CrowdStrike統合

このドキュメントでは、Email SecurityをCrowdStrike Falcon Next‑Gen SIEMと統合する手順について説明します。

ハイレベルの手順

• Step 1 - Create a CrowdStrike Data Connection

• Step 2 - Configure CrowdStrike SIEM Integration

ステップ1 - CrowdStrikeデータ接続を作成する

crowdstrikeデータ接続を作成するには:

1. Falconポータルにログインします。

2. Menuアイコンをクリックし、Next-Gen SIEM > Log management > Data settings に移動します。

   

3. Data connectionsタブに移動し、Add connectionをクリックします。

   

4. Data connectionsページで、検索バーにCheck Pointと入力し、コネクタ名で絞り込みます。

   

5. Check Point Email & Collaboration Security Data Connectorを選択します。

   New Connection detailsページが表示されます。

   

6. Connection nameフィールドに、必要なコネクタ名を入力します。

7. Description (Optional)フィールドに、必要な説明を入力します。

8. Parsing and enrichmentセクションで：

   1. デフォルトでは、Check PointEmail Securityパーサーが選択されています。

   2. Enable host enrichmentチェックボックスをオンにします。

   3. 利用規約のチェックボックスをオンにします。

9. Create connectionをクリックします。

   Connection Detailsページに、Generate API keyバナーが表示されます。

   

10. Generate API keyをクリックします。

11. Connection setupページで、SIEM統合を設定するためにAPI URLおよびAPI Keyをコピーします。

    

    注 - API URLおよびAPI Keyは再度表示されないため、必ず控えておいてください。

ステップ2 - CrowdStrike SIEM統合を設定する

Email Securityでcrowdstrike SIEM統合を設定するには:

1. Email Security Administrator Portalにアクセスします。

2. 左側のナビゲーションパネルから、Security Settings > Security Engines に移動します。

3. SIEM Integrationまでスクロールダウンし、Configureをクリックします。

   Configure SIEM Integrationポップアップが表示されます。

   

4. Transportドロップダウンから、Crowdstrike NG-SIEMを選択します。

5. CrowdStrike Event Collector Host / URLフィールドに、ステップ1でコピーしたAPI URLを入力します。

6. Bearer Tokenフィールドに、ステップ1でコピーしたAPI Keyを入力します。

7. Formatドロップダウンから、JSON (Crowdstrike ECS compatible)を選択します。

8. SIEMがシステムログを収集できるようにするには、Collect System logsチェックボックスをオンにします。

9. （オプション）CrowdStrikeからSIEMプラットフォームに転送されるすべてのイベントにカスタムフィールドを追加する場合:

   1. Add custom fieldチェックボックスをオンにします。

   2. Custom field nameフィールドに、必要な名前を入力します。

   3. Custom field valueフィールドに、必要な値を入力します。

   注 - 追加できるカスタムフィールドは最大5つまでです。

10. Saveをクリックします。

CrowdStrike SIEM統合を設定すると、Email SecurityはCrowdStrikeにログを送信します。