SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

【CrowdStrike】FalconセンサーAD展開手順 (Windows with Active Directory)

  1. ホーム
  2. 技術ブログ
  3. セキュリティ
  4. 【CrowdStrike】FalconセンサーAD展開手順 (Windows with Active Directory)
セキュリティ
2024.10.16

■はじめに

CrowdStrikeによる端末の保護を行うためには、Falconセンサーを端末へインストール必要があります。
Falconコンソールよりインストーラをダウンロードし対象端末上で実行する。というのがインストールの基本的な流れとなりますが今回はActive Directoryを活用し、大規模な環境でも容易に保護対象端末へFalcoonセンサーをインストールする手順をご紹介します。

1.PNG



■手順①(準備フェイズ)

2.PNG



まずは、センサーインストーラのダウンロードなどの準備から実施していきます。




3.PNG

ポイントさん.PNG
Falconセンサーのインストール自体は上記でダウンロードしたインストーラを実行し、起動したウィザードの中でCIDを入力すればほぼ完了できます。
端末が少数の場合は下記の手順でご紹介する共有フォルダにインストーラを配置し、ユーザーにCID付きのメールなどで取得を促す形での展開も簡単に出来るのでそちらも併せてご検討ください。



4.PNG

5.PNG

ポイントさん.PNG
共有フォルダの設定はユーザーグループやSystemなど範囲や権限が限定されたものを利用することがセキュリティ的に望ましいです。
今回の手順の例では都合によりEveryoneを使っていますが、同様の理由であまりよろしくありません。




6.PNG




7.PNG

#FalconInstall.ps1
#===============================================================
# 以下の値はご利用の環境に合わせて変更してください。
$CID = 'コピーしたCIDを入力'
$InstallerShareFolder = 'インストールフォルダ名とファイル名'
#5行目のC:\Temp\部分を変更した場合は、11行目の:\Temp\も併せて変更します。
$LocalInstaller = 'C:\Temp\WindowsSensor.exe'
#===============================================================

# 既存センサーの確認&ローカルのフォルダ作成()
if (-not (Get-Service -Name 'CSFalconService' -ErrorAction SilentlyContinue)) {
    New-Item -ItemType Directory -Path 'C:\Temp' -Force -ErrorAction SilentlyContinue | Out-Null
    # 共有フォルダの確認とインストールの実行
    if (Test-Path -Path $InstallerShareFolder) {
        Copy-Item -Path $InstallerShareFolder -Destination $LocalInstaller -Force
        & $LocalInstaller /install /quiet /norestart CID=$CID
    }
}



■手順②(作業フェイズ)

8.PNG



9.PNG




10.PNG




11.PNG




11.PNG

項目

値/項目

操作

更新

-

名前

任意の値

-

説明

任意の値

-

セキュリティオプション

タスクの実行時に使うユーザーアカウント

System

ユーザーがログオンしているかどうかにかかわらず実行する

選択

最上位の特権で実行する

チェック

構成

Windows🄬7、Windows Server™ 2008R2

-




13.PNG


ポイントさん.PNG
GPOが各端末に適用されるまで時間がかかる場合がございます。(規定で90分)
更に30分ほどのずれがランダムに発生するため、安全マージンを確保するために少し先の時間(2~2時間半)を指定するのが無難です。




14.PNG

項目

操作

プログラムの開始

プログラム / スクリプト

Powershell.exe

引数の追加

-ExecutionPolicy Bypass -File <\\任意の共有フォルダー\作成したスクリプト>




15.PNG

項目

タスクを要求時に実行する

スケジュールされた時刻にタスクを開始できなかった場合、
すぐにタスクを実行する

タスクが失敗した場合の再起動の感覚

-

タスクを停止するまでの時間

要求時に実行中のタスクが終了しない場合、タスクを強制的に停止する

タスクが再度実行するようにスケジュールされていない場合に
削除されるまでの時間

-

タスクがすでに実行中の場合に適用される規則

新しいインスタンスを開始しない




16.PNG





17.PNG




以上でActive Directoryを利用したFalcon Sensorの配備は完了です!
この方法により大規模な環境での導入でも管理者に負荷をかけずに展開が可能になります。

Active Directoryをご利用の方は本手順の実施をぜひご検討ください!


※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
 正確性、最新性、完全性は保証できませんのでご了承ください。

他のオススメ記事はこちら

CrowdStrikeに関する記事一覧

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
宮澤 建人

Related Posts

関連記事