みなさん、こんにちは!
Crowdsrike のエンドポイントセキュリティ製品 Falcon Insight XDR について連載形式で機能をご紹介しています。今回は「ホストグループ作成&ポリシーの適用」についてです。センサーがインストールされた端末をグループにまとめ、ポリシーからセキュリティ機能の動作を設定します。既知や未知の脅威を検知する上で非常に重要な設定となります。
では、本編です
「ホストグループ」と「ポリシー」について
ホストグループとポリシーの関係性について説明します。ホストグループはセンサーをインストールしたホストが管理者によって静的 / 動的にまとめられたグループです。ホストグループに対して以下のような機能を持つポリシーを紐づけることで各種機能がホスト上で動作します。
ポリシーの優先度
ホストは複数のホストグループに所属できます。複数のホストグループに所属することによって、1台のホストに同じポリシーが適用される場合、その中で「優先順位」が1番高いポリシーが適用されます。
各ポリシーの種類には「デフォルトポリシー」の定義があり、これは、明示的にどのポリシーも適用されなかったホストに自動的に適用されます。
ここからは実際の設定手順です
ホストグループ
ホストグループの作成
「ホストのセットアップおよび管理」>「ホストグループ」からグループ設定が可能です。グループを複数作成することで、グループ毎にポリシー設定を変えて運用することが可能となります。グループは固定でホストを選択する静的なグループ(スタティック)と、条件で指定する動的なグループ(ダイナミック)が選択できます。
ホストグループ - スタティック (静的) グループの作成方法
静的グループ(スタティック)の場合は手動でホストを追加します
ホストグループ - スタティック (動的) グループの作成方法
動的グループ (ダイナミック) の場合は、グループ所属の "割り当てルール" を定義します。
フィルターを選択しホストを選定します。例としてOSバージョンがWindows11のホストをグループとして選定しています。文字列やワイルドカード (*) も指定可能です。割り当てられたら[保存]します。
これでセンサーをインストールしたホストをホストグループに所属させることができました。次はホストグループに対してポリシーを割り当てます。
防止ポリシー(Prevention Policy)
端末上での検知/ブロックの動きに関するポリシーはメニューの 「エンドポイントセキュリティ」>「防止ポリシー」から設定します。"新しいポリシーの作成" 、 "ポリシーの編集" 、 "優先順位の編集"より選択したポリシーの設定を編集します。
新しいポリシーの作成
新しいポリシーの作成は以下の手順です。機能を設定後にホストグループにポリシーを割り当てます。
優先順位の編集
優先順位を編集することで複数のホストグループに所属しているホストに対して優先順位が高いポリシーを適用することが可能です。[優先順位の編集]から順位を変更したいポリシーを上へ/下へ移動し[Save]することで設定可能です。
センサー更新ポリシー(Sensor Update Policy)
「ホストのセットアップおよび管理」>「センサー更新ポリシー」からセンサーのアップデートや、アンインストール保護に関する設定が行えます。"新しいポリシーの作成" や "ポリシーの編集" は、防止ポリシーと同様の手順で設定可能です。
デフォルトのセンサー更新ポリシーについて
デフォルトの更新ポリシーは 「Auto - N-1 (自動アップデート) 」に設定されています。検証中に同一バージョンで検証を行う必要がある場合、固定のバージョンを設定してください。デフォルトでは、センサーのアンインストール保護 (Uninstall and maintenance protection) が有効になっており、アンインストール時に "メンテナンストークン" (パスワード) が必要になります。
検証期間中、または後にアンインストールを容易に行いたい場合には設定を OFF にしてご利用ください。
レスポンスポリシー(Sensor Update Policy)
「ホストのセットアップおよび管理」>「レスポンスポリシー」からリアルタイムレスポンス (RTR) のポリシー設定が行えます。"Create Policy(新しいポリシーの作成)" や "ポリシーの編集" は、防止ポリシーと同様の手順で設定可能です。
デフォルトのレスポンスポリシーについて
デフォルトではリアルタイムレスポンスによるコンソールからのコマンド実行がすべて有効になっていません。すべての機能をご利用いただきたい場合、以下の設定をONにしてホストグループに適用してください。
隔離ポリシー(Containment Policy)
「ホストのセットアップおよび管理」>「隔離ポリシー」メニューから、端末のネットワーク隔離時に通信を許可するIPアドレスのレンジが設定できます。 * 隔離ポリシーは全体に適用される設定のため、ホストグループの割り当て等の設定はありません。
Falconアイコンポリシー(Falcon Icon Policy)
「ホストのセットアップおよび管理」>「Falconアイコンポリシー」メニューから、Windows端末のタスクトレイにFalconのアイコンを表示させる設定の変更が可能です。デフォルトポリシーが存在しますが、アイコン表示はOFFになっています。デフォルトポリシーでONにするか、新たにポリシーを作成し、ホストグループに適用してください。
ここまで読んでくださりありがとうございます!
今回は、ホストグループの作成とポリシーの適用について記載しました。防止ポリシーの設定によって次回アラートの発報がテストできます。また、どのポリシーも基本的な設定方法は同じなので、拡張機能(モジュール)を利用される際も参考にしてください。
各回については以下のリンクから是非ご一読ください。
Falcon Insight XDR
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
正確性、最新性、完全性は保証できませんのでご了承ください。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
技術統括部 第2技術部 2課
秋池 幹直