CrowdStrikeのログをMicrosoft Sentinelで簡単に連携する方法 – Azure Functionsを活用
- CrowdStrike
- Microsoft Sentinel
- Azure Functions
- ログ連携
- セキュリティ監視
- Falcon Data Replicator
- SOC運用
- リアルタイム検知
- 自動化
- Log Analytics
本記事では、CrowdStrike Falcon Data Replicator (FDR) を活用し、Azure Functionsを使ってMicrosoft Sentinelにログを連携する方法を、初心者にも分かりやすく解説します!
1. CrowdStrikeのログをSentinelに連携するメリット
✅ 連携の利点
🔹 統合管理で一元監視 → 複数のエンドポイントのログをまとめて分析できる!
🔹 リアルタイム検知 → Microsoft Sentinelのルールを活用し、脅威を素早く特定!
🔹 自動インシデント対応 → Sentinelのプレイブックで対応を自動化!
🔹 長期保存と詳細分析 → Log Analyticsを活用し、過去の攻撃を分析!
この仕組みにより、SOC運用の負担を軽減しつつ、より強固なセキュリティ監視が実現できます。
2. 連携の仕組み
CrowdStrikeのログをSentinelに送るには、以下の流れで実現できます。
- CrowdStrike Falcon → Falcon Data Replicator (FDR) を介してAWS S3にログを保存
- Azure Functions → AWS S3/SQSからデータを取得し、Microsoft Sentinelに転送
- Microsoft Sentinel → Log Analytics経由でCrowdStrikeのログを収集・分析
この方法を採用すれば、CrowdStrike Falconを直接Sentinelに接続する必要がなく、管理の柔軟性が向上します。
3. 設定手順
① CrowdStrike Falcon Data Replicator (FDR) の有効化
まず、CrowdStrike FalconのログをAWS S3に転送する準備をしましょう。
📌 手順
- CrowdStrikeサポートに連絡し、FDRを有効化
- AWS S3バケットとSQSキューが自動作成されることを確認
- AWS IAMユーザーのアクセスキーとシークレットキーを取得
② Azure Functions のデプロイ
次に、Azure Functionsをデプロイし、AWS S3からログを取得してSentinelへ送信します。
📌 手順
- AzureポータルでAzure Functionsを作成(PythonまたはC#を選択)
- ストレージアカウントを関連付け
- ARMテンプレートを使用して、Azure Functionsをデプロイ
az deployment group create --resource-group <ResourceGroupName> \
--template-uri https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CrowdStrike-Falcon/FalconDataReplicatorConnector.json- Azure Functionsの環境変数を設定
- AWS_ACCESS_KEY_ID =
<取得したAWSアクセスキー> - AWS_SECRET_ACCESS_KEY =
<取得したAWSシークレットキー> - AWS_REGION =
<AWSリージョン> - SQS_QUEUE_URL =
<AWS SQSキューのURL> - LOG_ANALYTICS_WORKSPACE_ID =
<SentinelのワークスペースID> - LOG_ANALYTICS_SHARED_KEY =
<Sentinelのプライマリキー>
- AWS_ACCESS_KEY_ID =
③ Sentinelでログの確認
設定が完了したら、Microsoft Sentinelでログが正しく収集されているか確認しましょう。
📌 確認方法
- KQLクエリでログをチェック
Syslog
| where Hostname contains "CrowdStrike"
| project TimeGenerated, Hostname, Message
| sort by TimeGenerated desc- Azure Functionsのログを確認
az functionapp log tail --name <FunctionAppName>- データコレクションルール(DCR)が適用されているかチェック
Heartbeat | where Category == "CrowdStrike"4. まとめ – ここがポイント!
CrowdStrike FalconのログをMicrosoft Sentinelに連携するには、
✅ Falcon Data Replicator (FDR) を活用し、AWS S3/SQS経由でログを保存
✅ Azure Functionsを利用し、AWSからデータを取得しSentinelに転送
✅ KQLクエリを活用して脅威をリアルタイム監視
この方法なら、エージェント不要でスムーズにSentinelとの統合が可能になります。
💡 「SOCの負担を減らし、強固なセキュリティ監視を実現したい!」という方は、ぜひこの方法を試してみてください!
🔍 さらに詳しく知りたい方は、Colorkrew SecurityのSOCサービスをご検討ください!
