こんにちは、 ネクストモード株式会社 の sobar です。
今回は CrowdStrike の Linux用センサーのインストールについてご紹介いたします。
CrowdStrike Falcon Sensor for Linux (Falcon センサー)は、ホスト(コンピュータ)上でイベントリスナーとして動作します。センサーインストール完了後、管理コンソール上の操作によって防止ポリシー(Preventionpolicy)やセンサー更新ポリシー(Sensor update policy)をセンサーに適用することで、センサーはその保護機能を提供し、アップデートも自動で行うことが可能となります。また、センサーは物理、仮想マシンに関わらず導入することが可能です。
サポートされている「Linux OS のディストリビューション及びバージョン」、「動作モード」については以下のドキュメントをご参照ください。(※テナントログインが必要となります。)
Linux 用の Falcon センサーの動作モードは「User Mode」、「Kernel Mode」、「RFM」の3つのモードがあります。
User Mode
User Mode とは、Falcon センサーがカーネルではなく主にユーザー空間で動作するモード
Kernel Mode
Kernel Mode とは、Falcon センサーが OS のカーネル内で動作するモード
RFM(Reduced Functionality Mode)
OS カーネルバージョンが Falcon センサー未サポートバージョンの場合に、カーネルパニックやシステムフリーズ、クラッシュ等の予期せぬ問題を予防するための機能縮退モード
Falcon センサーの動作モードの選択(デフォルトの動作モード)について
Falcon センサーをインストールする際に、条件に応じて動作モードは自動的に選択されます。このデフォルトの動作モードは、「Linux OS のディストリビューション及びバージョン」と「Falcon センサーのバージョン」の組み合わせにより決定されます。
2024 年第 2 四半期ごろ以降にリリースされた Falcon センサーのデフォルト動作モードとしては、Usermode が採用されており、センサーバージョン 7.13 以降の User Mode で動作しているホストは、Kernel Modeと同等の検知及び防止機能が提供されています。
OS:Amazon Linux 2023
Tool:SSM
Falcon センサーのインストールパッケージは Falcon UI からダウンロードして入手します。
ホストのセットアップおよび管理 > センサーダウンロードージ 上の Linux の項目からダウンロードしてください。今回は「Amazon Linux - 2023 - 7.32.18504」をダウンロードします。加えて、同画面の右側「インストール時に入力するカスタマーIDのコピー」よりCIDをコピーし控えます。
5-1. センサー配置
Falcon UI からダウンロードしたセンサーのインストールパッケージを、以下の場所に配置してインストールします。
『/tmp』 または 『/home/usr』
5-2. インストールコマンド実行
$ sudo yum install falcon-sensor-7.32.0-18504.amzn2023.x86_64.rpm
5-3. CID 設定
以下のコマンドで Sensor Downloads 画面上で確認できる Customer ID を設定します。
$ sudo /opt/CrowdStrike/falconctl -s --cid=<Customer ID-Checksum>
5-4. センサー起動
以下のコマンドでセンサーを起動します。
$ sudo systemctl start falcon-sensor
センサーを起動後、以下の『6-1.~6-6.』に記載にようなコマンド実行の結果・管理コンソール上での見え方をご確認いただくことで、Falcon センサーが正常に動作しているかどうかを確認します。
6-1. 動作しているプロセスの確認
$ ps -ef | grep falcon-sensor
以下のように『falcon-sensor-bpf』が動作している場合、User Mode で動作している状況となる。
※Amazon Linux 2023の場合、デフォルトでUser Modeでの動作となります。
6-2. センサーのプロセスのステータスを確認
$ sudo systemctl status falcon-sensor
・User Mode で動作している場合、『falcon-sensor-bpf』が『active (running)』であることを確認します。
6-3. CrowdStrike クラウドとの疎通可能なネットワーク環境にあるかどうかを確認する方法
以下のような curl コマンドを実行することによって、Linux ホスト上の falcon センサーが、CrowdStrike 社クラウドと疎通可能なネットワーク環境にあるのか否かを確認することが可能です。※コマンド内の赤字部分はご利用の環境の CrowdStrike クラウドの FQDN に置換してご確認ください。 (以下のコマンド例は US-2 環境の CrowdStrike クラウドの FQDN の1つである『ts01-gyr-maverick.cloudsink.net』に対しての疎通状況を確認する場合の例となります。)
<コマンド例>
$ curl -v https://ts01-gyr-maverick.cloudsink.net
$ curl -v https://ts01-gyr-maverick.cloudsink.net:443
※プロキシ利用時の場合は以下(青字箇所でプロキシを指定しています)
$ curl -x your_proxy:your_port https://ts01-gyr-maverick.cloudsink.net
$ curl -x your_proxy:your_port https://ts01-gyr-maverick.cloudsink.net:443
「SSL certificate verify ok.」、「HTTP/1.1 200 OK」を確認
【CrowdStrike接続先クラウド】
| クラウド (リージョン) |
ホワイトリスト登録するべき対象ドメイン (FQDN) |
| US-1 環境 | ts01-b.cloudsink.net lfodown01-b.cloudsink.net lfoup01-b.cloudsink.net |
| US-2 環境 | ts01-gyr-maverick.cloudsink.net lfodown01-gyr-maverick.cloudsink.net lfoup01-gyr-maverick.cloudsink.net |
| EU-1 環境 | ts01-lanner-lion.cloudsink.net lfodown01-lanner-lion.cloudsink.net lfoup01-lanner-lion.cloudsink.net |
※CrowdStrike クラウドは、AWS のクラウドを利用しています。Falcon センサーと CrowdStrike クラウド間は上記のドメインと SSL 通信を行います。もし通信先を制御されている場合、下記のドメインとの SSL 通信が必ず可能となるようにホワイトリスト設定を実施ください。
6-4. センサーに紐づく AID、CID、現在インストールされているセンサーのバージョンの確認
$ sudo /opt/CrowdStrike/falconctl -g --aid --cid --version
※AID(Agent ID, Host ID)とは、センサーインストール完了時に Falcon センサーに付与される、センサーを一意に区別する ID となります。この AID は、センサーを一度アンインストールし、再度インストールを行った場合を除いて変更されることはありません(ホスト名が変更された際や、自動センサーアップデートが行われた際にも変化しません)。なお AID は、管理コンソール上 ホスト管理 の UI 上では以下のように『ホストID』として表示されます。
6-5. センサーが RFM 状態になっていないか?の確認
$ sudo /opt/CrowdStrike/falconctl -g --rfm-state
CrowdStrike 社のサポート対象外の Linux Kernel 上にセンサーをインストールしてしまった場合等に、Falconセンサーは RFM 状態(Reduced Functionality Mode:OS のクラッシュ等の予期せぬ問題の発生を防ぐために機能縮退モード)に遷移する場合がございます。
上記コマンドによって、Falcon センサーが RFM 状態になっていないことを確認します。以下の画像例のように結果が『false』の場合は、RFM 状態ではありません。
6-6. 管理コンソール上での状態確認
管理コンソール上 のホスト管理 UI 上にて、インストール直後に該当の Linuxの ホストのステータスがオンラインステータスで表示されていることを確認します。また、『Linuxセンサーモード』で意図している mode(User Mode 又は Kernel Mode)でセンサーが動作していることや、『RFM=No』であることを確認します。
Falcon センサーをアンインストールするには、以下のコマンドを実行します。
$ sudo yum remove falcon-sensor
今回はAmazon Linux 2023 を利用してCrowdStrike の Linux用センサーのインストールについてご紹介いたしました。
この記事が、皆様のセキュリティ対策や、CloudSecurity の運用の一助となれば幸いです。
ネクストモードでは、Netskopeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください!