こんにちは。前回の利用ガイド(1)に続き、ご利用中に必要となる作業、確認ポイントについてご紹介します。
利用ガイド(1)は下記URLをご参照ください。
脅威の検知した際の対処
Falcon Goで脅威を検知した際の対処方法をご紹介します。
隔離されたファイルの確認
Falcon Goでは、検知された脅威のあるファイルが自動的に隔離されます。
隔離されたファイルは、メインビューの「隔離されたファイル」タブから確認できます。
通常は安全のために隔離されますが、まれに必要なファイルが誤って隔離される場合(誤検知)があります。
その場合は、この一覧からファイルを選び、元の場所に戻すことも可能です。
検知の確認
Falcon Goでは、脅威となる動きやファイルを検知すると自動的に通知します。
検知の内容によっては、実際のファイルが隔離されない場合もあります。たとえば、Powershellなどのスクリプトによる攻撃(いわゆるファイルレス攻撃 の場合、ファイル自体が存在しないため隔離は行われません。
このようなときは、「隔離されたファイル」一覧には表示されません。
なぜ検知されたのかを確認するには、「検知」一覧を確認する必要があります。
検知された理由を正確に知りたいときは、検知の一覧を確認しましょう。
検知の横にある iマーク にマウスを合わせると表示される テクニカルコンソールで参照してください のリンクをクリックします。
プロセスがブロックされているため攻撃を止めた状態になっています。
例えば.ps1ファイルが実行されその振る舞いで検知された場合、検知のもとになった .ps1 ファイルを別途削除する必要があります。
USBコントロールの確認
USBコントロールの画面では以下の3点がメインになります。
- USBデバイス制御の設定(ポリシーの設定)
- デバイス上で検出されたUSBデバイスの確認と許可設定
- USBデバイスに書き込まれたファイルの確認
1.のポリシー設定については利用ガイド(1)をご確認ください。
2.デバイス上で検出されたUSBデバイスの確認と許可設定
USBコントロールを開き、最近検出したUSBデバイスを選択するとUSBデバイスの一覧が表示されます。
例えば、Mass Storage(USBストレージデバイス、USBメモリ等)をブロックで運用しているが、会社所有のUSBメモリだけは許可したいといった場合、常に許可するのチェックをつけることで該当のUSBメモリだけが利用できるようになります。
3. USBデバイスに書き込まれたファイルの確認
USBコントロールを開き、USBに書き込まれたファイルを選択すると書き込まれたファイル一覧が表示されます。
デバイスの一覧
Falcon センサーを導入したデバイス一覧を確認します。また、デバイスからFalcon センサーをアンインストールする際にはこの画面からアンインストールトークンを入手する必要があります。
メインビューからデバイスを開きます。
アンインストールトークンはデバイス毎に設定されています。対象デバイスのアンインストールトークンのボタンをクリックします。
トークンの表示をクリック後、コピーでアンインストールトークンをコピーします。
Windows場合、WindowsメニューのアプリからFalconセンサー(表示名:CrowdStrike Windows Sensor)をアンインストールする際にトークンの入力が求められます。
リソースセンターの確認
管理者の確認が必要なタスクがある場合はリソースセンターからタスクを確認できます。
まとめ
今回は、Falcon Goの利用中に必要となる基本作業や確認ポイントをご紹介しました。
Falcon Goは、通常のFalcon製品よりも設定項目がシンプルで、メインビューから直感的に操作できます。
そのため、専門的な知識がなくても安心して運用を始められる設計になっています。
ご紹介した手順は日常的な確認程度の内容ですので、兼任の管理者の方でも無理なく対応できると思います。
もし操作で不明点がある場合や、弊社経由でご購入いただいた製品に関するご質問は、弊社サポート窓口までお気軽にお問い合わせください。
購入前、製品に関してのお問い合わせは弊社お問い合わせ窓口までご連絡ください。
