CrowdStrikeのアップデート後にブルー スクリーン エラーが発生する

対象製品：

• CrowdStrike

注：CrowdStrikeの声明: Windowsホスト向けFalconコンテンツ アップデートに関するステートメント .

CrowdStrikeのアップデート後にブルー スクリーン エラーが発生することがあります。

エラー メッセージは次のとおりです。

Stop Code：Page_fault_in_nonpaged_area
What failed: csagent.sys

原因はCrowdStrikeによって調査中です。詳細については、CrowdStrikeにお問い合わせください。https://www.crowdstrike.com/contact-us/

この記事は、詳細が判明した時点で更新されます。

対処方法:

コンピューターを再起動すると、機能しているチャネル ファイルをダウンロードできます。

再起動後にブルー スクリーン エラーが発生した場合は、回避策として次の手順を実行します。

1. コンピュータをセーフモードで起動します。セーフ モードで起動する方法については、Dellナレッジベース記事「Windows 11またはWindows 10をセーフ モードで起動する方法」を参照してください。
2. CrowdStrikeディレクトリーに移動します。タスクバーのフォルダー アイコンをクリックして、 エクスプローラー を開きます。または、[ スタート ]をクリックして エクスプローラー を検索し、エクスプローラー アプリケーションを選択して 、ファイル エクスプローラー アプリケーションを選択することもできます(次のいずれかを実行します)。
   • ファイル エクスプローラーの上部にあるアドレス バーにパスC:\Windows\System32\drivers\CrowdStrike を貼り付け、 Enterを押します。
   • 次の手順に従って、CrowdStrikeフォルダーに移動します。
     1. [スタート]メニューをクリックします
     2. エクスプローラーのアプリケーションをクリックします
     3. [C:/ drive]をクリックします
     4. Windowsフォルダーをクリックします
     5. System32フォルダーをクリックします
     6. ドライバー フォルダーをクリックします
     7. [CrowdStrike]フォルダーをクリックします
3. ファイル C-00000291*を削除します.sys
4. Windowsを起動します。

影響を受けるマシンの特定:

高度なイベント検索(CrowdStrikeアプリケーション内)を使用して、影響を受けるホストを特定するためのクエリー:

}
| default(value="0", field=[CSUcounter, SHBcounter])
// Make sure both ConfigState update and SensorHeartbeat have happened
| selfJoinFilter(field=[cid, aid, ComputerName], where=[{ConfigStateUpdate}, {SensorHeartbeat}])
// Aggregate results
| groupBy([cid, aid], function=([{selectFromMax(field="@timestamp", include=[CFVersion])}, {selectFromMax(field="@timestamp", include=[@timestamp]) | rename(field="@timestamp", as="LastSeen")}, max(CSUcounter, as=CSUcounter), max(SHBcounter, as=SHBcounter)]), limit=max)
// Perform check on selfJoinFilter
| CFVersion=* LastSeen=*
// Calculate time between last seen and now
| LastSeenDelta:=now()-LastSeen
// Optional threshold; 3600000 is one hour
| LastSeenDelta>3600000
// Calculate duration between last seen and now
| LastSeenDelta:=formatDuration("LastSeenDelta", precision=2)
// Convert LastSeen time to human-readable format
| LastSeen:=formatTime(format="%F %T", field="LastSeen")
// Enrich aggregation with aid_master details
| aid=~match(file="aid_master_main.csv", column=[aid])
| aid=~match(file="aid_master_details.csv", column=[aid], include=[FalconGroupingTags, SensorGroupingTags])
// Convert FirstSeen time to human-readable format
| FirstSeen:=formatTime(format="%F %T", field="FirstSeen")

// Move ProductType to human-readable format and add formatting
| $falcon/helper:enrich(field=ProductType)
| drop([Time])
| default(value="-", field=[MachineDomain, OU, SiteName, FalconGroupingTags, SensorGroupingTags], replaceEmpty=true)
| case{
    CSUcounter=0 AND SHBcounter=0 | Details:="OK: Endpoint did not receive channel file during impacted window. Endpoint was offline.";
    CSUcounter=0 AND SHBcounter=1 | Details:="OK: Endpoint did not receive channel file during impacted window. Endpoint was online.";
    CSUcounter=1 AND SHBcounter=1 | Details:="CHECK: Endpoint received channel file during impacted window. Endpoint was online. Endpoint has not been seen online in past hour.";