TokyoBlackHatNews

darkreading.com 5分で読了

CrowdStrikeの次世代SIEM、Microsoft Defenderテレメトリーを取り込み可能に

Image

出典:Maurice Norbert via Alamy Stock Photo

先週、Microsoft Defender for EndpointはCrowdStrikeのFalcon Next-Gen SIEMと統合された初のEDRとなり、Defenderデータを活用してサードパーティーEDRをサポートしています。

この新しいサポートにより、顧客はCrowdStrikeのNext-Gen SIEMでDefenderのテレメトリーとコントロールを使用できます。CrowdStrike最高技術責任者のElia Zaitev氏は「そのデータを活用して、他のエンドポイント技術を使用している場合でも、プラットフォーム内で包括的なセキュリティを提供します」と述べています。 

Zaitev氏は、プラットフォームがデータを直接取り込むことで、Falconの脅威検出を加速し、スマートフィルタリングとリアルタイム分析を可能にしていると述べています。「プラットフォームに取り込まれるデータをより効率的に管理するため、インテリジェントフィルタリングを実行できます」とZaitev氏は述べています。

CrowdStrikeはまた、Next-Gen SIEMのログデータを管理するためにFalcon Onumを立ち上げ、Microsoft Defenderテレメトリーを大規模に処理できるようにしました。OnumはCrowdStrikeが昨年買収した企業で、リアルタイムパイプライン技術を提供しています。

また、CrowdStrikeのサービスはMicrosoft Marketplace(旧Azureマーケットプレイス)で初めて利用できるようになりました。Microsoft Azureの利用契約(MACC)を通じてMicrosoftとクラウド使用料金契約を結んでいるほとんどの大規模企業顧客は、マーケットプレイス内で利用可能なサードパーティーサービスに対してコミットした資金を使用できます。先月まで、CrowdStrikeはMicrosoft Marketplace上で利用不可だった唯一の主要サイバーセキュリティプラットフォームプロバイダーでした。CrowdStrikeは2017年以来AWS Marketplaceにリストされており、このパートナーシップにより2024年に年間10億ドルの収益をもたらしました。

「AzureとMicrosoftの世界の中で私たちと提携する全く新しいエコシステムです」とCrowdStrike最高経営責任者(COO)のDaniel Bernard氏はDark Readingに述べています。

Microsoftの厳しい批評家

CrowdStrikeがMicrosoftのマーケットプレイスにもリストされていなかったのは、共同創業者兼CEOのGeorge Kurtz氏が長年Microsoftを厳しく批評してきたことを考えると、それほど驚くべきことではありません。わずか2年前、Kurtz氏はMidnight Blizzard(APT29、Cozy Bear、Dukesとも呼ばれ、ロシア情報機関SVRと関連する脅威グループ)がMicrosoftのソフトウェアの脆弱性を悪用した直後の数日間と数週間で、Microsoftを厳しく批評しました。Kurtz氏はMicrosoftを様々な「システム的な失敗」で非難しました。 

Midnight Blizzardは2020年に攻撃を実行し、SolarWinds OrionにSunburstと呼ばれるバックドアマルウェアを注入しました。その事件を調査する米国上院情報委員会の公開聴聞会でのKurtz氏の証言で、彼はMicrosoftのソフトウェアを「時代遅れ」と呼びました。 

「脅威行為者はWindows認証アーキテクチャのシステム的な弱点を利用して、ネットワーク内を横方向に移動することができました」と彼は証言で述べ、脅威行為者がMicrosoftの認証スキームをバイパスしたことに触れました。

2024年3月、彼はCNBCに対し、これをSolarWindsインシデントと呼ぶ代わりに、「彼らのインフラとクレデンシャルが侵害されたという点で、その侵害の大きな部分であったため、本当にはMicrosoftハックと呼ぶべきだ」と述べました。

Kurtz氏はまた、1年前にStorm-0558として知られるグループの攻撃の余波でMicrosoftを非難しました。このグループはMicrosoft Azure Active Directory(現在のMicrosoft Entra)の脆弱性を悪用しました。このインシデント中、ハッカーは盗まれたキーを使用して認証クレデンシャルを偽造し、当時のジーナ・ライモンド商務長官を含む主要政府関係者のメールボックスにアクセスしました。

フォーミュラ1への共通の関心

2つの企業の間でのフォーミュラ1レーシングに対する共通の関心が昨年の最終的な友好関係につながったようです。Kurtz氏はMercedes-AMG Petronas F1チームの取締役会メンバーと共同所有者であり、Microsoftがスポンサーシップを求めた際に2つの企業が話し合いを開始しました。「興味深いことに、フォーミュラ1は私たちをより戦略的なレベルで一堂に集めました」とCrowdStrike最高経営責任者のDaniel Bernard氏はDark Readingに述べています。「人生の確実性は3つです。死、税金、そしてMicrosoftです。だから戦うのではなく、顧客が私たちのすべての製品を使用でき、顧客がそれを望む方法を見つけましょう。」

翻訳元: https://www.darkreading.com/endpoint-security/crowdstrike-falcon-ingest-microsoft-defender-telemetry

ソース: darkreading.com
#Azure Marketplace #CrowdStrike #EDR #Microsoft #Microsoft Defender #SIEM #クラウドセキュリティ #セキュリティ統合 #パートナーシップ #脅威検出

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開