みなさん、こんにちは!
Crowdsrike のエンドポイントセキュリティ製品 Falcon Insight XDR について連載形式で機能をご紹介しています。今回は「検知テスト&アラート確認」についてです。今まで設定した内容からホスト上での動作を確認します。ホストで起きた事象を管理コンソール Falcon UI から確認してみましょう。
では、本編です
検知のテスト
テストアラートの実行
以下のコマンドを実行することでテストアラートを上げることができます。 (コマンド自体には意味はなく、テストアラートを発生させる文字列として認識だけされます)
アラートは、 [エンドポイント検知] にてご確認いただけます。
Windows:
C:\Users\xxxxx>choice /M crowdstrike_sample_detection
crowdstrike_sample_detection [Y,N]?Y
コマンド実行例)Windows
エンドポイント検知での確認
choiceコマンドが実行されたことがFalcon UI から確認できます。
※画像はクリックで拡大できます
基本的なアラートのテストと確認はこのように実施します。
それでは細かく表示される内容を確認しましょう!
検知アラートの確認
エンドポイント検知 -一覧表示
「エンドポイントセキュリティ」>「エンドポイント検知」より検知アラートの一覧を表示します。
アラートの一覧の画面では、Severity (重大度) や攻撃の自動ブロックの有無、検知日時やホスト名、端末にログインしているユーザー名などが一覧で表示されます。
エンドポイント検知 -検知結果の詳細
アラートの [︙] アイコンをクリックし、「Process tree view」をクリックすると、アラート詳細画面にてプロセスツリーを表示できます。ツリーの各プロセスをクリックすると、画面右側に各プロセスに関する詳細や、検知内容の詳細が表示されます。
エンドポイント検知 -検知結果の詳細
プロセスツリーの見方を説明します。
対処
端末のネットワーク隔離(Network Contain , コンテインメント)
アラート右側メニューの 「ネットワーク隔離」 にて端末の隔離を実行することができます。
ネットワーク隔離を行うと、対象の端末は CrowdStrike クラウド以外と通信ができない状態になります。 (「隔離ポリシー」にて例外追加は可)
* ネットワーク隔離のステータス確認、実行および解除は、[ホストの管理] 画面からも行えます。
リアルタイムレスポンス(RTR、ホストに接続)
アラート右側メニューの [ホストに接続] ボタンから「リアルタイムレスポンス」機能を使って端末に接続し、コマンドを送り込んで詳細な対処が行えます。リアルタイムレスポンスは、[ホストの管理] 画面からも同様に行えます。
* (前提1) ユーザーに "Real Time Responder" のロールが必要です。
* (前提2) [レスポンスポリシー] にて、リアルタイムレスポンスが有効である必要があります。
調査(EDR)
EDRログを使った追加調査
EDR ログ検索機能は、メニューの [調査] や、[エンドポイント検知] のアラート画面からアクセスできます。ホストの情報や、ファイルのハッシュ値、ユーザ、ソースIP、ドメイン名など様々な条件で検索が行えます。
イベントサーチを利用し"explorer.exe"が検出されたクエリを投げた場合、以下のような結果が得られます。
その他
ラテラルムーブメント(横展開)の可視化-Incident Workbench/CrowdScore-
Falcon Insight XDR では、通常の検知に加え、組織横断で疑わしい振る舞いをスコア化し、関連する一連の流れを1つの Incident という単位でまとめることができます。 (メインメニューより 「エンドポイントセキュリティ」>「CrowdScoreインシデント」 )
この画面では、ラテラルムーブメント (横展開) 時の動きを可視化することもできます。
ゼロトラストアセスメント -Zero Trust Assessment-
Falcon Insight XDR の設定内容および、Falcon センサーが取得した OS 設定情報を基に、各ホストのセキュリティ状態を 0-100点のスコア で算出する機能です。このゼロトラスト評価のスコアは、設定内容や OS セキュリティ設定の監査に使える他、サードパーティの ID 管理ソリューション(Okta)やネットワークアクセス制御ソリューション(Zscaler)等との連携で使用することができます。
各ホストのスコア、ホスト毎の詳細情報は 「ホストのセットアップおよび管理」>「ゼロトラストアセスメント」から確認できます。
* サードパーティ連携を有効化する場合は、別途サポートへの問い合わせが必要となります。
ここまで読んでくださりありがとうございます!
今回は、テストアラートを発生させ、それをFalcon UIから確認する流れを記載しました。アラートからプロセスツリーを簡単に確認することや時系列で情報が整理されている様子が確認できました。また、検知した際は隔離やリアルタイムレスポンスなど対応面でも柔軟にこなせます。
各回については以下のリンクから是非ご一読ください。
Falcon Insight XDR
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
正確性、最新性、完全性は保証できませんのでご了承ください。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
技術統括部 第2技術部 2課
秋池 幹直