はじめに
こんにちは、 ネクストモード株式会社 の sobar です。
今回はCrowdStrike Falcon の防止ポリシー(Prevention Policy)に遡及検知(Retrospective Detections)ポリシーの機能が追加されましたので、こちらの機能についてご紹介いたします。防止ポリシー(Prevention Policy)については以下のブログも必要に応じてご参照ください。
遡及検知(Retrospective Detections)ポリシー とは?
遡及検知(Retrospective Detections)機能は、お客様環境内の過去48時間分のホストテレメトリを自動的にスキャンして、CrowdStrike社が新たに悪意のあるものとして特定・確認した振る舞いを検知します。
本機能ポリシー設定を有効にすることで、お客様環境内で影響を受けているホストの特定を開始します。
CrowdStrike社が高い信頼度で既知の悪意ある脅威を新たに識別した場合、Retrospective Detections は自動的に48時間のホストアクティビティをサーチし、その脅威が既にお客様環境に存在していたかを判定します。存在が確認された場合は検知が生成されます。
攻撃発生時には実装されていなかった検知ロジックが後からテナントに実装された場合、48時間以内は遡って該当の検知・確認が実施されるようになります。新たな攻撃検知・実装までのラグ(直近2日間の履歴)もチェックされるようになり、さらに隙が無くなるといった感じかと思います。
遡及検知(Retrospective Detections)ポリシー設定方法
エンドポイントセキュリティ > 防止ポリシー より利用しているポリシー(Windows、Mac、Linuxそれぞれにおいて)を選択し、クラウドベースの検知 | 振る舞い検知 > 遡及検知 にチェック(有効化)し、保存します。設定は以上で完了です。
遡及検知(Retrospective Detections)機能について
ホストへのパフォーマンス影響
本機能はクラウドベースのため、エンドポイント端末のパフォーマンスに影響を与えることはありません。
メーカーによる推奨値
Windows、Mac、Linuxすべてのプラットフォームで遡及検知(Retrospective Detections)機能ポリシーの有効化を推奨しています。
参考
さいごに
今回は遡及検知(Retrospective Detections)機能ポリシーが機能追加されましたのでご紹介いたしました。
本機能はエンドポイント端末のパフォーマンス影響が無いことや、メーカーより有効化が推奨されているといった項目のため、テナント内のWindows、Mac、Linuxすべてのプラットフォームの設定を有効化いただければと思います。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike Falconの運用一助となれば幸いです。
CrowdStrike についてのお問い合わせ
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!
