/article/Release-Notes-Charlotte-AI-Opt-in-and-50-Credit-Promotion

今回のプロモーションにより、対象となる顧客は毎月更新される無料クレジットを受け取れるようになりました。
これにより、ついに、AIがセキュリティ運用をどこまで加速させるのかを直接確かめられるフェーズに入りました。

はじめに:なぜ今、Charlotte AIが必要なのか?

攻撃のスピードが激化する昨今のセキュリティ環境において、AIで武装した攻撃者は攻撃タイムラインを「数日」から「数秒」へと短縮させています。このスピードに対抗するため、Charlotte AIは以下の役割を担います。

  • スピードのギャップを埋める: 数時間かかる手動調査を、迅速かつ決定的なアクションへ変換。
  • 資源倍増による成果の最大化(Force Multiplier): アナリストを置き換えるのではなく、インサイトを得るまでの時間を加速させ、高優先度の脅威に集中できる環境を創出。

本記事では、Charlotte AIの概要からセットアップ手順、そして実働させて分かった運用プロセスの変化をレポートします。

Charlotte AIとは?:Agentic SOCの頭脳

Charlotte AIは、単なる生成AIアシスタントではなく、「Agentic SOCの頭脳」です。Falconプラットフォーム全体のAI機能を統合し、以下のメリットを提供します。

  • プラットフォームの習得: 自然言語で質問するだけで、ドメイン横断的な調査やドキュメント検索が可能。
  • チームの標準化: 調査のガイドや次ステップの推奨により、属人的な分析を高品質なワークフローへ変換。
  • 定型業務の自動化: トリアージやデータ正規化などの反復作業を専用エージェントに任せ、マシンのスピードで対応。
  • 設計によるガバナンス: 監査ログや適切なロール(RBAC: Role-Based Access Control)により、常に人間がコントロールを維持できる設計。

Charlotte AIは、CrowdStrike Falconプラットフォームに統合された生成AIベースのアシスタントです。

自然言語でのクエリ(例:「過去24時間で重要度の高いアラートを要約して」など)に対して、プラットフォーム内の膨大なデータを解析し、即座に回答を提示してくれます。

セキュリティアナリストの「ジュニアレベルのタスク」をAIが肩代わりすることで、人間がより高度な意思決定に集中できる環境を構築することを目的としています。

参考:Getting Started with Charlotte AI(User Guide) www.crowdstrike.com

50クレジットのオファーに含まれる機能(一部の機能には、特定のクラウドストライク製品が必要)

50クレジットのオファーには含まれない機能

オプトインの手順

Charlotte AIの有効化は、Falconコンソールから「Charlotte AI」>「Charlotte AIクレジットのオプトイン」 で「AIクレジットを入手」をクリックすることで完了します。

Charlotte AIのオプトインを有効化

運用前に知っておきたい「Charlotte AI クレジット」の仕組み

今回のプロモーションで最も重要なCharlotte AIを動かすための「通貨」となるクレジットの仕様を理解しておきましょう 。
注:以下は変更される可能性があります。

1. 毎月 50 クレジットが無償で提供

サブスクリプションを契約していない組織でも、Falcon Administrator(管理者)がオプトインすることで、毎月 50 クレジットを無償で受け取ることができます 。会話形式の調査やエージェントによるワークフローなど、Charlotte AIの主要な機能を試用することが可能です 。

2. クレジットの更新ルール

  • 月初にリセット: クレジットは毎月1日の午前12時(UTC)に更新されます。
  • 繰り越し不可: その月に使い切らなかったクレジットを翌月に持ち越すことはできません。
  • 上限に達した場合: 50クレジットを使い切ると、次回の更新までAI機能は一時的に利用できなくなります。ただし、それまでにAIが生成した過去の出力結果(回答内容など)には引き続きアクセス可能です。

3. クレジットの管理とモニタリング

  • 共有プール制: 次世代SIEM機能など他ルートで取得したクレジットがある場合、それらはプロモーションの50クレジットと合算され、組織全体で共有の「プール」として管理されます 。
  • ダッシュボードでの可視化: 現在の消費状況や残高は、専用の「クレジットモニタリングダッシュボード」でリアルタイムに確認できます 。

テクニカルレビュー

実際に50クレジットを活用し検証を行いました。

1. アラート・コンテキスト要約の迅速化

従来、特定のアラートの内容を把握するには、複数の検知画面やプロセスツリーを読み解く必要がありました。Charlotte AIに「このアラートを要約して」と投げるだけで、関連するホスト、ユーザー、実行されたコマンドの相関関係が構造化されたテキストで出力されます。「調査の初動」における認知負荷が劇的に下がる変化です。

【 感想:実際に10分ほどかかる作業が数秒に短縮され、回答の精度も高く付加情報も有用なものでした。 】

  • 使用されたクレジットは0.11でした。

検知されたコマンドラインをCharlotte AIで分析

分析中(数秒で完了)

分析結果

「Charlotte AI」>「対話」 で対話を深堀することも可能

2. クエリ構築(スキル習得)コストの低減

Falconプラットフォームで高度な検索を行うには、FQL(Falcon Query Language)などの習熟が不可欠でした。これが、「自然言語からクエリを自動生成する」プロセスへ変わります。

【 感想:「過去7日間で、不審または悪意のあるウェブサイトにアクセスしたホスト名とドメイン名をリストアップして」というプロンプトを投げ、数秒でクエリが生成されました。】

  • 使用されたクレジットは0.46でした。

例: "List the hostnames and domain names that have accessed suspicious or malicious websites in the last 7 days." (過去7日間で、不審または悪意のあるウェブサイトにアクセスしたホスト名とドメイン名をリストアップして。) と入力すれば、AIが適切なフィルタリング条件を組み立てて実行してくれます。

/(スラッシュ)を入力すると新しいプロンプトを始めたり、プレイブックを選択したりできる

自然言語でクエリを生成

生成されたクエリ

レスポンスの詳細をオンにすると経過を確認できる

#event_simpleName=SuspiciousDnsRequest
| groupBy([ComputerName, DomainName], function=count(as=AccessCount))
| sort(AccessCount, order=desc)
| table([ComputerName, DomainName, AccessCount])

実際にクエリを実行した結果

3. ワークフロー(自動化機能)の自動生成

自動化(Falcon Fusion SOAR)の導入において、複雑なロジック設計や専門知識が障壁となることが多々あります 。Charlotte AIは、自然言語のプロンプトから本番環境で利用可能なワークフローを数秒で生成・修正できます 。

【 感想:プロンプトを投げるだけで、数秒でワークフローが生成されました。カスタマイズしたい場合は簡単に編集作業を行うことができました。】

  • 使用されたクレジットは0.76でした。

例: "Create a Falcon Fusion SOAR workflow with the following logic: Trigger: Scheduled at 11 PM JST nightly. Action: Query for all hosts currently in Reduced Functionality Mode (RFM). Condition: Only proceed if one or more RFM hosts are found. Action: Retrieve hostnames for these devices. Notification: Send an email to @.co.jp with the subject 'RFM Hosts detection'. The email body must list the collected hostnames. Please ensure correct graph connections and variable references for the email body." (以下のロジックで Falcon Fusion SOAR ワークフローを作成してください。 トリガー: 毎日、日本時間の午後11時に実行(スケジュール設定)。 アクション: 現在 RFM(機能制限モード)になっているすべてのホストを検索。 条件: RFM ホストが1台以上見つかった場合のみ、次のステップに進む。 アクション: それらのデバイスのホスト名を取得。 通知: 件名を『RFM Hosts detection』として @.co.jp 宛にメールを送信。メール本文には、収集したホスト名のリストを記載。 メール本文への変数参照と、グラフ(フロー)の接続が正しく行われるように構成してください。) と入力すれば、AIが適切なワークフローを生成してくれます。

ワークフローを生成、編集も可能

編集して公開

ワークフローをオンに設定

まとめ

実際に触ってみて実感したのは、Charlotte AIが単なる「便利な質問チャット」に留まらないということです。これは、「複雑なセキュリティ操作を、誰もが即座に実行できる形に変える」ということです。

具体的には、以下の3つの価値を実感しました。

  • 「調べる」から「答えが出る」までの短縮
  • スキルの壁を取り払う
  • 数分で自動化を組み込むことができる


ぜひ今回のプロモーションで付与された50クレジットを活用し、「普段のルーチン作業をAIに投げてみる」ことから始めてみてください。わずか数クリックのオプトインで、これまでの運用がいかに効率化されるかを体感できるはずです。

最後まで読んでいただき、ありがとうございました。

0-WANについて

私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。 www.ap-com.co.jp

一緒に働いて頂ける仲間も募集しています

今までの経験を活かして、私たちと一緒にゼロトラスト分野で活躍しませんか? www.ap-com.co.jp