CrowdStrike コネクタを設定する

Microsoft Edge for Businessデータを CrowdStrike Falcon® Next-Gen SIEM に簡単に取り込み、エンドポイント、ブラウザーなど全体で統合された可視性を実現します。 検出を高速化し、コンテキストの切り替えを最小限に抑え、トリアージの精度を向上させるために、ブラウザーのセキュリティ分析情報を他の脅威インジケーターと共に表示します。

このデータ コネクタによって生成されるイベントの種類:

• ブラウザー拡張機能のインストール: ユーザーが新しいブラウザー拡張機能をインストールしたときに生成されます。
• パスワード イベント: ユーザーが複数のサイト間で再利用されるか、既知のデータ侵害で公開されているパスワードを作成または更新するときに生成されます。
• スポット ナビゲーション イベント: フィッシング、マルウェア、詐欺的なコンテンツなど、悪意のあるフラグが設定された Web サイトにユーザーが移動しようとしたときに生成されます。

---

前提条件

• 管理者またはコネクタ マネージャーのアクセス許可を持つ Falcon コンソール へのアクセス
• 有効な CrowdStrike Falcon Next-Gen SIEM または Next-Gen SIEM 10 GB サブスクリプション
• Microsoft 365 管理 センターを使用して管理されるMicrosoft Edge for Business
• 利用可能な CrowdStrike クラウド: US-1、US-2、EU-1、または US-GOV-1
• Microsoft 365 管理 センターへのアクセスを管理する

---

Falcon コンソールのセットアップ

1. Microsoft Edge for Business Data Connector を構成してアクティブ化する

1. Falcon コンソールで、次の場所に移動します。
   Data Connectors > Data Connectors > Data Connections

2. [ + 接続の追加] をクリックします。

3. 検索するフィルターまたは並べ替え:

   • コネクタ名: データ コネクタMicrosoft Edge for Business
   • ベンダー: Microsoft
   • 製品: Microsoft Edge ブラウザー
   • コネクタの種類: プッシュ
   • 作成者: Microsoft

4. [ 新しい接続 ] ダイアログで、メタデータを確認し、[ 構成] をクリックします。

5. 実稼働前の状態に関する警告が表示されたら、[ 同意 する] をクリックして続行します。

6. 名前と省略可能な説明を入力し、使用条件に同意して、[保存] をクリックします。

7. 保存したら、 Data Connectors > Data Connectors > Data Connectionsに戻り、コネクタの横にあるメニュー (⋮) をクリックし、[ API キーの生成] を選択します。

8. 重要: API キーと APIURL をコピーして安全に格納します。 これらの値は 1 回だけ表示され、Microsoft 365 のセットアップに必要です。

---

Microsoft 365 管理 センターでコネクタを構成する

2. Microsoft Edge ポリシーとコネクタ資格情報を構成する

1. 行きます： https://admin.microsoft.com

   • 管理者は、任意のコネクタ構成に割り当てる構成ポリシーを設定する必要があります。 構成ポリシーを作成するには、このガイドに従います。
   • 少なくとも 1 つの構成ポリシーを作成したら、 Edge 管理サービスの [コネクタ] ページにアクセスして、Edge 管理サービス の [コネクタ] ページにアクセスします。

2. 次の場所に移動します。
   Show all > Settings > Microsoft Edge

3. [ Microsoft Edge のポリシー] ページで、次の手順を実行します。

   • [ 構成ポリシー ] タブを選択します
   • [ポリシーの作成] をクリックします
   • ポリシーに名前を付けます
   • ポリシーの種類: クラウド
   • プラットフォーム: Windows 10と 11
   • ユーザー グループまたはすべてのユーザーに割り当てる
   • レビューと作成

4. [コネクタ] タブ に 移動します。

5. [ CrowdStrike ] タイルで、[ セットアップ] をクリックします。

6. 上記で作成したポリシーを選択し、次のように入力します。

   • URL: Falcon コンソールから API URL を貼り付けます
   • ポート: 443
   • API キー: 生成された API キーを貼り付けます

7. [ 接続のテスト ] をクリックして、接続が成功したことを確認します。

8. [ ユーザー & ブラウザー イベント] で、転送するイベントの種類 (次を含む) を選択します。

   • 拡張機能のインストール
   • パスワード イベント
   • スポット ナビゲーション イベント

9. [ 構成の保存] をクリックします。

---

セットアップの確認

3. ファルコン次世代 SIEM へのデータ インジェストを確認する

注

インジェストを確認する前に、コネクタのセットアップ後少なくとも 15 分待ちます。

1. Falcon コンソールで、次の手順に戻ります。
   Data Connectors > Data Connectors > Data Connections

2. [状態] 列が [アクティブ] であることを確認します。

3. [ アクション] でメニュー (⋮) をクリックし、[ イベントの表示] を選択します。

4. [高度なイベント検索] で、クエリを実行してイベントが表示されていることを確認します。

データ インジェストを手動で確認する必要がある場合は、このクエリを実行し、少なくとも 1 つの一致が生成されていることを確認します

#Vendor = "microsoft" | #event.module = "edge"