■はじめに

本記事ではCrowdsrike Falconについて、
よくある機器選定時の課題のアンサーという形式で機能などをご紹介していきます。

---

■システム管理者が悩まされる運用管理の課題

昨今、サイバーセキュリティの世界ではセキュリティ犯罪自体の増加やその被害の大きさから話題に事欠きません。
当然社内でも課題として取り上げられることが多く、システム管理者にはこんなオーダーが投げ込まれます。

「しっかりとセキュリティ対策して。PC重くなるのは嫌。あと安くして。」

わかりやすい注文ではありますが、これを実現するにはシステム管理者にしかわからない多くのハードルがあります。
新たな課題を生み出さずにセキュリティ対策を実現できるのが理想です。

また、セキュリティ製品の機能は非常に多種多様です。
しかし、同じカテゴリの製品の価格表の中で価格だけで良い悪いを判断することは非常に難しいです。

様々な機能に目移りすることも多く、結果的に使わない機能を搭載した製品を購入して実質的なコストパフォーマンスを下げてしまうことも少なくありません。
機能を管理するための人的なリソースを確保することもまた難しいという背景もあるかもしれません。
更に言えば導入時点で複雑な作業に悩まされる苦労や導入後何から始めればいいのかわからないもあります。
「EDRもあった方がいいかもしれないけど使いこなせるか不安」というお声も少なくないのではないでしょうか。

本ページでご紹介するCrowdStrike Falcon製品は、そんなリソース/コストを増やしたくない。というご要望へのアンサーカードになります。

バンドルのアップグレードにより後々機能を付与することも可能ですが、今回はEPPの最小構成をバンドルしたFalcon Proの魅力をご紹介します。

Falcon製品のライセンス形態等についてはこちらをご覧ください。

---

■Falconに搭載されたメインの保護機能について

Falcon Pro に搭載されたメインの保護機能は以下が挙げられます。

・Falcon Prevent (NGAV)

Falcon Pro に搭載されている次世代型アンチウイルス（NGAV）は、人工知能と機械学習を活用して"既知および未知の脅威"をリアルタイムで予測し防御します。
また、振る舞い検知やエクスプロイト緩和策を組み合わせることで検出の難易度が高い高度な脅威に対しても効果的に対応できます。
トピックとしてあがりがちなランサムウェアやラテラルムーブメント（横展開）などに対しても、簡潔なポリシー設定を通じて対策することが可能です。
FalconのNGAV機能は、シンプルでありながら強力なセキュリティを提供します。

・Control and Response...NGAVのみでも他社EDRに迫る情報の可視化粒度のインターフェイスと対応能力

EDR導入のメリットを考えると、
インシデントが発生した際の情報の可視化粒度や、様々なログからどれが攻撃者によるアクションなのか機械的に紐づけてくれる
というものが挙げられます。

従来のNGAVのみの実装では何かしらのセキュリティイベントを検出しても、ファイル関連の情報や端末情報までしか追えない事が多発し、事態が発生した場合にリモートで対応できないなどの点でEDRと差別化されてきました。

では、そういった点を補えるNGAVであればいかがでしょうか？？？

下記は検出したセキュリティイベントをFalcon Platform(管理マネージャ)にて表示していますが、
EPPにありがちな１行のイベント情報にとどまらず、プロセス単位での相関やリモートでの隔離や端末のプロンプトのリモート操作まで可能になっています。
これだけでもEDRのメリット部分に大きく踏み込んだ実装と言えます。

※クリックで拡大

・何のためのルールか一目瞭然。説明も親切なポリシー設定項目

セキュリティポリシーなど非常に複雑かつ煩雑になりがちな部分も同様にわかりやすい構成となっており、管理者を悩ませることはありません。
ポリシー内の機能部分をクリックすると、動作を解説してくれるウィンドウが表示されます。
「機能名とオン/オフのスイッチはあるけど、これが何をするの？」というところから調べる必要はございません。隣にしっかり書かれています。

Falcon Preventについてはこちらもご参照ください！

---

■導入も簡単！少ないステップで保護を実現

あくまで一例ですが、導入～運用以降のフローイメージとしては以下のようなシンプルな形が考えられます。また、運用が軌道に乗ればWorkflowの活用で後々の工数まで大幅に削減できます。

インストールやグループ作成記事も参考に！

---

■CrowdStrikeならではの便利機能はしっかり搭載！導入後はFusion SOARのWorkflowで後の運用コストもDOWN！

FalconにはFusion SOARが実装されています。
特定のイベントに対しての自動アクションを設定することで管理コストの削減やセキュリティイベントに対しての対応スピードを速めることができます。

Fusion SOARの実際の設定等はこちら！

---

■セキュリティの需要に合わせた機能拡張も可能。

Falconの機能はモジュール追加によるアドオン形式で提供されています。
つまり、必要な時に必要な機能を追加していくことが可能になります。
以下の一例のような需要に対応したモジュールをオンデマンドで実装していくことで会社の状況に合わせた最適なメニューを準備できます。

・要求されるガバナンスに対応するために社内のUSBデバイスの利用を強力にコントロールすることが可能なUSB Device Control

NWを経由した攻撃者からの対策は上述したようにしっかりとなされています。
次に対策したいのは社内のいわゆる事故によるマルウェアの感染や情報流出です。
"USB Device Control機能"では、社内端末への外部デバイス(USBメモリやハードディスク、またはプリンターなど)を自動で検出したり
未許可のデバイスの業務端末への接続を遮断することも可能です。

検出されたデバイスは、デバイスクラスごとに
[読み込みと書き込みと実行 / 読み込みと書き込み / 読み込み専用 / アクセス禁止 / フルアクセス]といった設定が行えます。
※可能な設定にはデバイスクラスごとに差分があります。
これにより「USBメモリは社内で許可されたもののみ使用させる」という資産管理ソフトのような利用も可能です。
また、ホストグループごとに異なるポリシーを適用することで
「特定部署は業務都合により例外的に利用可能デバイスに差分を作る」といった運用も可能です。

ファイルの書き込みログも記録されます。
インシデント調査や日々のファイル管理の監視にも利用可能です。

・もちろんEDR(Falcon Insight)などのメジャーなセキュリティ対策もアリ

近年企業のセキュリティ指標の一つの指標として確立されつつあるEDRについても、もちろん必要に応じて追加可能です！

EDRの実際の画面などはこちらの記事をご参照ください！

EDR+Fusion SOAR(自動化機能)で、フレキシブルな自動隔離も可能に。
誤検知などの懸念があるため、なかなかEDR製品の機能として提供されにくい自動隔離もCrowdStrikeならではの組み合わせで実現できます！

---

■こんなうれしい部分も。数クリックでメーカサポートへ問い合わせ可能！問い合わせ窓口を探す苦労からの解放！

Falcon PlatformのGUIからアカウントに紐づけられたサポートポータルへ直リンク可能。
サポートポータルでは問い合わせの状況がすぐに把握できる簡潔なUIが提供されています。
セキュリティメーカーの意外な盲点である、サポートパスのシンプルさと簡易性も確保されています。


ケースの作成もタイトル/本文/製品/CIDなど最低限の情報からオープン可能です。

チャットのような形で過去のやり取りも追いやすくエビデンス(添付ファイル)の追加なども非常に容易に可能です。

---

■使わない機能なら最初は無くてもいい。余計なコストをかけずにまず必要な対策を実現。

冒頭でお話ししましたが、製品には多機能であるメリットとデメリットが存在します。
特に近年では企業規模や人的リソースの有無に関わらず要求される保護のハードルが年々上がりつつあり機器や機能の選定が非常に難しいのが現状です。

結果的に低コストで導入したつもりでいても、実際利用する(している)機能をリストアップすると
「あれ？」
となってしまいがちです。

その点CrowdStrike Falconは限られたリソースの中でもエンドポイントセキュリティとして必須な機能を高い品質でパッケージした製品と言えます。

リソースに不安がある。運用に自信がない。それでも保護の品質を確保したい。さらに言えば先々の機能拡張が容易であればなお嬉しい。
そんな時の選択肢としてもCrowdStrike Falconをご検討してみてはいかがでしょうか。

---

※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
　正確性、最新性、完全性は保証できませんのでご了承ください。