こんにちは、 ネクストモード株式会社 の sobar です。CrowdStrikeの運用に役立つTipsをご紹介します。
今回はCrowdStrikeのグルーピングについて整理したいと思います。以下にグルーピングルールと、グループとポリシーの紐づけ例を記載します。
それぞれのポリシーの概要について必要に応じて以下ブログをご参照ください
デフォルトでは、全端末が デフォルトグループ として認識され、それぞれブロックポリシー(ブロック設定)、センサーアップデートポリシー(センサーのバージョンアップ設定)、レスポンスポリシー(遠隔操作の許可設定)のデフォルト値に紐づいています。
ホストのセットアップおよび管理 > ホストグループ ページでは、グループの作成/管理をすることができます。
新規グループの追加 を選択しグループを追加します。その際に 静的 / 動的 とグループの作成方法を選択できます。
静的グループ作成は、Falconセンサーをインストール済みの端末を指定し、グルーピングを行います。
動的グループ作成は事前に割り当てルール(Assignment Rule)を定め、そのルールに合致した端末を動的に割り当てます。
グルーピングタグを割り当てることで、動的グループで独自のグループ割り当てを行うことが可能です。グルーピングタグには以下の2種類があります。
グループに関して、以下の制約事項が存在します。
静的グループに一度に登録できるホスト数は1,000台に制限されている。
一つの静的グループに所属させるホスト数は10,000台以内にすることが推奨される。
(※動的グループの場合制約はないが、10~15万台が所属するグループに対して複雑な検索条件を指定すると、パフォーマンスに悪影響を及ぼす可能性がある)
グループ名に日本語は使用不可。
今回はCrowdStrikeのグルーピングについてご紹介しました。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike運用の一助となれば幸いです。
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください!