CrowdStrike Falcon Platformとは

CrowdStrikeには、単一のSaaS環境に接続するさまざまな製品モジュールが含まれています。エンドポイント セキュリティ ソリューションは、CrowdStrike Falcon Sensorと呼ばれる単一のエージェントによってエンドポイント上で実行されます。Falcon Platformは、エンドポイントセキュリティソリューション、セキュリティIT&オペレーション、脅威インテリジェンス、クラウドセキュリティソリューション、ID保護ソリューションに分かれています。これらの製品の詳細については、以下を参照してください。

エンドポイント セキュリティ ソリューション

• Falcon Insight - エンドポイントでの検出と対応(EDR)
  • エンドポイントで何が起こっているかを包括的に可視化し、統合されたXDRを通じてすべての主要なデータ ソースに拡張することで、攻撃者の先手を打ちます。最も巧妙な脅威も詳細に把握し、完全なクロスドメインコンテキストを使用して脅威を迅速に調査し、迅速かつ確実なアクションを通知します。
• Falcon Prevent - 次世代ウイルス対策(NGAV)
  • 最先端の人工知能(AI)と機械学習(ML)の力で、コモディティー マルウェアからファイルレス攻撃やゼロデイ攻撃まで、攻撃を阻止します。当社の優れた脅威インテリジェンス、業界初の攻撃指標、スクリプト制御、高度なメモリー スキャンにより、キル チェーンの早い段階で悪意のある動作を検出してブロックします。
• CrowdStrike Falconデバイス コントロール - USBデバイス コントロール
  • USBデバイスの使用とアクティビティの可視性を高め、包括的なユーザー アクティビティ コンテキスト、詳細なファイル可視性、ソース コードの自動識別を通じて、データ ロス インシデントの監視、プロアクティブなハンティング、調査を行います。
• Falconファイアウォール管理 - ホスト ファイアウォール コントロール
  • ネットワークの脅威から防御し、即座に可視化して保護を強化し、アクションを通知します。
• Falcon for Mobile - モバイル エンドポイントの検出と対応
  • EDRとXDRをAndroidおよびiOSデバイスに拡張することで、モバイルの脅威からビジネスを守ります。
• Falcon Forensics - フォレンジックデータ分析
  • ポイントインタイムおよび過去のフォレンジックデータの収集を自動化すると同時に、包括的なダッシュボードと完全な脅威コンテキストでアナリストの専門知識を強化し、堅牢なフォレンジックインシデント分析を実現します。

セキュリティとIT運用

• CrowdStrike Falcon Discover
  • エンドポイント環境に関する詳細情報を提供します。これにより、管理者はアプリケーションおよび資産インベントリーのリアルタイム情報と履歴情報を表示できます。
• CrowdStrike Falcon Overwatch
  • 24時間体制で実施される脅威の追跡やFalcon OverWatchチームからのEメール通知を提供することで、新たな脅威の兆候が確認されたタイミングで管理者への警告を行います。
• CrowdStrike Falcon Spotlight
  • Falcon Sensorを活用して脆弱性管理を行い、Falconがインストールされているデバイスおよびネットワーク上の近接デバイスのMicrosoftパッチ情報またはアクティブな脆弱性を提供します。

脅威インテリジェンス

• CrowdStrike Falcon検索エンジン
  • CrowdStrike Falcon MalQueryは、高度なクラウドネイティブなマルウェア調査ツールです。セキュリティの専門家や研究者は、マルウェア サンプルの膨大なデータセットをすばやく検索し、潜在的なリスクを検証して、攻撃者の先手を打つことができます。Falcon MalQueryの中核となるのは、特許出願中のテクノロジーによってインデックス化された35億を超えるファイルのマルチペタバイトコレクションです。
• CrowdStrike Falcon Sandbox
  • 管理されたマルウェアの実行を可能にすることで、環境内で確認された脅威についての詳細なレポートを提供し、脅威の主体に関する追加データをワールドワイドに収集していきます。
• CrowdStrike Falcon Intelligence
  • インシデントを自動的に調査し、アラートのトリアージと対応を迅速化します。Falconプラットフォームに組み込まれており、数秒で動作可能です。

クラウド セキュリティ ソリューション

• Falcon Cloud Workload Protection - AWS、Azure、GCP向け
  • Falcon Cloud Securityは、ワークロード、コンテナ、Kubernetesに対する包括的な侵害保護を提供し、組織がクラウドネイティブアプリケーションを迅速かつ自信を持って構築、実行、保護できるようにします。
• Falcon Horizon - クラウド セキュリティ態勢管理(CSPM)
  • Falcon Cloud Securityは、ホストからクラウドまでのクラウドネイティブ資産の継続的なエージェントレス検出と可視性を提供し、全体的なセキュリティ体制と潜在的なセキュリティインシデントを防ぐために必要なアクションに関する貴重なコンテキストと洞察を提供します。
• コンテナのセキュリティ
  • コンテナは、アプリケーションの構築、テスト、および使用方法を変え、アプリケーションを任意の環境に即座にデプロイおよびスケーリングできるようにしました。コンテナの採用が増加するにつれて、コンテナは可視性を欠き、組織にとって無防備な新たな攻撃対象領域として浮上します。

アイデンティティ保護ソリューション

• Falcon Identity Threat Detection(ITD)
  • CrowdStrike Falcon Identity Threat Detection :複雑なハイブリッドIDランドスケープ全体でIDベースのインシデントと異常を詳細に可視化し、ライブトラフィックを動作ベースラインおよびポリシーと比較して、攻撃やラテラルムーブメントをリアルタイムで検出します。
  • CrowdStrike Falcon Identity Threat Protection - 単一のセンサーと統合脅威インターフェイスを使用して、エンドポイント、ワークロード、ID間の攻撃の相関関係を確立し、ID主導型の侵害をリアルタイムで阻止します。

DellおよびCrowdStrikeは、Dellデバイスの購入時にCrowdStrikeを含めるか、ボリュームFlexバンドルを購入することができます。含まれているCrowdStrike製品の詳細については、 Volume Flex Bundles または オンザボックス(OTB)サービスのリストを参照してください。

ボリュームFlexバンドル

• ファルコンプロ
  • ファルコンプリベント
  • Falcon ControlとRespond
  • CrowdStrike標準サポート
• Falcon Enterprise
  • ファルコンプリベント
  • Falcon Insight XDR/EDR
  • CrowdStrike標準サポート
• ファルコンエリート
  • ファルコンプリベント
  • Falcon Insight XDR/EDR
  • Falcon Discover(ファルコンディスカバー)
  • Falcon Identity Protection
  • CrowdStrike標準サポート
• オプションのFalconモジュールまたはサービス
  • ファルコンインテリジェンス
  • Falconデバイス制御
  • Falconファイアウォール管理
  • ファルコンオーバーウォッチ
  • CrowdStrike Essentialサポート

On-The-Box(OTB)オファー

• Falcon Endpoint Protection Pro OTB
  • ファルコンプリベント
  • Falcon ControlとRespond
  • Falconデバイス制御
  • CrowdStrike Essentialサポート
• Falcon Endpoint Protection Enterprise OTB
  • ファルコンプリベント
  • Falcon Insight XDR/EDR
  • Falconデバイス制御
  • Falcon脅威グラフ
  • CrowdStrike Essentialサポート
• Falcon Endpoint Protection ProおよびDell Secured Component Verification on Cloud (SCV on Cloud)エンドポイント バンドルOTB
  • ファルコンプリベント
  • Falcon ControlとRespond
  • Falconデバイス制御
  • CrowdStrike Essentialサポート
  • Dell Secured Component Verification on Cloud (SCV on Cloud)

• オプションのFalconモジュールまたはサービス
  • Falcon ControlとRespond
  • ファルコンインテリジェンス
  • Falcon Insight XDR/EDR
  • Falconファイアウォール管理
  • ファルコンオーバーウォッチ
  • Falcon Discover(ファルコンディスカバー)
  • Falcon Identity Protection
  • Falcon脅威グラフ

CrowdStrikeはエージェント ベースのセンサーであり、Windows、Mac、Linuxオペレーティング システムに対して、デスクトップまたはサーバー プラットフォーム用のインストールが可能です。これらのプラットフォームは、クラウド ホスト型のSaaSソリューションを利用することで、ポリシーの管理、レポート データの制御、脅威の管理と対応を行います。

CrowdStrikeは、オフラインまたはオンラインで動作し、エンドポイントで実行しようとするファイルを分析します。これは次を使用して行います。

• 定義済み防止ハッシュ
• 攻撃についての行動的な指標
• 既知のマルウェア
• 悪用の緩和

詳細については、該当するオペレーティング システムをクリックしてください。

定義済み防止ハッシュ

定義済み防止ハッシュとは、良性であるか悪性であるかを特定したSHA256ハッシュのリストです。このハッシュの定義では、「ブロックしない」か「常にブロック」がマーク付けされます。

「ブロックしない」と定義されるSHA256ハッシュの情報源としては、基幹業務用の社内アプリケーションに対する以前のウイルス対策ソリューションから、該当アイテムのリストとして提供される場合もあります。お使いの環境で既知の良性ファイルを許可リスト化する最も迅速な方法は、社内アプリケーション用の定義済み防止ハッシュのリストをインポートすることです。

「常にブロック」と定義されるSHA256ハッシュの情報源としては、お使いの環境で過去に検出されたか、信頼できるサード パーティーから提供された、既知の有害なハッシュのリストとして提供される場合もあります。

防止ハッシュのアップロードはバッチで行う必要はなく、手動で定義したSHA256ハッシュを設定することも可能です。単一または複数のハッシュが提供されている場合は、CrowdStrikeバックエンドからそれらのハッシュに関する詳細情報が要求されます。これらのハッシュ（お使いの環境のデバイス上にある場合）に関する補足情報（ファイル名、ベンダー情報、ファイル バージョン番号など）は、お使いの環境の情報に基づいて入力されます。

攻撃についての行動的な指標

攻撃として定義されたすべてのアイテム（行動に基づく）は通常、機械学習の値に基づいて行われます。これは、センサー用またはクラウド用のいずれかに設定できます。CrowdStrike Falconプラットフォームによる脅威の特定では、2段階プロセスの機械学習モデルが活用されています。これは最初にローカル エンドポイントで実行され、エンドポイントでの潜在的な脅威に即座に対応します。こうした脅威はクラウドに送信され、二次分析が行われます。脅威に関するクラウドでの分析がローカルでのセンサー分析と異なる場合は、デバイスに定義された防御ポリシーに基づいて、エンドポイントで追加のアクションが必要とされることもあります。

脅威や潜在的に望ましくないプログラムの検出を強化するために、製品には新たな指標が常に追加されています。

既知のマルウェア

CrowdStrikeは、グローバルに蔓延する脅威やその主体に関するさまざまな情報を、一元化されたインテリジェンスとして提供します。こうしたリストは、特定済みの脅威に対する保護の組み込みに活用されます。

悪用の緩和

どのような環境も、常にさまざまな脆弱性が発生する危険性を抱えています。特定の環境に影響を与える既知となった脆弱性に対処する重要なパッチがまだリリースされていない場合、CrowdStrikeはそうした脆弱性をターゲットにした動作を監視し、脆弱性を悪用しようとする有害な行為を防止します。

falcon@crowdstrike.comからの招待通知には、CrowdStrike Falcon Consoleのアクティブ化リンクが含まれており、これは72時間有効です。72時間の経過後は、ページ上部のバナーを用いて各自のアカウントへの新しいアクティブ化リンクの再送信をするように求められます。

DellからCrowdStrikeを購入したお客様は、Dell Data Security ProSupportに問い合わせることでサポートを受けることができます。詳細については、「How to Get Support for CrowdStrike」を参照してください。

CrowdStrike Falcon Consoleでは、2要素認証(2FA)アクセス用にRFC 6238時間ベースのワンタイム パスワード(TOTP)クライアントが必要です。

セットアップの詳細については、「CrowdStrike Falcon Consoleで2要素認証（2FA）を設定する方法」を参照してください。

CrowdStrikeは、デスクトップまたはサーバー プラットフォームのWindows、Mac、Linuxオペレーティング システムでの利用が可能です。すべてのデバイスは、ポート443を介してHTTPSでCrowdStrike Falcon Consoleと通信します。

要件の完全なリストについては、「CrowdStrike Falcon Sensorのシステム要件（英語）」を参照してください。

ダウンロード プロセスの詳細については、「CrowdStrike Falcon Sensorのダウンロード方法」を参照してください。

管理者は、必要に応じてCrowdStrike Falcon Consoleに追加できます。詳細については、「CrowdStrike Falcon Consoleの管理者を追加する方法（英語）」を参照してください。

メンテナンス トークンを使用して、不正な削除や改ざんからソフトウェアを保護することができます。詳細については、「CrowdStrike Falcon Sensorのメンテナンス トークンの管理方法（英語）」を参照してください。

CrowdStrike Falcon Sensorのインストールは、次の方法で行えます。

• Windowsの場合はユーザー インターフェイス（UI）またはコマンド ライン インターフェイス（CLI）から
• Macの場合はターミナルから
• Linuxの場合はターミナルから

インストール プロセスの詳細については、「CrowdStrike Falcon Sensorのインストール方法」を参照してください。

CrowdStrikeのお客様ID（CID）は、インストール時にCrowdStrike Falcon Sensorを適切なCrowdStrike Falcon Consoleに関連付けるために使用されます。

CIDは、ホストのセットアップと管理、センサーのダウンロードの順に選択することで、CrowdStrike Falcon Console (https://falcon.crowdstrike.com)内に配置されます。

詳細については、「 CrowdStrike Customer IDの入手方法(英語)」を参照してください。

CrowdStrike Falcon Sensorのバージョンは、次の状況下で必要になる場合があります。

• システム要件の検証
• 既知の問題の確認
• プロセスの変更の理解

製品UIは用意されていないため、バージョンの確認は、コマンド ライン（Windows）またはターミナル（Mac/Linux）で行う必要があります。

これらのコマンドの詳細については、「CrowdStrike Falcon Sensorのバージョン確認方法」を参照してください。

CrowdStrike Falcon Sensorの除外では、Secure Hash Algorithm（SHA）-256を使用できます。詳細については、「 セキュリティ アプリケーション用のファイルのSHA-256ハッシュを識別する方法(英語)」を参照してください。

基本的な運用ログは次の場所に保存されています。

• Windows
  • Microsoftのイベント ビューアー アプリケーション
    • アプリケーション ログ
    • システム ログ
• Mac
  • システムログ
• Linux
  • ディストリビューションによる差異はありますが、通常は各ディストリビューションのプライマリー ログの保存先にあります。
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

詳細については、「CrowdStrike Falcon Sensorのログの収集方法」を参照してください。

CrowdStrike Falcon Sensorの削除は、次の方法で行えます。

• Windowsの場合はユーザー インターフェイス（UI）またはコマンド ライン インターフェイス（CLI）から
• Macの場合はターミナルから
• Linuxの場合はターミナルから

詳細については、「CrowdStrike Falcon Sensorのアンインストール方法」を参照してください。

CrowdStrike Falcon Sensor Uninstall Toolは、CrowdStrike Falcon Console内でダウンロードすることができます。詳細については、「CrowdStrike Falcon Sensor Windows Uninstall Toolのダウンロード方法」を参照してください。

はい。通常、ウイルス対策ソリューションの複数実行は推奨されませんが、CrowdStrikeについては複数のウイルス対策ベンダーでのテストがされており、エンドユーザーに問題を引き起こすことなくレイヤー化できることが確認されています。CrowdStrikeでは通常、追加のウイルス対策アプリケーションの除外は必要ありません。

問題が発生した場合は、CrowdStrike Falcon Console (https://falcon.crowdstrike.com )で［Configuration］＞［File Exclusions］を選択して、除外を追加することができます。こうした追加のウイルス対策アプリケーションで除外されるのは、サードパーティーのウイルス対策ベンダーから提供されるものです。

Windowsで生じるCrowdStrikeとサード パーティー製品との互換性の問題の多くは、CrowdStrikeのユーザー モードの動作変更で解決できます。

1. CrowdStrike Falcon Consoleにログインします。
2. [Endpoint Security]をクリックし、[Prevention Policies]を選択します。

3. 適切なポリシー グループの［Edit］アイコンをクリックします。

4. Sensor VisibilityEnhanced Visibilityをクリックします。

5. ［Additional User Mode Data］をオフにします。

6. クリックしてポリシーの変更を 保存します 。