【CrowdStrike】クエリのスケジュール実行とSlack通知について(NG-SIEM)

» 技術 » CrowdStrike
sobar sobar

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。

今回はNG-SIEMのクエリのスケジュール実行とSlack通知についてご紹介します。CVE-2026-45585(YellowKey)の脆弱性に対するWindowsパッチが適用されるまでの暫定での検知対応を想定しています。WinRE(回復環境)の不審な起動」や「システム領域への不正なFsTxフォルダの作成」を検知すべくクエリの定期実行を設定する手順をご紹介します。

※上記クエリを設定することで確実に該当脆弱性をついた攻撃を検知・対応できるということではございません。あくまでも怪しい挙動は少しでも多く検知できるようにしておくといったための暫定措置案としてのご紹介となります。

今回のシナリオCVE-2026-45585(YellowKey)のパッチ適用までの暫定検知対応について

今回は以下のような暫定対処を設置します。

  • reagentc / bcdedit の実行を監視(※以下クエリ1つめ)
    • WinREの「起動そのもの」よりも、実運用では reagentc.exe(WinRE構成ツール)を使った mount/enable/disable 等が重要な観測点となります。
  • システム領域への不正な FsTx フォルダ作成を検知(※以下クエリ2つめを定期実行) 
    • ファイル作成/書き込みイベントで FsTx を探索。

※加えて、以下の防止ポリシーが有効化されていない場合は有効化します。

  • 防止ポリシー:ブート設定データベース保護(BCD:Boot Configuration Database Protection)を有効化
    • CrowdStrikeアナリストが不審と判定したBCD (Boot Configuration Database) レジストリハイブに対する操作 (エンドポイントのブートプロセスの整合性を脅かすような操作) をブロックします。

crowdstrike-about-scheduling-queries-and-slack-notifications_01

使用するクエリ1つめ:reagentc / bcdedit および WinRE関連キーワードを含む実行を抽出

今回は以下のようなクエリを使用します。

// 1.  reagentc / bcdedit および WinRE関連キーワードを含む実行を抽出
#event_simpleName=ProcessRollup2
| ImageFileName=/\\(reagentc|bcdedit|winre|recoveryagent)\.exe$/i
OR CommandLine=/reagentc|bcdedit|winre|recovery\s*(partition|environment)|\\Recovery\\|\\WinRE/i
// 2. ノイズ(誤検知)の除外
| ParentBaseFileName!=/^(slack(\.exe)?|Guardian Browser\.exe)$/i
| ImageFileName!=/DismHost(\.exe)?/i
| CommandLine!=/slack(\.exe)?/
// 3. テーブル出力i
| table([@timestamp, aid, ComputerName, UserName, ImageFileName, CommandLine, ParentBaseFileName])

クエリ1つ目の簡単な説明

1.  reagentc / bcdedit および WinRE関連キーワードを含む実行を抽出

プロセスの実行履歴(ProcessRollup2)の中から、実行ファイル名(ImageFileName)またはコマンドライン引数(CommandLine)に、reagentc や bcdedit などのリカバリ関連キーワードが含まれているものを抽出

2.  ノイズ(誤検知)の除外(例)

検知条件には合致するが無害な正規の動作を結果から除外。※環境に応じてノイズが(誤検知)が発生しますので、運用を行うなかで適宜確認・除外を追加するかたちとなります。

  •  ParentBaseFileName!=:親プロセス(このコマンドを呼び出した大元のプログラム)が slack.exe(または slack)や Guardian Browser.exe の場合は除外。
  • ImageFileName!=:実行ファイル名が DismHost.exe である場合は除外。※DismHost はWindowsのイメージ展開やメンテナンスを行う正規のプロセスであり、リカバリ環境の操作を伴うことが多いため、今回はこれもノイズとしました。
  • CommandLine!=:コマンドライン自体に slack という文字列が含まれている場合も除外

3.  テーブル出力

table コマンドで、真に怪しい可能性が高いログだけを、調査に必要な項目(発生日時、端末名、ユーザー名、コマンド詳細、親プロセス)に絞って表形式で出力

使用するクエリ2つめ:ファイル作成/書き込みイベントから FsTx を含むパスを検索

以下のようなクエリを使用します。

// 1. 検索対象イベントの絞り込み
#event_simpleName=FileCreateInfo OR #event_simpleName=NewExecutableWritten OR #event_simpleName=NewScriptWritten OR #event_simpleName=PeFileWritten OR #event_simpleName=GenericFileWritten
| event_platform=Win
// 2. 検知条件の指定 
| TargetFileName=/\\(Windows|ProgramData|Recovery|System Volume Information)\\.*\\FsTx\\/i OR TargetFileName=/^[A-Z]:\\FsTx\\/i
//  3. 結果の整形・表示 
| table([@timestamp, aid, ComputerName, #event_simpleName, TargetFileName, SHA256HashData, ContextBaseFileName])

クエリ2つ目の簡単な説明

1. 検索対象イベントの絞り込み

検索対象をWindows環境(event_platform=Win)に限定し、「ファイルが新しく作成された、またはディスクに書き込まれた」という記録を示す各種イベントを対象にしています。

実行ファイル(.exeなど)、スクリプト、その他の一般的なファイルを含め、システム上に何らかのデータが保存された瞬間を捉えます。

2.  検知条件の指定

作成されたファイルの保存先パス(TargetFileName)が、特定の条件に合致するかを正規表現でチェック。

条件1:以下の重要なシステムフォルダの配下に、\FsTx\ という名前のフォルダが含まれている場合。

  • \Windows\
  • \ProgramData\
  • \Recovery\
  • \System Volume Information\ (※YellowKey攻撃で最も狙われるとされるパス)

条件2:または、ドライブの直下(例: C:\FsTx\ や、挿入されたUSBドライブ D:\FsTx\ など)に作成された場合。

3. 結果の整形・表示

table コマンドで、検索にヒットしたログデータの中から、インシデント調査に必要な項目だけを抽出して表形式で出力。
  • 出力される主な列:
    • @timestamp / ComputerName: いつ、どのPCで発生したか。
    • TargetFileName: 実際にどこ(どのドライブ、どのパス)に FsTx ファイルが作られたか。
    • SHA256HashData: 作成されたファイルのハッシュ値(脅威インテリジェンスと照合してマルウェア判定するのに使います)。
    • ContextBaseFileName: 誰(どのプロセス)がそのファイルを作成したか。(もし explorer.exe などのユーザー操作や、見知らぬプロセスであれば悪意のある仕込み作業の可能性が高まります)。

それでは以下より、定期実行を設定していきます。

NG-SIEM > 高度なイベント検索で『検索をスケジュールする』より定期実行を作成

次世代SIEM > 高度なイベント検索 を開きます。使用するクエリ1つめ(reagentc / bcdedit および WinRE関連キーワードを含む実行を抽出)を入力し実行内容を確認した後、『検索をスケジュールする』より定期実行を作成します。

crowdstrike-about-scheduling-queries-and-slack-notifications_02

検索タイプの選択では今回はすべて を選択した状態で次へをクリックします。

crowdstrike-about-scheduling-queries-and-slack-notifications_03

検索詳細の追加では以下のように名前と、必要に応じて説明を入力します。検索クエリは該当クエリが入力された状態、結果ファイルフォーマットは今回はCSVを選択し次へをクリックします。

crowdstrike-about-scheduling-queries-and-slack-notifications_04

検索をスケジュールするでは、今回は以下のように設定しました。

  • 初回実行日時:2026年6月2日 9:00 AM
  • 検索間隔:3時間ごと(実行されるタイミング)
  • 検索ウィンドウ:3時間(検索対象となる期間の長さ)
  • 検索オフセット:1時間(検索基準を過去にずらす時間)

crowdstrike-about-scheduling-queries-and-slack-notifications_05

「検索オフセット(推奨)」の目的について

「ログの取りこぼし(検索漏れ)を防ぐための設定」となります。端末やネットワーク機器でイベントが発生してから、そのログがSIEMにアップロードされ、検索可能な状態(インデックス化)になるまでには、わずかなタイムラグ(遅延)が発生します。もしオフセットを設定せずに「現在時刻から過去○時間」を検索すると、まだSIEMに届ききっていない直近のログが検索対象から漏れてしまう可能性があります。検索オフセットを設定して検索の基準時間を少し「過去」にずらすことで、遅延なくログが完全に揃っている状態のデータを確実に検索することができます。

今回の設定の場合、「実行時刻の1時間前」を基準とし、「そこから過去3時間分」のデータを検索します。具体的には以下のように動作します。

具体的な実行イメージ

  • 1回目の実行(9:00 AM)
    • 基準時間: 8:00 AM(実行時刻の1時間前)
    • 検索対象期間: 5:00 AM ~ 8:00 AM のログデータ
  • 2回目の実行(12:00 PM)
    • 基準時間: 11:00 AM(実行時刻の1時間前)
    • 検索対象期間: 8:00 AM ~ 11:00 AM のログデータ
  • 3回目の実行(3:00 PM)
    • 基準時間: 2:00 PM(実行時刻の1時間前)
    • 検索対象期間: 11:00 AM ~ 2:00 PM のログデータ

次の設定画面、通知の追加 では以下のように設定します。

上記入力・設定後、通知の追加をクリック、その後検索をスケジュールするをクリックします。

crowdstrike-about-scheduling-queries-and-slack-notifications_06

検索スケジュール に1件追加されました。

crowdstrike-about-scheduling-queries-and-slack-notifications_07

同様に使用するクエリ2つめ(ファイル作成/書き込みイベントから FsTx を含むパスを検索)も検索スケジュールに追加します。

crowdstrike-about-scheduling-queries-and-slack-notifications_08

※設定した検索スケジュールを変更・削除する際は調査 > 検索スケジュール よりアクセスし変更・削除します。

crowdstrike-about-scheduling-queries-and-slack-notifications_09

ライセンス

今回と同様の対応・確認を行う際には以下のCrowdStrike Falcon のライセンスが必要となります。

 ※その他ライセンスの詳細につきましては弊社までお気軽にお問合せください。 

 参考

さいごに

今回はNG-SIEMのクエリのスケジュール実行とSlack通知についてご紹介いたしました。CVE-2026-45585(YellowKey)の脆弱性に対してのWindowsパッチが適用されるまでの暫定での検知対応として検索スケジュールを2つ作成しましたが、該当Windowsパッチが適用された後には2つのスケジュールは削除しようと思っております。(2026.6.2 時点)

この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike Falconの運用一助となれば幸いです。

CrowdStrike についてのお問い合わせ

ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!

SaaSバナー_CrowdStrike