株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > CrowdStrike > 情シス担当者さん必見!CrowdStrike Falcon Completeで変わるセキュリティ対策 責任範囲理解編

情シス担当者さん必見!CrowdStrike Falcon Completeで変わるセキュリティ対策 責任範囲理解編

CrowdStrike Security Managed Detection and Response

前回、CrowdStrike Falcon Completeをご紹介しました。CrowdStrike Falcon Completeは、AI技術と専門家チームによる24時間365日の監視・対応を組み合わせたマネージド検出・レスポンス(MDR)サービスではありますが、お客様セキュリティ運用すべてをマネージドサービスとして提供するものでありません。

また、マネージドサービスではありますが、スタートするまでにお客様が実施すべき作業もあります。

Falcon Completeの責任範囲とともに、サービスを導入する際にお客様が実施する作業や運用時のポイントについても整理していきたいと思います。

 

↓↓↓前回の記事はこちらからご確認ください↓↓↓

blogs.networld.co.jp

Falcon Completeのサービス範囲

  • Falcon プラットフォームの維持・管理
  • Falconセンサーがインストールされたエンドポイントの管理
  • 24時間365日の継続的監視
  • アラートの分析と対応の優先順位付け
  • 詳細な脅威調査とお客様と事前定義済みのプレイブック(Appendix B)に従ったインシデント対応(封じ込め、排除、復旧)
  • プロアクティブな脅威ハンティング
  • インシデント対応後の詳細な報告
  • 運用モデルの設計
  • 承認が必要なホワイトリスト登録のリクエスト、アクティビティ、エスカレーションの確認
  • オンボーディング時のFalcon Platformへの設定・構成
  • オンボーディング時の環境クリーニング
  • EDRログの常時監視
  • センサーのバージョンアップ管理

Falcon Completeのサービス範囲外となる作業

以下の作業はFalcon Completeのサービス提供範囲外となりますので、お客様側で実施いただく必要があります。

  • ディスクのフォレンジック解析
  • アドバイザリーサービスやコンサルティングサービス (システム構成管理、パッチ管理、ユーザートレーニング、ペネトレーションテストなど)
  • その他の戦略的サイバーセキュリティサービス
  • 削除、暗号化、損失データの回復サービス
  • 「対象エンドポイント」(Falconセンサーの入っているエンドポイント)以外のホストやエンドポイントに対するサービス
  • ネットワーク接続の問題(Wi-Fiの障害、プロキシ設定ミスなど)
  • Falconセンサーの導入サービス
  • Falcon 製品の保守サポートサービス
  • Falcon Completeに含まれないライセンスに対してのサポートサービス

Falcon Completeはお客様のセキュリティ体制を担う専門組織として主体的に運用を行うサービスになります。フォレンジックやコンサルティング等のサービスは提供されていません。

Appendix BというFalcon Completeサービスにおける事前に合意されたプレイブックの内容をもとに運用を行います。

また、開始までのセンサーの導入や製品保守サポート問合せ、Falcon Completeに含まれないオプション製品についてもサービス範囲外となります。

導入の支援はご購入いただいたパートナー様もしくはネットワールドのようなディストリビューターで支援いたします。製品サポート窓口についても日本ではネットワールドのようなディストリビューターで窓口を開設しています。

注意 ディストリビューターによるサポート窓口は”チャネルパートナー運営サポート”と同一です。

 

お客様(ユーザー)が実施すべきこと

Falcon Completeサービスを効果的に運用するためには、お客様による以下の実施事項が重要です。

注意 Falcon Completeの運用にあたって必要な点の大半は記載していますが、詳細についてはサービス購入後に提供されるドキュメントをご確認ください。
  • CrowdStrikeと協力し、オペレーティングモデル( Appendix Bを含む)にお客様の情報を文書化する
    • 特に、Appendix B(事前合意されたプレイブック)の定義と記入
    • オペレーションモデルとAppendix Bの説明内容の理解
  • 定義されたセキュリティポスチャーに基づく、検知・防御・対応に関するポリシーの理解 
  • Falconセンサーの配布・導入
  • 必要に応じたAppendix Bの定期的な更新
  • Falcon Complete Teamからチャネルパートナー運営サポートにエスカレーションされた際のチャネルパートナー運営サポートとのやり取り
  • 調査や修復のためにお客様のアクションや承認が必要な場合
  • 事前承認されていない修復対策の承認確認
  • CrowdStrikeが管理していないインフラストラクチャの脆弱性に対処するために、インシデントごとに必要に応じて推奨されるリカバリクションを実行する
  • Falcon Platformによって生成されるアラートメールの確認
  • 各種問い合わせ(通常/緊急)の実施 (メールによる問い合わせ受付は24時間365日可能です)
  • Falconコンソールへのアクセス (お客様担当者様)

青字部分はFalcon Completeの運用開始前までにお客様で実施が必要な作業です。

それ以外にも Appendix B の指定次第でお客様側で判断が必要なことや、Falcon Completeのサポート範囲外であるネットワーク機器などに対しての対処についてもお客様の作業範囲となります。

 

ここまでおそらく疑問になっている Appendix B と緑字部分のサポート問合せFalcon Sensorの導入について補足していきたいと思います。

Appendix B とはなにか?

固い説明だと下記のようになります。

Appendix BとはFalcon Completeサービスにおける事前に合意されたプレイブックです。これは、お客様とCrowdStrikeが協力してオペレーティングモデルにお客様の情報を文書化する一部として定義されます。このAppendix Bの内容に基づいて、Falconプラットフォームが設定され、Falcon Completeのサービスが提供されます。

Falcon Completeではある程度決め打ちの運用モデルが定義されていますので、その中でどのモデルを利用し運用するかを選択するような形になります。

また、「PCとサーバーで運用モデルを変えたい!」といったご要望にも答えられるようにどういったルールでPCとサーバーのルールを作るといった指定も可能です。

Appendix Bには、主に以下の項目が記載されていますのでお客様で入力後、Falcon Completeチームに送信します。

注意 項目の詳細内容はサービス契約後に提供されるファイルでご確認ください。
  • 連絡先リスト及び通知設定
  • アセットグループの設定
  • 適用するセキュリティポスチャー(ポリシー)設定
  • ポリシーの割り当て基準
  • センサー更新ポリシーの設定

どこにサポート問合せをすればよいか?

日本では製品サポート窓口をネットワールドのようなディストリビューターが提供していますが、Falcon Completeのサービスとしても何かあればFalcon Completeの窓口まで問い合わせくださいと案内をされています。

ユーザーとしては「どちらに問い合わせをすればよいのか?」となりますが、結論としてはどちらでも問題ありません。CrowdStrikeとネットワールドが連携しながら対応します。

画像のように質問する内容によって問合せ窓口は異なります。

サポート体制の実運用としては、Falcon Completeチームとネットワールドのサポートチームは裏で連携して動いていますので、どちらにお問い合わせいただいてもお互いに連携しお客様のご質問に対応できる体制となっています。

お客様として「この問題はネットワールドだ!」と判断できる内容であればよいですが、そういったものばかりではないかと思います。

そういった場合は Falcon Complete を第一の問い合わせ先として利用していただければ問合せ内容によってネットワールドに問い合わせが転送されますので安心してお問い合わせいただければと思います。

Falcon Sensor の導入

Falcon Completeの契約後、お客様が実施すべき作業のうち一番工数のかかる作業がFalcon Sensorの導入です。

Falcon Sensorの導入支援は Falcon Completeのサービス範囲外です。

本ブログの記事でもインストール方法をご紹介していますが、お客様の環境に合わせてFalcon Sensorをインストールする必要があります。

インストール方法の手順はネットワールドサポートポータルでも公開しています。Active Directoryを利用した展開方法のガイドなどもサポートポータルで公開していますのでインストールを進めてください。

補足 ネットワールドでFalcon Sensorの導入支援メニューなどもご用意しております。

Falcon Complete 利用にあたって前提となる知識について

Falcon Completeは、24時間365日体制でのアラート監視、初動対応、封じ込めなどを代行する非常に強力なセキュリティ運用支援サービスです。ただし、Falcon Completeがカバーするのはあくまで「サイバーセキュリティ上の脅威」に関する部分です。一般的な製品のトラブルに関しては、お客様のご協力のもと、チャネルパートナー運営サポート・メーカーサポートと解決する必要があります。

そのため、以下のような最低限の知識・体制が社内に必要となります。

  • 基本的なトラブルシュート能力(ネットワーク接続、OS起動、ログイン不具合など)
  • チャネルパートナー運営サポートとの直接のやり取りが必要な場面に備えた体制

Falcon Completeは「セキュリティ体制を担う専門組織として主体的に運用」を行うサービスであり、一般的なITヘルプデスク業務の代替ではありません。したがって、サービス導入時には、自社のIT担当者がその前提を理解し、適切に役割を分担できる状態を整えておくことが重要です。

まとめ

今回は、Falcon Completeの責任範囲というやや細かな点についてご案内しましたが、これはサービスをスムーズかつ迅速にご利用いただくために事前に理解しておいていただきたい内容です。現在導入をご検討中の方や、契約予定だがサービス開始まで不安を感じている方のご参考になれば幸いです。

また、Falcon Completeについて直接確認したいことや、導入に関する不安、支援サービスの詳細など、ご質問やご相談がございましたら、お気軽にネットワールドのお問い合わせ窓口までご連絡ください。

www.networld.co.jp