■はじめに

本記事ではCrowdsrike Falcon for IT機能のご紹介を掲載しています。

機能の使い方や用途などがわからないといったお悩みをお持ちの方はぜひご覧ください。

=============================
もくじ

■Falcon for ITとは？
■利用準備
■機能の仕様
 ■ユースケースとして考えられるもの
■最後に

=============================

■Falcon for ITとは？

Falcon for IT【機能概要】

ライブアセットクエリを使用して環境内の管理対象ホストの情報を取得
取得したデータはダッシュボードなどで可視化し活用可能
RTRを利用したリモートアクションの実行も可能

➡ サイバーハイジーンや資産管理を支援/強化できる機能です。

また、サイバーハイジーンや資産管理の観点ではこれらで取得した情報や実行したリモートアクションを起点に他機能と連携するような仕組みも少なくありません。
今後の進化についても期待できる機能ですね。

機能要件

サブスクリプション：
Falcon for IT（Falcon Insight XDRアドオン）
センサーサポート：
サポートされているすべてのセンサーバージョン
対象ホスト：
- Windows 10 / Windows Server / Windows 11（Arm64含む）
- macOS Monterey 12以降
- Linux（サポートディストリビューション）
CrowdStrikeクラウド：
- US-1 / US-2 / EU-1 / US-GOV-1 / US-GOV-2

⚠ 64bitホストのみ対応

※2026/3月現在

■利用準備

セットアップ（RTR）

利用に際しては、レスポンスポリシー（RTR）の設定が必要です。

管理コンソールからエンドポイントにクエリを投げたりファイルをプッシュするには事前に関連したコマンドの実行許可が必要です。

セットアップ（IT自動化）

IT自動化ポリシーの設定

リソース制御のガードレール設定
端末動作への影響を抑制

以上のポリシーを、Falcon fo ITを使用したデバイスグループに割り当てることで準備完了です！

■機能の仕様

ライブアセットクエリ

オンラインホストを対象にクエリ実行
取得可能情報：
- プロセス
- カーネルモジュール
- ネットワーク接続
- ブラウザプラグイン
- ファイルハッシュなど、OSクエリやScriptで取得できるものであれば他にも様々！
  OSクエリとスクリプト双方で取得できる情報の種類が変わるので、使い分けにより多くの情報を取得できます。
結果はテーブル形式
実行方法：
- 単発
- スケジュールなど

⚠ オフライン端末は取得不可（キャッシュなし）

AI (Charlotte AI)による自然言語生成あり（※クレジット消費）

通常クエリ：osquery / スクリプト
複合クエリ：Composite
- ホスト属性も同時取得可能

ステータスタブでクエリの実行状況を確認可能 ※失敗した理由も見れる

タスクの種類

2種類：クエリタスク⇒ライブアセットクエリで情報を取得するクエリを保存したもの
　　　アクションタスク（スクリプト実行）⇒複数端末にスクリプトを実行可能(エンドポイントの設定変更を含むものはこちらが使いやすい)

アクションタスクの例

アクションタスクはタスクの作成から作成

アップロードされたアクションファイル保存先：

Windows：
C:\Program Files\Falcon4IT\Tasks\{GUID}
macOS：
/Applications/Falcon4IT/tasks/{GUID}
Linux：
/opt/falcon4it/tasks/{GUID}

⚠ GUIDは毎回変更されます。

実行結果の例
※今回はツールとして公開されているCsUninstallTool.exeを配布/実行するアクションタスクを実行(リモートアンインストールに利用できるか確認)したので、本来であればクライアントがアンインストールされ以下のような結果は返ってきません。
下記の画面はあくまで一例です。

ちなみにアンインストールの結果を確認するために事前にFalconクライアントのサービス状況を取得しておき、作業後に同じクエリの返りを見ることで実施確認という使い方もできます。アンインストールしてほしいわけではないですが、権限などの関係で中断されてしまいがちな作業もしっかり完遂できるつくりであるという証左となります。