はじめに ネクストモードの板です。
今日は、CrowdStrike Firewallを使って特定のウェブサイトへのブロックを行ってみます。
マネージメントコンソールでEndpoint security → Policies をクリックします。
Windows、Macそれぞれに適応済のPoliciesが表示されます。
CrowdStrikeでは、1台の端末を複数のPolicyに適応させることはできません。またPolicyは必ず一つは設定されている必要があるため、全ての端末は一度DefaultPolicyに所属しています。
こちらはデフォルト用に準備されているものであり修正は行えません。新たにPolicyを作成するため Create Policy をクリックします。
適当な名前を付けます。
次に、Policyの設定画面が出てきますので、以下の様にロギングやモニタリングなどをオンにしてSAVEしておきます。
次に、Assigned host groupタブをクリックしてこのpolicyに所属させる端末を選択します。
対象の母集団のグループを選択します。
Hostgruop Windows をクリックします。
既に母集団が別のPolicyに属していることが統計として表示されます。1台の端末は1つのPolicyにのみ所属が可能ですので、Policyを複数運用したい場合は、View host group detail page から端末を複数のグループに分割することなどが行えます。
次にAssigned rule groupsタブからルールを作成します。
go to Firewall Rule Groupsをクリックします。
Create rule group をクリックします。
Create firewall ruleをクリックします。
先日話題になっていた著作権無視の違法コンテンツ視聴サイトをブロックしたいところですが、URLの共有すら避けたいのでテスト用にyahooを設定してみます。
*.yahoo.co.jp;yahoo.co.jp と記載します。
誰がアクセスしているかがわかるようにWatch Modeを有効化しCreate firewall ruleをクリックします。
作成された直後はルールはDisabledになっているため、再度編集画面を開きEnabledにチェックを付けます。
これでルールが作成されましたので、これを先ほど作成したポリシーに適応します。
再度Policiesをクリックします。
先ほど作成したPolicy(blogtest)をクリックします。
Assigned rule groupsから先ほど作成したルールを適応させます。
最後に画面右上のEnable Policyをクリックして有効化させます。
各端末側で稼働しているCrowdStrikeのクライアントエージェントが準備同期のタイミングで新しいルールを適応していくのでApplied hostsやPending hostsの数字が順次増えていきます。
適応が完了した端末は順次当該サイトへのアクセスが行えなくなります。
