株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > CrowdStrike > APIでFalconを操作してインストールトークンの期限設定しよう
最終更新日

APIでFalconを操作してインストールトークンの期限設定しよう

CrowdStrike

こんにちは。APIでCrowdStrike Falconを操作しようシリーズ(?)第2弾です。

今回は、APIでしかできない操作の1つであるインストールトークンの自由な期限の設定を試してみたいと思います。

インストールトークンとは?

インストールトークンは、誤ってまたは悪意のある操作によって、無許可のホストがお客様のCID(お客様が利用されているFalconの環境)に追加されてしまうのを防ぐためのセキュリティ機能です。
これはCID(カスタマーID)に対する保護の一つで、インストール時にセンサーにトークンを渡すことで、正規のホストだけが登録されるようになります。

前提として、Falcon Sensor の導入時に使用する CID(カスタマーID)と CheckSum は、本来外部に公開しない前提で運用する情報です。
ただし、それだけでは不安な場合や、CIDの保護をより強化したいユーザー様向けに用意されているのが「インストールトークン」 という機能です。

インストールトークンの期限

インストールトークンをFalcon Console上で作成する場合、期限は以下の設定から選択するしかありません。

  • 1年
  • 90日
  • 30日
  • 無期限

例えば、全社展開を2週間で行うのでその間だけ使えるインストールトークンが欲しい!という場合は、期限の日に管理者がインストールトークンを 取り消す 必要があります。
取り消しを忘れてしまう場合や運用上日付を指定したい!!といった場合、APIを利用することで 管理者が指定した日付でインストールトークンを作成する ことができます。

手順

設定の大きな流れは APIで CrowdStrike Falcon を操作してみよう の手順と同じです。
異なるポイントは

  • APIクライアント/キーに必要なスコープが異なる
  • 利用するAPIが異なる

です。

blogs.networld.co.jp

APIクライアント/キーの作成

APIクライアントキーの作成で スコープ : Installation Tokens の読み取りと書き込み両方の権限を付与して作成します。

ここでは簡易的な手順を記載します。
手順の詳細は APIで CrowdStrike Falcon を操作してみよう をご参照ください。

  1. Falcon Consoleにログインしているブラウザ上で https://falcon.us-2.crowdstrike.com/api-clients-and-keys/clients にアクセスします。
  2. APIクライアントの作成 ボタンをクリックします。
  3. クライアント名を指定し、スコープ : Installation Tokens の読み取りと書き込み両方の権限を付与して作成します。

Swaggerへのアクセス

APIへのアクセスも前回の記事と同様にSwaggerを利用することができます。
Swaggerにアクセスし、APIクライアント/キーを利用してトークンを取得します。

  1. Falcon Consoleにログインしているブラウザ上で https://assets.falcon.us-2.crowdstrike.com/support/api/swagger-us2.html#/ にアクセスします。
  2. Authorize のボタンをクリックします。
  3. 作成したAPIクライアント/キーを client_idclient_secret に入力し、Authorizeをクリックします。

期限を指定したインストールトークンの作成

/installation-tokens/entities/tokens/v1 を利用してAPIでトークンを作成します。

  1. Swaggerにアクセスし、/installation-tokens/entities/tokens/v1 を検索、開きます。

  2. Try it out をクリックします。

  3. body の部分が編集できるようになります。
    指定する内容は下記です。

    設定名 内容
    expires_timestamp インストールトークンの期限(UTC指定)
    label インストールトークンの名前、Falcon Console上の表示名
    type "customer_managed"と指定でOK

    期限の日付指定は「ISO 8601形式の日時」かつ UTC で指定する必要があります。
    日本時間のまま指定することができません。

    今回は下記のように設定する想定でbodyに書きます。

    設定名 備考
    expires_timestamp 2025-04-25T10:00:00Z 2025年4月25日 19:00(日本時間)のUTC時間
    label demo_token_1
    type customer_managed 
   {
   "expires_timestamp": "2025-04-25T10:00:00Z",
   "label": "demo_token_1",
   "type": "customer_managed"
   }

  1. 結果を確認します。 ResponsesCode の数字が 201 であれば作成されています。
    Response body の内容を確認し、"label""expires_timestamp" の値が指定した値となり、"status""valid" となっていることを確認します。

Falcon Console で確認

Falcon Consoleにログインし、インストールトークンの一覧でAPI経由で作成したトークンがリストされていることと 期限が日本時間の値 となっていることを確認します。

以上です。
今回はAPIでしかできない設定と試してみました。
インストールトークンについてはAPIを利用することで柔軟に期限指定できますので利用されている皆様はぜひ試してみてください。