はじめに
こんにちは、 ネクストモード株式会社 の sobar です。CrowdStrikeの運用に役立つTipsをご紹介します。
CrowdStrikeのポリシー
今回はCrowdStrikeに多数存在するポリシーのそれぞれの概要と推奨する設定について整理したいと思います。
①. 導入時に必ず設定を確認・変更すべき検討必須のグループ毎に適用可能なポリシー
防止ポリシー、センサー更新ポリシー、レスポンスポリシー、ホスト保持ポリシー、コンテンツ更新ポリシー、Falconアイコンポリシー ⇒ こちらは以下で個別に概要を整理いたします。
②. デフォルトのままでも運用は可能だが、要件に応じて調整する検討任意のテナント全体に適用するポリシー・設定
隔離ポリシー、リアルタイムレスポンスID確認、隔離されたファイルのアップロード、センサー更新率、チャネルファイル更新サイズ、チャネルファイル更新の制御 ⇒ こちらは最後のまとめに内容を記載いたします。
それでは以下、防止ポリシーより見ていきたいと思います。
防止ポリシー
防止ポリシーは検知/ブロックポリシーの作成/管理ができます。
ブロックポリシーは Windows、Mac、Linux 毎に設定します。
※既存AV製品と併用している場合、CrowdStrike以外のAV製品が同居していない場合とで設定値を変更する必要があります。推奨設定値につきましてはフリートライアルやPOV(POC)、または本番運用の際に必要に応じてご案内させていただければと思いますので、弊社までお問い合わせください。
エンドポイントセキュリティ > 防止ポリシー より設定します。
各カテゴリーをクリックすると詳細項目を表示し各ブロック機能の設定が可能です。
設定後は 保存 (設定の保存) および 有効化 (ポリシーの有効化)をクリックします。
センサー更新ポリシー
センサー更新ポリシーはセンサーのバージョン管理ができます。
ブロックポリシー同様、アップデートポリシーにおいても Windows、Mac、Linux 毎に設定します。
※センサー更新ポリシーは以下を推奨します。
-
検証用グループ:Auto 最新
-
本番用グループ:Auto N-1(最新から1つ前)or Auto N-2(最新から2つ前)
-
「アンインストールとメンテナンスの防止」のみ有効化
ホストのセットアップおよび管理 > センサー更新ポリシー ページで設定します。
バージョン管理
プルダウンでセンサーバージョンの管理方法の設定が可能です。
設定後は 保存(設定の保存)および 有効化(ポリシーの有効化) をクリックしてください。
スケジュール制御
センサーのアップデートが実行される時間帯を曜日ごとに制御することが可能です。
下記設定項目で指定した時間帯にはセンサーのアップデートが行われなくなります。※以下は月~金曜日の9-18時でセンサーのアップデートをブロックする例です。
センサーアンインストール保護
アンインストール保護に関する設定(Sensor Protection機能)を利用することで、センサーアンインストール時にトークン
(パスワード)を入れるよう要求させることが可能です。
これにより、不用意に端末利用者からセンサーのアンインストールを実行されることを防ぐことができます。
レスポンスポリシー
レスポンスポリシーは、リアルタイムレスポンス(遠隔操作機能)の実行対象端末に対するポリシーの設定が可能です。ブロックポリシー同様、レスポンスポリシーにおいても Windows, Mac, Linux 毎に設定します。
※有事に即時対応を行えるよう社内ポリシー上問題なければ、レスポンスポリシーは全項目有効化 を推奨します。
ホストのセットアップおよび管理 > レスポンスポリシー ページから設定します。
遠隔操作機能に関する制御
リアルタイムレスポンスの実施可否、カスタムスクリプト(PowerShell)の実行可否、高リスクコマンドの実行可否を端末
側の観点で設定することができます。
設定後は 保存(設定の保存) および ポリシーの有効化 をクリックしてください。
ホスト保持ポリシー
センサーをアンインストールした場合、管理コンソールから自動で削除は行われません。デフォルト設定としてオフライン期間が45日経過すれば自動で削除されますが、手動で非表示にさせることも可能です。ホスト保持ポリシーにて、ホストの自動非表示・自動削除タイミングの変更が可能です。
※ホスト保持ポリシーは必要に応じて設定ください。
ホストのセットアップおよび管理 > ホスト保持ポリシー から、設定ができます。設定後は 保存 および ポリシーの有効化 をクリックしてください。
※(その他)センサーのインストール時にはホストIDと呼ばれる一意の値が付与され、それを基にFalconは端末を識別します。センサーを再インストールするとホストIDも変わるため、同一端末であってもFalconは別の端末と認識し、管理コンソール上には2台表示されます。
コンテンツ更新ポリシー
コンテンツ更新ポリシーは、センサーのプログラム本体ではなく以下のような脅威検知や動作制御のための「データ(設定ファイル)」の更新タイミングを制御する設定項目となります。以下それぞれ、コンテンツ更新ポリシーでの制御対象の内容、制御対象外の内容となります。
コンテンツ更新ポリシーでの制御対象
-
ラピッドレスポンスコンテンツ:日々刻々と変わる最新の脅威に、センサーのバージョンアップを待たずに「設定データ」として即座に対応するためのパッケージ。
- システムクリティカルコンテンツ:OSの重要なシステムファイルをセンサーが誤ってブロックしたり、削除したりしないように保護する「除外設定」等、センサーの安定性を保つためのもの
- センサーオペレーションコンテンツ:OSのアップデート(Windows Update等)に対して、センサーが不具合を起こさないよう互換性を維持するための設定
コンテンツ更新ポリシーでの制御対象外
-
センサーのバージョン管理(センサー更新ポリシーにて制御)
-
脆弱性管理コンテンツ
- FalconコンソールまたはAPIを使用して行われた設定に基づくFalconモジュールに対するお客様定義のポリシー
- カスタムIOA、ネットワーク隔離、リアルタイムレスポンス、IOCの管理による許可リストとブロックリスト、機械学習から除外、証明書ベースの許可リスト登録、IOAとセンサー可視性から除外、センサー更新と防止ポリシー、FileVantageポリシー、Data Protectionポリシー、アイデンティティ保護ポリシー、オンデマンドスキャン、Falcon Exposure Management設定評価、DeviceControlPolicy、ファームウェア分析ポリシー、Falcon Cloud Securityポリシー
- カスタムIOA、ネットワーク隔離、リアルタイムレスポンス、IOCの管理による許可リストとブロックリスト、機械学習から除外、証明書ベースの許可リスト登録、IOAとセンサー可視性から除外、センサー更新と防止ポリシー、FileVantageポリシー、Data Protectionポリシー、アイデンティティ保護ポリシー、オンデマンドスキャン、Falcon Exposure Management設定評価、DeviceControlPolicy、ファームウェア分析ポリシー、Falcon Cloud Securityポリシー
※コンテンツ更新ポリシーは基本的にGA(デフォルト)を推奨しています。
設定
ホストのセットアップおよび管理 > コンテンツ更新ポリシー から、各チャネルファイルに対してホストグループベースでの展開オプションを提供します。設定後は 保存 および ポリシーの有効化 をクリックしてください。
Falconアイコンポリシー
ホストのセットアップおよび管理 > アイコンポリシー から、タスクバー上のFalconアイコン表示の管理ができます。※Falconアイコンポリシーは Windowsにのみ適用されます。
※Falconアイコンポリシーは必要に応じて設定ください。
まとめ
以下に一覧でグループ毎に適用可能な設定(※検討必須事項)とテナント全体に適用する設定(※検討任意)をまとめます。
グループ毎に適用可能な設定(※検討必須事項)
| ポリシー名/設定 | 内容 | 推奨値 |
| 防止ポリシー | 検知/ブロックの有効化や、ファイル隔離機能の有効化などの設定を行うことが可能。 弊社推奨設定値をベースにご検討いただくケースが殆ど。 |
既存AV製品と併用している場合、CrowdStrike以外のAV製品が同居していない場合とで設定値を変更する必要があります。 |
| センサー更新ポリシー | センサーのバージョンアップ管理及びアンインストール保護機能の設定を行うことが可能。 | 検証用グループ:Auto 最新 本番用グループ:Auto N-1(最新から1つ前)or Auto N-2(最新から2つ前) 「アンインストールとメンテナンスの防止」のみ有効化 |
| レスポンスポリシー | 遠隔操作機能(Real Time Response)を端末に対して制限することが可能。 | 有事に即時対応を行えるよう社内ポリシー上問題なければ、全項目有効化 |
| ホスト保持ポリシー | 管理コンソールから自動でホストが削除される期間及び、非表示にする期間の設定をすることが可能。(6時間~45日の範囲で設定可能) | 必要に応じて設定 |
| コンテンツ更新ポリシー | コンテンツ配信のタイミングについて、設定を行うことが可能。 ※Behavioral IOAs コンテンツについては"全般設定>チャネルファイル更新の制御"より設定 |
基本的にGA(デフォルト)を推奨 必要に応じて設定 |
| Falconアイコンポリシー | タスクバー上にFalconセンサーのステータスアイコンを表示することが可能。※Windowsのみ | 必要に応じて設定 |
テナント全体に適用する設定(※検討任意事項)
| ポリシー名/設定 | 内容 | 用途例 |
|
隔離ポリシー |
端末隔離時に設定したIPアドレスへの通信を許可します。 ※隔離時に通信が必要な宛先がない限り、設定は不要。 |
仮想デスクトップPCが動作するために必要なサーバが存在する場合、そのサーバのIPアドレスを登録する等 |
| リアルタイムレスポンスID確認 ※2 |
遠隔操作でホストに接続するときあるいはrun/killコマンドを実行するときに追加で二要素認証(Falcon MFA)を行わせることが可能です。 | 遠隔操作やコマンドの潜在的な影響を管理者へ通知することで、リスクを認識して続行する仕組みを作りたい場合 |
| 隔離されたファイルのアップロード ※2 |
当該設定項目を有効化すると、ファイル隔離時にそのファイルがクラウド上にアップロードされます。 | 隔離ファイルを取得し手元で調査されたい場合 |
| センサー更新率 ※2 |
1分間あたりのアップデート開始台数を設定することができます。 | センサーアップデート時に帯域が逼迫する可能性がある場合 |
| チャネルファイル更新サイズ ※2 |
単位時間あたりにダウンロードするチャネルファイルのサイズを制限することができます。 | 設定ファイル(チャネルファイル)のダウンロードにより帯域がひっ迫してしまう可能性がある場合 |
| チャネルファイル更新の制御 ※2 |
コンテンツ更新ポリシーに合わせて設定。 | コンテンツ更新ポリシーに合わせてご設定ください。 |
※1. 隔離ポリシーは ホストのセットアップおよび管理 > 隔離ポリシー から設定可能
※2. 管理コンソールメニューの サポートおよびリソース > 全般設定 から設定することが可能
参考
さいごに
今回はCrowdStrikeで設定可能なポリシーについてご紹介しました。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike運用の一助となれば幸いです。
CrowdStrike についてのお問い合わせ
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください!
