X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >

CrowdStrike Falcon APIに関するFAQ

Falcon APIとは何ですか?

CrowdStrike®は主に5つのAPIを提供しており、これらは広範なユースケースをサポートするいくつかのサブ機能を備えています。お客様はユースケースとニーズに基づき、CrowdStrikeクラウドからのデータをストリーム処理するかまたはクエリーを実行して、プロアクティブな脅威インテリジェンスや個別の調査、関係の可視化を実現できます.

CrowdStrikeが顧客にAPIを提供するのはなぜですか?

CrowdStrikeは優れたAPIのスイートを提供していますが、これは、CrowdStrike Falcon®プラットフォームをご利用のお客様がトリアージのワークフローを強化し、これまでのセキュリティ関連の投資を有効に活用できるようにするためです。CrowdStrikeは、お客様が組織の環境を保護するためにさまざまなセキュリティ製品を使用している可能性を踏まえ、Falconプラットフォームを可能な限りオープンかつ拡張可能なものとして設計しました。これらのAPIは、これまでのセキュリティ関連投資を生かしながらFalconプラットフォームを活用できるようお客様を支援することにより、エンドポイントセキュリティからワークフローの自動化までを網羅した完全な統合を徹底します.

CrowdStrikeが提供しているのはどのようなAPIですか?

CrowdStrikeは主に以下の5つのAPIを提供しています:

  • Falcon Streaming —  検知のストリーム処理とセキュリティイベントの監査 このAPIを使用すれば、リアルタイムでイベントを監視し、1つのデータセッション内で発生したインスタンスからアラートを受信して、低レイテンシーかつ高スループットのデータ配信メカニズムを提供できます。

  • Falcon Data Replicator — データの取り込みと関連付け Falcon Data Replicatorを活用することで、セキュリティチームはFalconエージェントから全エンドポイントデータを手元の環境にエクスポートし、個別に分析できます。つまり、お客様は、Falconプラットフォームからのデータをローカルのデータウェアハウスに取り込み、その他のソースから収集したログと関連付けることができます.

  • Falcon Threat Graph™ — 関係の可視化による調査の迅速化 Falcon Threat Graph APIは、CrowdStrikeが誇る数ペタバイト規模のグラフデータベースを活用し、侵害の痕跡(IOC)とデバイス、プロセス、その他のフォレンジックデータとイベント(ファイルの書き込み、モジュールのロード、ネットワーク接続など)の間に内在する関係を明らかにします。また、Maltegoなどの可視化ツールとの統合により、グラフをトラバースしてイベント間の関係を調査することも可能です.

  • Falcon Query — 管理および調査、対応 Falcon Query APIでは、IOCをアップロードして監視できるほか、Falconエージェントがインストールされているシステムのデバイス情報を取得したり、攻撃の痕跡(IOA)およびIOC、関連プロセスを基準としてプロセスを探索、ならびに検知ステータスを管理することも可能です.

  • Falcon Intelligence™ — 新たな脅威の先を行く対策 Falcon Intelligence APIにより、お客様は、痕跡から敵対者、ニュース、カスタマイズされた脅威アラートまで多岐にわたる有用な情報フィードを活用できます。また、可視化ツールの統合により、敵対者および痕跡、マルウェアファミリー、キャンペーン間の関連性を確認できます.

Falcon APIには利用資格が定められていますか?

CrowdStrike Falconプラットフォームをご利用のお客様は全員、Falcon APIにアクセスできます。ただし、使用可能なAPIは、どの製品をご購入いただいたかによって変わります。下表は、Falconプラットフォームを購入されたお客様にご利用いただけるAPIをまとめたものです。詳しくは、[email protected]までお問い合わせください.

API

Falcon Prevent™

Falcon Insight™

Falcon Intelligence™

Streaming

X

X

Data Replicator

X

Threat Graph

X

X

Query

X

X

Intelligence

X

Falcon APIへのアクセス方法を教えてください?

ご利用のサブスクリプションに応じ、CrowdStrikeサポートチームがFalcon APIキーをプロビジョニングいたします(詳しくは上記をご覧ください).

Falcon APIはどの様に稼働しますか?

  • Falcon Streaming APIは、ストリーミングHTTP接続を通じてデータを提供します。消費者(クライアント)とFalcon Streaming APIの間にHTTPS接続が開かれ、新しいイベントが発生するたびに送信されます.
  • Crowdstrikeは、SIEM Connectorクライアントを提供して取り込みを簡便化し、syslog形式への変換を実現しています.
  • Falcon Data Replicatorは、S3でエンドポイントデータの新しいバッチがダウンロード可能になったときにSQS経由でアラートを提供します。つまりお客様は、イベントデータを手元の環境に取り込んで保存・分析できます.
  • Falcon QueryおよびIntelligenceの両APIは、標準的な要求/応答モデルに従って動作する一連のHTTPS REST APIです。応答はJSONでフォーマットされています。 Falcon Threat Graph APIは、Threat Graphを呼び出し、どのエンドポイントに痕跡が見つかったかを見極めます。

Falcon APIを導入するにはどのようなインフラストラクチャーが必要ですか?

インフラストラクチャーを追加で実装する必要はありません。Falcon APIは、100パーセントクラウド型のアーキテクチャーを基盤とするFalconプラットフォームを使用しています。これによって、お客様はより迅速に保護を確立でき、オンプレミスでのハードウェアの取得・実装・管理を排除して総所有コスト(TCO)を削減できます。また、Crowdstrikeによるクラウドベースのセキュリティは、攻撃者が改造や迂回を目的としてCrowdStrikeの技術を取得することを不可能にします.

Falcon APIの使用を開始するにはどうすればよいですか?

Crowdstrike製品をご利用のお客様は全員、APIにアクセスでき、具体的にどのAPIにアクセス可能かはサブスクリプションによって異なります。まずはCrowdStrikeサポートチーム([email protected])にEメールでご連絡いただき、APIの認証情報を取得してください。これを使ってFalcon APIを構成し、使用を開始できます.

CrowdStrikeの顧客向けツールのリストはどこで見られますか?

CrowdStrikeは、一般公開されているいくつかのツールをお客様やリサーチ担当者の皆様に提供してプラットフォームの機能を補完し、ワークフローの自動化や事例管理機能をサポートするとともに、セキュリティフォレンジックや修正措置の改善に貢献しています。これらのツールには、CrowdStrikeコミュニティツールウェブサイトからアクセスできます.

Falconプラットフォームによって収集された情報を、自分で開発したSIEMなどのセキュリティ製品に使用してもよいですか?

はい、使用できます。Falcon Streaming APIはローカルでホストされている消費者(クライアント)にHTTPS経由で接続でき、新しいイベントを発生時点で送信します。Crowdstrikeは、SIEM Connectorクライアントを提供して取り込みを簡便化し、syslog形式への変換を実現しています.

Falcon Orchestratorにはどうすればアクセスできますか?

Falcon Orchestratorは、CrowdStrikeのAPI上に構築されたオープンソースのツールであり、どなたでもご利用いただけます。ただし、自動化の強化や、セキュリティフォレンジックおよび修正措置のリアルタイムでの実行は、Falconプラットフォームのユーザーに限定されます。このツールやアクセス方法の詳細については、Falcon Orchestratorウェブサイトをご覧ください.

Falcon SIEM Connectorの使い方を教えてください?

Falcon SIEM Connectorの操作方法については、プラットフォーム内のSIEM Connector Feature Guide(SIEM Connectorの機能ガイド)を参照してください(ログインが必要です).

Falcon Intelligence StandardおよびPremiumを利用している場合、どのIntelligence APIを使用できますか?

Falcon Intelligence APIは、主に4つのサブ機能(定義は下記のとおり)に分けられます。Standardのサブスクリプションをご利用の場合はこれらのサブ機能のうち2つに、Premiumをご利用であれば4つすべてにアクセスできます。以下の説明と表をご覧ください.

Falcon Intelligenceのサブスクリプションをご利用の方は、StandardとPremiumのどちらの場合も、以下のサブ機能にアクセスできます:

  • アクター — Falcon Intelligence Actors APIでは、CrowdStrikeが追跡している特定のアクターに対してクエリーを実行したりこれらを探索することが可能です. れは、標準的な要求/応答モデルに基づいて動作するREST APIです.
  • 痕跡 — Indicator APIでは、組織の環境内で見つかった痕跡に対してクエリーを実行する(さまざまなアクターに関連するもの、特定の信頼レベルの痕跡、Falcon Intelligenceレポートに関連するものなど)ことができます. 必要な情報をより素早く見つけられるよう、データには適宜並べ替えやフィルタリングが可能です.

Falcon Intelligence Premium限定のサブ機能 レポート — これらのレポートがCrowdStrike Intelligenceのパブリケーションに対してクエリーを実行します.

  • これを活用してパブリケーションに関する詳細情報を入手したり、PDFバージョンをダウンロードすることができます.

パブリケーションの例は以下のとおりです:

  • インテリジェンスレポート(CSIR)

  • 脅威評価(CSTA)

  • アラート(CSA)

  • 定期レポート(CSMR)

  • ティッパー(CSIT)

  • スタムインテリジェンス — Falcon Intelligence Premiumをご利用のお客様は、このAPIを活用し、関心のあるトピックについて状況を把握できます。たとえば、自社名に関する言及を追跡したり、気になる特定のマルウェアファミリーの最新情報を見つけることが可能です。

This table shows the APIs available with each level of your Falcon Intelligence subscription:

Intelligence API

Standard

Premium

Actors

X

X

Indicators

X

X

Reports

X

Tailored Intelligence

X

注: Falcon Intelligence APIはすべて、標準的な要求/応答モデルに基づいて動作するREST APIです。要求はHTTPSで実行され、要求/応答データはJSONでフォーマットされています。