CrowdStrike Falcon

セキュリティ

NeotaskはCrowdStrike Falconの脅威インテリジェンスを手元に届けます — OpenClawが検出を調査し、ホストをクエリし、脅威アクターデータを表面化するので、セキュリティチームが時間ではなく分単位で対応できます。

できること

セキュリティアラートが発生したとき、スピードが重要です。NeotaskはCrowdStrike Falconデータを即座にクエリし、SOCチームが迅速な判断を下すために必要なコンテキストを提供します。

検出の調査

重要度、時間範囲、ホストで検出を検索。プロセスツリー、戦術、技術を含む詳細な検出情報を取得。エージェントが初期トリアージを行うので、アナリストは対応に集中できます。

ホストとアセットの可視性

管理対象のすべてのホストをクエリし、詳細なハードウェアとソフトウェアのインベントリを取得し、ネットワークに現れた未管理アセットを検索。シャドーITの検出は手動スキャンではなく会話で行えます。

脅威インテリジェンス

名前やTTPで脅威アクターを検索。侵害指標データを取得。CrowdStrikeのインテリジェンスレポートにアクセスして、業界をターゲットにした攻撃パターンの背後にある誰が、なぜを理解します。

アイデンティティ調査

アイデンティティインフラ全体でエンティティの動作を調査。アイデンティティシグナルとエンドポイント検出を相関させて、潜在的な侵害の全体像を把握します。

すべてのアクションは自律的に実行されるか、承認を求めるかを選べます。

こう聞いてみよう

  • 「過去24時間のすべてのクリティカルな検出と影響を受けたホストを表示して」
  • 「検出ID DET-12345の完全な詳細(プロセスツリー含む)を教えて」
  • 「今週ネットワークで確認された未管理アセットはどれ?」
  • 「医療業界をターゲットにすることが知られている脅威アクターを検索して」
  • 「Windows Server 2016を実行しているすべてのホストを一覧表示して — アップグレード計画が必要」
  • 「先週のレポートのAPTグループに関連する侵害指標は何?」
  • 「john.smith@company.comのエンティティ活動を過去48時間調査して」
  • 「デプロイ全体で有効なすべてのFalconモジュールを表示して」

    • 活用のコツ

  • 日次検出サマリーを自動化として設定すると、SOCが優先順位付けされたキューで各シフトを開始できます。
  • マルチエージェントチームを使って検出を並行調査しましょう。一方のエージェントがホスト詳細を取得している間、もう一方が脅威インテリジェンスをクエリします。
  • 未管理アセット発見はスケジュール設定が最も効果的です。週次で実行してリスクになる前に新しいシャドーITを検出しましょう。
  • CrowdStrikeデータをチケットシステムとペアリングして高重要度の検出に対してインシデントチケットを自動作成しましょう。
  • 封じ込めアクションには承認ゲートを有効にして、人間の確認なしにホストが隔離されないようにしましょう。
  • 脅威アクターのTTPを検出データと相互参照して、既知グループの活動が見られているかどうかを理解しましょう。

    • Works Well With