コーポレートエンジニアリング部の宮澤です。
今回は、CrowdStrikeのコンテンツ更新ポリシーについて紹介したいと思います。
CrowdStrike関連の記事一覧はこちら
コンテンツ更新ポリシーとは
ポリシー名にアップデートと記載があるので、Falcon Sensorのアップデートを行うものと勘違いしがちですが、Sensorの更新は”センサー更新ポリシー”で行います。
この、コンテンツ更新ポリシーは、Falcon Sensorに対してチャネルファイルを配信するポリシーとなっていて、このファイルはFalcon Sensorの健全性を維持するために必要なファイルです。
コンテンツ更新ポリシーの作成
"ホストのセットアップおよび管理>コンテンツ更新ポリシー"を開き”ポリシーの作成”を押します。
※コンテンツ更新ポリシーは、Windows,macOS共通です。
任意のポリシー名を入力して”ポリシーの作成”を押します。
各設定項目を設定して”保存”を押します。
作成後、ホストグループから、”Content updateポリシー”を追加します。
各設定をどうするべきか
設定項目は以下の4つの項目があります。
- システムクリティカルコンテンツパッケージのリリーススケジュール
- センサーオペレーションコンテンツパッケージのリリーススケジュール
- ラピッドレスポンスコンテンツパッケージのリリーススケジュール
- 脆弱性管理コンテンツパッケージのリリーススケジュール
基本的には”GA(デフォルト)”と”遅延なし”を設定するのが推奨ですが、必要に応じて使い分けができます。
例えば、情報システム部門の端末や検証用の端末のホストグループでは、”GA(デフォルト)”から”早期アクセス”にして、事前検証するようにするのも良いでしょう。
また、業務システムが動くサーバー等の場合は、遅延なしで万が一の影響を受けないように遅延時間を設定、または、配信を”一時停止”するなどをしても良いかもしれません。
ただし、新しいチャネルファイルが配信されない状況はあまり良い状況ではないので、動作確認が終わり次第、最新のコンテンツが配信されるようにするようにしましょう。
コンテンツのリリース状況
コンテンツ更新のリリースノートは、以下のURLから確認ができます。
※Falconへのログインが必要です。
https://falcon.us-2.crowdstrike.com/documentation/content-update-release-notes