SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【CrowdStrike】ホストグループ作成&ポリシーの適用【Falcon Insight XDR】

セキュリティ
2024.08.08

みなさん、こんにちは!

Crowdsrike のエンドポイントセキュリティ製品 Falcon Insight XDR について連載形式で機能をご紹介しています。今回は「ホストグループ作成&ポリシーの適用」についてです。センサーがインストールされた端末をグループにまとめ、ポリシーからセキュリティ機能の動作を設定します。既知や未知の脅威を検知する上で非常に重要な設定となります。


では、本編です

 



「ホストグループ」と「ポリシー」について

ホストグループとポリシーの関係性について説明します。ホストグループはセンサーをインストールしたホストが管理者によって静的 / 動的にまとめられたグループです。ホストグループに対して以下のような機能を持つポリシーを紐づけることで各種機能がホスト上で動作します。

14.png

 

ポリシーの優先度

ホストは複数のホストグループに所属できます。複数のホストグループに所属することによって、1台のホストに同じポリシーが適用される場合、その中で「優先順位」が1番高いポリシーが適用されます。
各ポリシーの種類には「デフォルトポリシー」の定義があり、これは、明示的にどのポリシーも適用されなかったホストに自動的に適用されます。

15.png




ここからは実際の設定手順です


ホストグループ

ホストグループの作成
「ホストのセットアップおよび管理」>「ホストグループ」からグループ設定が可能です。グループを複数作成することで、グループ毎にポリシー設定を変えて運用することが可能となります。グループは固定でホストを選択する静的なグループ(スタティック)と、条件で指定する動的なグループ(ダイナミック)が選択できます。

16.png※画像はクリックで拡大できます

ホストグループ - スタティック (静的) グループの作成方法
静的グループ(スタティック)の場合は手動でホストを追加します

17.png

18.png



ホストグループ - スタティック (動的) グループの作成方法

動的グループ (ダイナミック) の場合は、グループ所属の "割り当てルール" を定義します。

19.png

フィルターを選択しホストを選定します。例としてOSバージョンがWindows11のホストをグループとして選定しています。文字列やワイルドカード (*) も指定可能です。割り当てられたら[保存]します。

20.png

 

これでセンサーをインストールしたホストをホストグループに所属させることができました。次はホストグループに対してポリシーを割り当てます。




防止ポリシー(Prevention Policy)

端末上での検知/ブロックの動きに関するポリシーはメニューの 「エンドポイントセキュリティ」>「防止ポリシー」から設定します。"新しいポリシーの作成" 、 "ポリシーの編集" 、 "優先順位の編集"より選択したポリシーの設定を編集します。

21.png



新しいポリシーの作成

新しいポリシーの作成は以下の手順です。機能を設定後にホストグループにポリシーを割り当てます。

22.png

23.png



優先順位の編集

優先順位を編集することで複数のホストグループに所属しているホストに対して優先順位が高いポリシーを適用することが可能です。[優先順位の編集]から順位を変更したいポリシーを上へ/下へ移動し[Save]することで設定可能です。

24.png



センサー更新ポリシー(Sensor Update Policy

「ホストのセットアップおよび管理」>「センサー更新ポリシー」からセンサーのアップデートや、アンインストール保護に関する設定が行えます。"新しいポリシーの作成" や "ポリシーの編集" は、防止ポリシーと同様の手順で設定可能です。

25.png



デフォルトのセンサー更新ポリシーについて

デフォルトの更新ポリシーは 「Auto - N-1 (自動アップデート) 」に設定されています。検証中に同一バージョンで検証を行う必要がある場合、固定のバージョンを設定してください。デフォルトでは、センサーのアンインストール保護 (Uninstall and maintenance protection) が有効になっており、アンインストール時に "メンテナンストークン" (パスワード) が必要になります。
検証期間中、または後にアンインストールを容易に行いたい場合には設定を OFF にしてご利用ください。

26.png



レスポンスポリシー(Sensor Update Policy)

「ホストのセットアップおよび管理」>「レスポンスポリシー」からリアルタイムレスポンス (RTR) のポリシー設定が行えます。"Create Policy(新しいポリシーの作成)" や "ポリシーの編集" は、防止ポリシーと同様の手順で設定可能です。

27.png



デフォルトのレスポンスポリシーについて

デフォルトではリアルタイムレスポンスによるコンソールからのコマンド実行がすべて有効になっていません。すべての機能をご利用いただきたい場合、以下の設定をONにしてホストグループに適用してください。

28.png




隔離ポリシー(Containment Policy)

「ホストのセットアップおよび管理」>「隔離ポリシー」メニューから、端末のネットワーク隔離時に通信を許可するIPアドレスのレンジが設定できます。 * 隔離ポリシーは全体に適用される設定のため、ホストグループの割り当て等の設定はありません。

29.png




Falconアイコンポリシー(Falcon Icon Policy

「ホストのセットアップおよび管理」>「Falconアイコンポリシー」メニューから、Windows端末のタスクトレイにFalconのアイコンを表示させる設定の変更が可能です。デフォルトポリシーが存在しますが、アイコン表示はOFFになっています。デフォルトポリシーでONにするか、新たにポリシーを作成し、ホストグループに適用してください。

30.png



ここまで読んでくださりありがとうございます!
今回は、ホストグループの作成とポリシーの適用について記載しました。防止ポリシーの設定によって次回アラートの発報がテストできます。また、どのポリシーも基本的な設定方法は同じなので、拡張機能(モジュール)を利用される際も参考にしてください。



各回については以下のリンクから是非ご一読ください。

Falcon Insight XDR

1.CrowdStrike Falcon Platformのご紹介

2.センサーのインストール

3.ホストグループ作成&ポリシーの適用

4.検知テスト&アラート確認

5.機能の有効化&ホストFW管理機能




※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
 正確性、最新性、完全性は保証できませんのでご了承ください。

他のおすすめ記事はこちら

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
秋池 幹直