【CrowdStrike】ポリシーとそれぞれの設定概要について｜Nextmode Blog

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。CrowdStrikeの運用に役立つTipsをご紹介します。

CrowdStrikeのポリシー

今回はCrowdStrikeに多数存在するポリシーのそれぞれの概要と推奨する設定について整理したいと思います。

①. 導入時に必ず設定を確認・変更すべき検討必須のグループ毎に適用可能なポリシー

防止ポリシー、センサー更新ポリシー、レスポンスポリシー、ホスト保持ポリシー、コンテンツ更新ポリシー、Falconアイコンポリシー ⇒ こちらは以下で個別に概要を整理いたします。

②. デフォルトのままでも運用は可能だが、要件に応じて調整する検討任意のテナント全体に適用するポリシー・設定

隔離ポリシー、リアルタイムレスポンスID確認、隔離されたファイルのアップロード、センサー更新率、チャネルファイル更新サイズ、チャネルファイル更新の制御 ⇒ こちらは最後のまとめに内容を記載いたします。

それでは以下、防止ポリシーより見ていきたいと思います。

防止ポリシー

防止ポリシーは検知/ブロックポリシーの作成/管理ができます。
ブロックポリシーは Windows、Mac、Linux 毎に設定します。 

※既存AV製品と併用している場合、CrowdStrike以外のAV製品が同居していない場合とで設定値を変更する必要があります。推奨設定値につきましてはフリートライアルやPOV（POC）、または本番運用の際に必要に応じてご案内させていただければと思いますので、弊社までお問い合わせください。

エンドポイントセキュリティ > 防止ポリシー より設定します。

各カテゴリーをクリックすると詳細項目を表示し各ブロック機能の設定が可能です。
設定後は 保存 (設定の保存) および  有効化 (ポリシーの有効化)をクリックします。

センサー更新ポリシー

センサー更新ポリシーはセンサーのバージョン管理ができます。
ブロックポリシー同様、アップデートポリシーにおいても Windows、Mac、Linux 毎に設定します。

※センサー更新ポリシーは以下を推奨します。

• 検証用グループ：Auto 最新

• 本番用グループ：Auto N-1（最新から1つ前）or Auto N-2（最新から2つ前）

• 「アンインストールとメンテナンスの防止」のみ有効化

ホストのセットアップおよび管理 > センサー更新ポリシー  ページで設定します。

バージョン管理

プルダウンでセンサーバージョンの管理方法の設定が可能です。
設定後は 保存（設定の保存）および 有効化（ポリシーの有効化） をクリックしてください。

スケジュール制御

センサーのアップデートが実行される時間帯を曜日ごとに制御することが可能です。
下記設定項目で指定した時間帯にはセンサーのアップデートが行われなくなります。※以下は月～金曜日の9-18時でセンサーのアップデートをブロックする例です。

センサーアンインストール保護

アンインストール保護に関する設定（Sensor Protection機能）を利用することで、センサーアンインストール時にトークン
（パスワード）を入れるよう要求させることが可能です。
これにより、不用意に端末利用者からセンサーのアンインストールを実行されることを防ぐことができます。

レスポンスポリシー

レスポンスポリシーは、リアルタイムレスポンス（遠隔操作機能）の実行対象端末に対するポリシーの設定が可能です。ブロックポリシー同様、レスポンスポリシーにおいても Windows, Mac, Linux 毎に設定します。

※有事に即時対応を行えるよう社内ポリシー上問題なければ、レスポンスポリシーは全項目有効化 を推奨します。

ホストのセットアップおよび管理 > レスポンスポリシー ページから設定します。

遠隔操作機能に関する制御

リアルタイムレスポンスの実施可否、カスタムスクリプト（PowerShell）の実行可否、高リスクコマンドの実行可否を端末
側の観点で設定することができます。
設定後は 保存（設定の保存） および  ポリシーの有効化 をクリックしてください。

ホスト保持ポリシー

センサーをアンインストールした場合、管理コンソールから自動で削除は行われません。デフォルト設定としてオフライン期間が45日経過すれば自動で削除されますが、手動で非表示にさせることも可能です。ホスト保持ポリシーにて、ホストの自動非表示・自動削除タイミングの変更が可能です。

※ホスト保持ポリシーは必要に応じて設定ください。

ホストのセットアップおよび管理 > ホスト保持ポリシー から、設定ができます。設定後は 保存 および  ポリシーの有効化 をクリックしてください。

※（その他）センサーのインストール時にはホストIDと呼ばれる一意の値が付与され、それを基にFalconは端末を識別します。センサーを再インストールするとホストIDも変わるため、同一端末であってもFalconは別の端末と認識し、管理コンソール上には2台表示されます。

コンテンツ更新ポリシー

コンテンツ更新ポリシーは、センサーのプログラム本体ではなく以下のような脅威検知や動作制御のための「データ（設定ファイル）」の更新タイミングを制御する設定項目となります。以下それぞれ、コンテンツ更新ポリシーでの制御対象の内容、制御対象外の内容となります。

コンテンツ更新ポリシーでの制御対象

• ラピッドレスポンスコンテンツ：日々刻々と変わる最新の脅威に、センサーのバージョンアップを待たずに「設定データ」として即座に対応するためのパッケージ。

• システムクリティカルコンテンツ：OSの重要なシステムファイルをセンサーが誤ってブロックしたり、削除したりしないように保護する「除外設定」等、センサーの安定性を保つためのもの
• センサーオペレーションコンテンツ：OSのアップデート（Windows Update等）に対して、センサーが不具合を起こさないよう互換性を維持するための設定

コンテンツ更新ポリシーでの制御対象外

• センサーのバージョン管理（センサー更新ポリシーにて制御）

• 脆弱性管理コンテンツ

• FalconコンソールまたはAPIを使用して行われた設定に基づくFalconモジュールに対するお客様定義のポリシー
  • カスタムIOA、ネットワーク隔離、リアルタイムレスポンス、IOCの管理による許可リストとブロックリスト、機械学習から除外、証明書ベースの許可リスト登録、IOAとセンサー可視性から除外、センサー更新と防止ポリシー、FileVantageポリシー、Data Protectionポリシー、アイデンティティ保護ポリシー、オンデマンドスキャン、Falcon Exposure Management設定評価、DeviceControlPolicy、ファームウェア分析ポリシー、Falcon Cloud Securityポリシー
    

※コンテンツ更新ポリシーは基本的にGA（デフォルト）を推奨しています。

設定

ホストのセットアップおよび管理 > コンテンツ更新ポリシー から、各チャネルファイルに対してホストグループベースでの展開オプションを提供します。設定後は 保存 および  ポリシーの有効化 をクリックしてください。

Falconアイコンポリシー

ホストのセットアップおよび管理 > アイコンポリシー から、タスクバー上のFalconアイコン表示の管理ができます。※Falconアイコンポリシーは Windowsにのみ適用されます。

※Falconアイコンポリシーは必要に応じて設定ください。

まとめ

以下に一覧でグループ毎に適用可能な設定（※検討必須事項）とテナント全体に適用する設定（※検討任意）をまとめます。

グループ毎に適用可能な設定（※検討必須事項）

テナント全体に適用する設定（※検討任意事項）

※1. 隔離ポリシーは  ホストのセットアップおよび管理 ＞ 隔離ポリシー  から設定可能
※2. 管理コンソールメニューの サポートおよびリソース ＞ 全般設定 から設定することが可能

参考

• 参考：コンテンツ更新ポリシー（※要テナントアクセス）

さいごに

今回はCrowdStrikeで設定可能なポリシーについてご紹介しました。

この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike運用の一助となれば幸いです。

CrowdStrike についてのお問い合わせ

ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください！