Technical Blog テクニカルブログ
  1. HOME
  2. テクニカルブログ
  3. SASE×SIEM Netskope CloudExchage LogshipperとCrowdStrike NG-SIEMを連携しよう!
2025年8月29日
テクニカルTIPS セキュリティネットワーク

SASE×SIEM Netskope CloudExchage LogshipperとCrowdStrike NG-SIEMを連携しよう!

# CrowdStrike # Netskope # Security

投稿者:セキュリティ&ネットワーク事業本部 担当者

こんにちは、NI+Cの若手セキュリティエンジニアです。
今回のテックブログは、SASEとSIEMの連携についての内容になります。SASE製品についてはNetskope、SIEM製品においては、エンドポイントセキュリティのCrowdStrikeとなり、この二つの製品連携について、紹介していきたいと思います。

Netskopeの方では、CloudExchange(以後CEと記載)の機能の一部をCrowdStrikeと連携していきますが、情報を連携する機能のうち、今回はCEのCloudLogShipper(以後、CLSと記載)というモジュールを用います。
先ず、NetskopeCEの簡単な概要を説明しますと、CEは、NetskopeとNetskope以外の製品との統合をサポートするプラットフォームになり、Netskopeテナントを利用する企業はCEを構築することで、サードパーティと自社Netskopeテナントの連携を、独自にカスタマイズした形で展開することが可能になります。
CEの機能の中でも、CLSは、NetskopeのログをCEに取り込み、予め連携したサードパーティにデータを送信することを可能にします。

本ブログでは、CLSを用いて、CrowdStrike NG-SIEMとどの様にデータを連携させることが出来るのか、また、どういったことが出来るのかについて簡単に紹介できればと思います。

参考までに、過去のブログでは、CEの別の機能の一つである、CloudRiskExchange(CRE)の機能概要とCrowdStrikeの連携についても、ブログを出しています!良かったらぜひご覧ください!

NetskopeCloudExchangeとCrowdStrikeを連携してみた ~ ZTAスコア抽出によるデバイス分類 前編~

NetskopeCloudExchangeとCrowdStrikeを連携してみた ~ ZTAスコア抽出によるデバイス分類 後編~

目次

1.Netskope CloudExchangeとCrowdStrikeの連携について
2.ユースケース
3.連携の手順について
4.検証
5.おわりに

1.Netskope CloudExchangeとChrowdStrikeの連携について

CLSとCrowdStrike NG-SIEMの連携では、Netskopeテナントのイベントやアラートのログを取得、カスタマイズし、SIEMに取り込むまでを自動化します。
今回検証する、CLSとCrowdStrike NG-SIEMのワークフローの全体図は以下のようになります。

2.ユースケース

CLSのユースケースとしては、Netskopeのユーザーアラート等の情報をサードパーティシステムにプッシュすることで、Netskopeのインサイトをより価値のあるものにすることが可能になります。

今回のブログの内容では、CrowdStrike NG-SIEMと連携させることで、NetskopeイベントログのCrowdStrikeへの取り込みを自動化することができ、また、CrowdStrikeのデバイスログだけでなく、Netskopeのデバイスの通信のイベント等においてもCrowdStrike上で一括で管理することも可能となり、ログ管理の運用負荷の軽減が期待されます。

3.連携の手順について

Netskope CEとCrowdStrike NG-SIEMの連携手順の流れは以下のようになります。

3-0.CEの作成  ※本ブログでは説明を省略しています
3-1.NetskopeテナントとCEの連携 ※本ブログでは説明を省略しています
3-2.CE上でCloudLogShipper(CLS)のプラグインを設定する
3-3.CEとCrowdStrike NG-SIEM との連携
3-4.ルール・SIEMマッピングの作成

それでは、CE上でCloudLogShipper(CLS)のプラグインを設定することから説明していきます。

3-2.CE上でCloudLogShipper(CLS)のプラグインを設定する
CLSモジュールとNetskopeテナントを連携させていきます。
このCLSプラグインを使用すると、Netskope テナントからアラート(DLP、マルウェア、UBA等)と、イベント(ページ、アプリケーション、ネットワーク等)を取得できます。
CLS プラグイン 設定後のイメージ図は以下のようになります。

まず初めに、CEテナントの、Settings>General>Modulesから Log Shipperを有効化します。
緑のポップアップが表示されると、変更や設定の追加が成功している証拠のようです。

Settings>Pluginsにて、CategoryをCLSでフィルターをかけ、「Netskope Log Shipper(CLS)」をクリックします。

真ん中のNextボタンをクリックします。

右上のSAVEをクリックします。

SAVEを押したところ、赤いポップアップのエラーが表示されました。
どうやら、NetskopeテナントとのAPI連携に必要なパスが足りなかったようですね。

エラーで示されたパスを追加するため、NetskopeテナントのRest API v2にて、対象のREST API Tokensに、指摘されたパスを検索して追加します。

再度、CEの画面に戻り、エラーの発生した画面でSAVEをクリックすると、今度はNetskopeLogShipperのモジュールとの連携が無事成功しました!

Netskopeテナントとの連携に必要なパスが足りていなくとも、後からNetskopeテナントにて追加で対応することが可能なことが分かりました!


3-3.CEとCrowdStrike NG-SIEM との連携

続いて、CrowdStrike Next-Gen SIEMのプラグイン設定に移ります。
このプラグインは、アラート(DLP、マルウェア、UBA等)およびイベント(ページ、アプリケーション、ネットワーク等)を CrowdStrike Next-Gen SIEM プラットフォームの DataConnectorの一種であるHEC/HTTPイベントコネクタに取り込む機能をサポートします。
※CrowdStrike のDataConnectorは、サードパーティシステムとCrowdStrike間のデータの自動取り込みのための機能になります。CLS利用でのCE連携する際には、HEC/HTTPイベントコネクタを用います。

CrowdStrike Next-Gen SIEMの連携後のワークフローは以下のようになります。

まず初めに、CrowdStrike のDataConnectorを作成するため、CrowdStrikeのプラットフォームに入ります。Next-Gen SIEM > Data onboardingにて、画面右下の + Add Connectorをクリックします。

HEC等でフィルタリングをかけ、ヒットしたデータコネクタをクリックします。

すると、以下のような画面になるので、設定値を投入するために画面右側のConfigureをクリックします。

データソースとコネクタの名前を入力します。また、パーサーはnestkope-seeを選択します。
記入が終了したら、画面下部のCreate connectionをクリックします。

Connectorがセットアップされました。右上のGenerate API keyをクリックし、CEとの連携に必要なキーを生成します。

API Keyと、API URLが以下のように表示されるので、コピーしておきます。

続いて、CEとCrowdStrike Next-Gen SIEMの連携に移ります。
CEの管理画面の、Settings > Pluginsより、CrowdStrike Next-Gen SIEM v1.0.0 (CLS) のPlugin Boxを検索し、クリックします。
※前提条件として、次のホストへの接続が可能かを確認してください: https://*.ingest.us-1.crowdstrike.com/services/collector

※CEが古いバージョンの場合、上記の画像のようにCrowdStrike NG-SIEM のPlugin Boxが出てこない場合があるので、CEは最新のバージョンで作成することをお勧めします。筆者は、VMWare ESXiにOVAファイルを用いてCEを作成しましたが、Ver 5.1.0では以下のように表示されず、Ver5.1.2にてCrowdStrike NG-SIEM のPlugin Boxが表示されました。

※Ver 5.1.0では、CategoryでCLSで検索しても、右下のCrodStrike LogScaleしか出てこず。。。↓

気を取り直して説明に戻ります。
CrowdStrike Next-Gen SIEM v1.0.0 (CLS) をクリックしたら、以下のような画面が表示されます。
Name等を記入し、Nextをクリックします。

先ほどCrowdStrikeのConnector作成時にコピーしたAPI URLとTokenを入力し、右上のSAVEをクリックします。

CrowdStrike Next Gen-SIEM との連携が完了しました。

3-4.ルール・SIEMマッピングの作成
続いてSIEM Mappingをカスタムでの作成が可能なため、Log Shipper >Business Ruleより、Business Ruleを作成していきます。
※SIEM マッピングが追加されると、Netskope テナントからデータを取得・マッピングされ、CrowdStrike Next-Gen SIEM プラットフォームに取り込まれるようになります。
デフォルトで、全てのアラートに対するルールが既に入っていますが、カスタムで作成することが可能です。右上のCreate New Rulesから、カスタムでルールを作成します。

右下のSAVEをクリックします。

作成が完了しました。

続いて、Log Shipper >SIEM Mappings に移動し、Add SIEM Mappingをクリックします。

SAVEをクリックします。

カスタムで、SIEM  Mappingが作成・保存されました。

4.検証

それではCE とCrowdStrike NG-SIEMの連携後の動作を見ていきます。

まず初めに、NetskopeClientがインストールされたPCにて、今回はBoxにログインし、イベントログを発生させます。

次に、Cloud Exchange のLoggingに移動し、Netskopeテナントから取得したログを検索します。
イベントが生成された時間帯から、Netskopeテナントからイベント(Pulled 1〜のログ)が取り込まれ、CrowdStrikeにログ(ingested 1〜のログ)が取り込まれ始めていることが確認できます。

次に、CrowdStrikeの管理画面に移動し、Next-Gen SIEM>Advanced event searchから、取り込まれたログを確認します。

(#type=”netskope-sse”) | (#ce_log_source_identifier=”Netskope Cloud Exchange”) | tail(1000) | (#event.kind=”event”)のクエリを追加すると、以下の様にログを確認出力されました。

詳細を確認すると、画面右下に、event_type:”page” とあり、SIEM Mappingの作成のためにBusiness Ruleで選択した項目と一致していました。CE上で選択した項目に当てはまるログがNG-SIEMに取り込まれていることが確認できました。

Business Ruleの構成の確認↓

NetskopeテナントのSkopeITを確認すると、同様の時間帯で該当のログが確認出来ました。

また、補足になりますが、app_session_idの項目は、NG-SIEM上では、JSONでは若干の表記揺れが発生していましたが、FieldsではNetskopeのログと一致していることを確認することが出来ました。

CrowdStrike上のJSONの表記↓

CrowdStrike上のFieldsの表記↓

以上が、CLSモジュールを用いたCrowdStrike NG-SIEMへのイベントログ転送の検証となります。

5.おわりに

今回は、Netskope CE機能の一つ、CloudLogShipperと、CrowdStrike NG-SIEMの連携について紹介と、検証を実施しました。プラットフォームの設定方法が比較的わかりやすいので、連携自体はスムーズに行うことが出来ることが今回の発見となりました。

本ブログにて、CrowsStrike上にどの様にNetskopeログが取り込まれ、どの様に表示されるのかの理解を進めていただけていたら光栄に思います。また、運用負担軽減の一助にもなっていましたら幸いです!

ご相談はこちらから

お客様の業務課題に応じ、さまざまなソリューションの中からベストな組合せで、
ご提案をさせていただきます。お困りのことがございましたらお気軽にお問い合わせください。

メールでのお問い合わせは
こちらから
ページのトップへ