はじめに

本記事は現在CrowdStrikeをご利用の方向けにチャネルファイル管理機能のアップデートについて記載いたします。

※本記事でご紹介している内容は、投稿時点での情報となります。今後のアップデート状況により変更される場合がございます。

　

チャネルファイル管理機能のアップデート

今回のアップデートでは、各チャネルファイルに関して詳細な設定および適用が可能となりました。内容については以下表にてご確認ください。以前まではセンサーオペレーション、ラピットレスポンスコンテンツのチャネルファイルがCID単位で制御を行っていたものが、2025/01/09から制御できるチャネルファイルの種類の細分化とホストグループ単位での制御が可能となりました。

2025/01/09以降、主な管理方法としてホストグループ単位となり、一部ラピットレスポンスコンテンツのチャネルファイルのみがCID単位で管理する方式となりました。
※来年度にHost Group単位での設定を実装予定となります。

　

各チャネルファイル機能概要

今回のアップデートに伴い、改めて各チャネルファイルの概要について解説いたします。
・センサーオペレーションチャネルファイル
センサーオペレーションチャネルファイルは、機能制限モード (RFM) を回避するためのWindowsとLinuxカーネルの更新に対応するセンサー設定と互換性情報を提供します。これには、センサーの安定性と整合性に影響を与えるその他の設定も含まれます。

・システムクリティカルチャネルファイル
システムクリティカルチャネルファイルは、Falconセンサーがシステムの継続的な安定性を確保するために必要なコンテンツです。重要なチャネルファイルのためPause設定は行えません。

・脆弱性管理チャネルファイル
脆弱性コンテンツは、センサーに脆弱性の定義とデータを提供します。Exposure ManagementまたはSpotlightをご購入いただいているユーザ様のみ設定が表示されます。

・ラピットレスポンスコンテンツチャネルファイル
Linux、macOS、Windows全体でアラートを管理するために作成されるチャネルファイルの許可リスト/ブロックリストとして機能します。このコンテンツは、脅威インテリジェンスの一致をインジケーターまたは検知として扱うために、センサーの振る舞いの動的更新をサポートします。

　

コンテンツ更新ポリシー設定方法

アップデート内容および各チャネルファイルを解説したところで実際のコンテンツ更新ポリシーの設定方法について紹介いたします。
1.Falconコンソールにログインし、ハンバーガーメニューから「ホストのセットアップおよび管理」＞「デプロイ」＞「コンテンツ更新ポリシー」へ移動します。
何も設定されていない状態では、すべての端末が「デフォルト（all）」のポリシーに適用されています。ポリシーの中身を確認すると、すべてGA（デフォルト）で設定されています。

※メーカー推奨値としてはGA（デフォルト）でございますが、お客様環境で柔軟に設定いただくことも可能です。

2.新しくポリシーを作成する手順をご紹介いたします。先程のポリシー選択画面に戻り、「ポリシーの作成」をクリックします。ここでは、ポリシー名と任意で説明文を入力して「ポリシーの作成」をクリックします。
3.各チャネルファイルの配信タイミングを設定します。

4.設定後はポリシーを「保存」します。次に、「割り当て済みホストグループ」＞「ホストグループをポリシーに割り当てる」を選択し、適用するホストグループを選択し、「グループの割り当て」をクリックします。

5.「ポリシーの有効化」をクリックし、設定が完了となります。

　

まとめ

いかがでしたでしょうか。チャネルファイルはセキュリティ本来の目的であるの脅威を防止する、という点で最重要となる要素でございます。
また、本記事と併せてコンテンツ更新に関するRelease Noteを受信する方法についても変更がされております。
別記事にて掲載しておりますのでご確認ください！
◆【CrowdStrike】コンテンツ更新に関するRelease Noteの運用について

　

---

※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
　正確性、最新性、完全性は保証できませんのでご了承ください。