よくあるご質問(FAQ)
Falcon Sensor
- Windowsの「プログラムと機能」にFalconが複数存在します。どう対処すればいいですか?
Windows Sensor のアップグレード中における何らかの原因により、Windows の「プログラムと機能」画面において、複数のCrowdStrike Falcon Sensorが存在している場合があります。これは、アップグレード中に削除するはずのデータがレジストリ上に残存してしまっていることに起因します。アップグレード自体が完了している場合、レジストリの当該箇所を削除することでインストールされているセンサーのみを表示させることが可能です。また、この状態は稼働中のセンサーの動作に影響を与えるものではなく、表示にのみ関連した事象となります。
- 他社製のセキュリティ製品と同居させても問題ないですか?
アンチウィルス・情報漏えい対策・資産管理等セキュリティ製品は、その役割として不審なファイルのブロックや隔離を行いますが、その動作の中でFalconの動作に必要なファイルをブロック・隔離して正常な動作を阻害することがあります。
- インターネットに接続していない環境でCrowdStrike falconを利用可能でしょうか?
インターネットに接続できないオフライン環境では、センサーをインストールすることができません。そのため、最低限インストール時のみでも(インターネットを介して)falconのクラウドとの接続が必要となります。端末にセンサーをインストールすることができれば、センサー自体にも検知ロジック(Sensor Machine Learnin)を保持しているため、オフライン環境下でも一部の検知やブロック(Sensor Machine Learninの検知ロジックで検知可能な対象等)が可能となりますが、それ以外のCloud Machine Learning(クラウドベースのML)による検知や振る舞い検知等は行わ れません。また、オフライン環境下では、端末の情報をfalconクラウド側に送信することができないため、検知アラートを管理コン ソール(falcon UI)上から確認することはできないため、検知の確認やログの探索を行うこともできません。 そのため、やむを得ずオフライン環境下でfalconセンサーをご利用になる場合、例えばプロキシ経由で最低限falconのクラ ウドのみとは通信可能な状態にしていただく等の対応を行うことを推奨させていただきます。
Falcon UI
- Falcon Sensorをアンインストールする時に必要なメンテナンストークンはどこから取得できますか?
Uninstall and Maintenance Protectionが有効となっているポリシーが適用されているホストは、FalconUIからホスト毎にメンテナンストークンの取得が可能となっております。また、これが無効となっているポリシーが適用されたホストはメンテナンストークンの入力なしにローカル管理者権限によるSensorのアンインストールが可能となります。メンテナンストークンはFalconUI上でのみ取得可能となっております。
- FalconAdministratorまたはEndpointManagerの権限持つユーザーでFalconUIにログイン
- HotsAppからHostManagementを開く
- 対象となるホストを選択し、右側に表示される詳細メニューのRevealMaintenaceTokenをクリックするとトークンの文字列が表示されますので、テキスト等にコピーの上対象ホストのメンテナンストークン入力画面に適用して下さい。
- Falcon UIへのログインに失敗してロックされてしまった場合の対処法を教えてください。
Falcon UIのアカウントは、ログインに10回連続して失敗するとロックされます。通常、これは間違ったユーザー名やパスワードを使用したことが原因です。アカウントがロックされた場合、5分後にロックが解除されます。特に弊社やCrowdStrike社のサポートにご連絡頂く必要はございませんので、5分お待ち頂き、正しいパスワードにてログインをお試しください。
万一、パスワードを紛失した場合は、画面下部の「Reset Password」よりパスワードリセットをお試しください。ご利用のメールアドレスに対し、パスワードリセットメールが届きます。
- 管理画面からエージェントの配布と削除ができますか?
Falcon Sensorがインストールされていない端末へのFalcon sensor配布をFalconコンソールから行う事は出来ません。一斉に配布を行うことを希望する場合は任意のソフトウェア配布管理ツールを使用してインストーラを配布する等の方法をご検討願います。
※例外としてFalcon Cloud Securityライセンスをご利用のお客様はAWS EC2インスタンスへFalconUI上からFalcon sensorのインストールが可能です。削除(アンインストール)に関しましても同様に、管理コンソールからの操作はできません。
Falcon Prevent
- Falcon Sensnorが隔離やブロックを行った際にポップアップを出すことはできますか?
管理者によるネットワークの隔離(攻撃者によるリモートコントロールやマルウェアの拡散を防止)やPrevention Policyのブロックルールに準じ攻撃を阻止した際に、ポップアップ通知をエンドユーザの端末に表示させることが可能です。現時点では、以下のタイミングでポップアップ通知を行うことが可能です。
マルウェアや悪意のある振る舞いのブロック端末の隔離
端末の隔離解除また、本機能は以下のOSでサポートされています。
Windows
なお、攻撃をブロックしたタイミングでの通知については、ブロック設定以外にも、Prevention Policy内にある「Notify End Users」を有効化する必要があります。
「Notify End Users」の設定を確認・有効化する場合は、Falcon Console(UI)にて、以下の通り移動してください。 [Configuration] > [Prevention Policy] > [Notify End Users]
- マルウェアEmotetを検知することはできますか?
Falconでは、2019年10月に国内で確認されたEmotetによる攻撃を検知した実績がございます。弊社が確認したケースでは、Falconは、悪性のWordファイルがEmotetをダウンロードしようとする振る舞い(Windows Management Interfaceを経由したPowerShellの起動)を検知してブロックすることにより、Emotetの端末への侵入を防いでいます。
上記の振る舞いをFalconで検知した場合の、プロセスツリーと検知説明画面の例を以下に示します。また、Falconは不審な振る舞いをベースに検知を行うため、仮に端末へEmotetがダウンロードされた場合でも、その後の攻撃を検知・ブロックできる可能性があります。
- 誤検知されたファイルをホワイトリストに登録する手順を教えてください。
検知の種類ごとのホワイトリスト方法について、以下の資料で解説していますのでご参考ください。
Falcon OverWatch
- Overwatchのアラート発生時に必ずメール通知は行われますか?
CrowdStrike社のOverwatchチームがアラートをあげる中でも特に注視・対処すべきアラートが発生した場合に、Overwatchアラート通知先に登録されているメールアドレス宛に通知が行われます。
※Overwatchによるアラート発生時に、すべてのアラートに対してメール通知が行われるわけではございません。
CrowdStrike社のOverwatchチームからの連絡は、overwatch-notifications@crowdstrike.com又はOverwatch(OW)のアナリスト(ドメインは「@crowdstrike.com」)からのメールによって行われます。
- Overwatchアラート通知先のメールアドレスはどこで確認できますか?
OverWatchアラート通知先に登録されているメールアドレスは、管理コンソール上の以下のページの“Contacts for OverWatch notifications”の部分にてご確認いただけます。
※See all contacts for OverWatch notificationsの項目から登録されている全てのメールアドレスを確認可能です。
OverWatchより上げられるアラートの通知先については、弊社経由にてCrowdStrike社へアラート通知先登録を申請する必要があります。通知先の変更(追加/削除)を希望される場合、弊社までご連絡ください。