ネクストモードブログ

【CrowdStrike】社内未認可アプリの利用制限について(カスタムIOA設定)|Nextmode Blog

作成者: sobar|26/01/18 23:00

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。CrowdStrikeの運用に役立つTipsをご紹介します。

認可外アプリの利用を制限する

認可外アプリの利用を制限する必要があるというケースを想定し、その一例として対象アプリ tor browser の利用を制限するカスタムIOA設定と動作確認を実施したいと思います。

カスタムIOA設定とは?

カスタムIOAは、CrowdStrikeのエージェントが収集するイベントストリームに対し、正規表現(Regex)を用いたクエリを実行し、マッチした場合にアラートまたはブロックを行う機能です。

IOC(Indicators of Compromise)との違い

  • IOC(ハッシュブロック):静的なファイルのハッシュ値(SHA256等)に基づくブロック。バージョンアップでハッシュが変わるとすり抜けられる
  • IOA(振る舞いブロック):プロセスの生成(Process Creation)、ファイル作成、ネットワーク接続などの「イベント」に基づくブロック

(参考:攻撃の痕跡 (IoA) と侵害の痕跡 (IoC)

※カスタムIOA のご利用にはFalcon Insight ライセンスが必要です。ライセンスの詳細につきましては弊社までお問い合わせください。

カスタムIOA設定実施

カスタムIOAルールグループ&ルール作成

エンドポイントセキュリティ > カスタムIOAルールグループ よりルールグループの作成を実施します。

以下のように設定しグループの追加を実施します。

新しいルールの追加よりルールを追加していきます。

以下の2つのカスタムIOAルールを作成します。

1つ目:tor.exeブロックルールを作成します。

  • RULE TYPE:Process Creation

  • 実行するアクション:Block (テスト中は Monitor 推奨)

  • 重大度:High (またはCritical)

  • ルール名:Block Tor Process

  • ルールの説明:tor.exeブロック(任意の文字列)

  • GRANDPARENT IMAGE FILENAME:.* (すべてにマッチ)

  • GRANDPARENT COMMAND LINE:.* (すべてにマッチ)

  • PARENT IMAGE FILENAME:.* (すべてにマッチ)

  • PARENT COMMAND LINE:.* (すべてにマッチ)

  • Image Filename: .*\\tor\.exe

    • 解説: ファイルパスの末尾が tor.exe であるものを対象にします。

  • COMMAND LINE:.* (すべてにマッチ)

2つ目:Tor Browserという文字列が含まれる firefox.exe の実行をブロックするルール作成

  • RULE TYPE:Process Creation

  • 実行するアクション:Block (テスト中は Monitor 推奨)

  • 重大度:High (またはCritical)

  • ルール名:Block Tor Browser Firefox

  • ルールの説明:Tor Browser という文字列が含まれる firefox.exe の実行をブロック(任意の文字列)

  • GRANDPARENT IMAGE FILENAME:.* (すべてにマッチ)

  • GRANDPARENT COMMAND LINE:.* (すべてにマッチ)

  • PARENT IMAGE FILENAME:.* (すべてにマッチ)

  • PARENT COMMAND LINE:.* (すべてにマッチ)

  • Image Filename: .*\\firefox\.exe

  • COMMAND LINE:.*Tor\sBrowser.*
    • 解説: コマンドライン(またはファイルパス)に "Tor Browser" という文字列が含まれる firefox.exe の実行をブロックします。

以下作成された2つのルールをチェックし、ルールの有効化を実施します。

グループの有効化を実施します。

作成したカスタムIOAルールグループを防止ポリシーに割り当て

次に作成したカスタムIOAルールグループを防止ポリシーに割り当てるため、防止ポリシータブ > 防止ポリシーへの割り当て をクリックします。

対象のWindows用の防止ポリシーを選択し、ポリシーに割り当てるをクリックします。

カスタムIOAルールグループと防止ポリシーの紐づけを確認します。

※カスタムIOA変更に40分かかるとルールグループの有効化時に表示されているため、40分程度待機します。

検証&動作確認

Tor Browser を起動させようとしたところ、ポップアップとして適切なアクセス権が無いといった内容でプログラム実行がブロックされていることを確認。


CrowdStrikeテナントを確認します。エンドポイントセキュリティ > エンドポイント検知より以下 Tor Browser実行検知&ブロックのログが確認できました。

  • 重大度「高」でブロック
  • Tactic via technique = Custom Intelligence via Indicator of Attack
  • Triggering file = firefox.exe
  • Source product:Falcon Insight


検知・ブロックに関するたくさんの情報を確認できることがわかります。

その他

Firefoxでのブラウジングは問題無いことを確認。

さいごに

今回は認可外アプリの利用を制限するというシチューエーションを想定し、CrowdStrike のカスタムIOA設定と動作確認を実施しました。※画面イメージは2026年1月時点のものとなります。アプリ毎にブロックを実施する設定はそれぞれ異なってくるため、優先度を決めて設定、対応を行っていくかたちを想定いたします。

この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike運用の一助となれば幸いです。

CrowdStrike についてのお問い合わせ

ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください!
完全な記事を表示