コーポレートエンジニアリング部の宮澤です。
今回は、CrowdStrikeのホスト保持ポリシーについて紹介したいと思います。

CrowdStrike関連の記事一覧はこちら

ホスト保持ポリシーとは

長期間オフライン(未接続)状態が続いているホストを、管理コンソールから自動的に非表示、または削除してくれる機能です。

PCの廃棄や初期化、VDI環境などで、Falconセンサーがアンインストールされることなく放置されてしまったホストは、いつまでも管理コンソール上に”オフライン”として残り続けます。

ホスト保持ポリシーを設定することで、例えば”30日間オフラインのホストは自動的に非表示にする”といったルールを適用し、手動でホストを削除する手間を省くことができます。
これにより、ホストが自動的に削除されるため、不要なライセンス数の消費を抑えることができ、コストを最適化にも貢献できます。

ホスト保持ポリシーの設定内容

ホスト保持ポリシーでは、2つの項目を設定します。非常にシンプルですが、その違いを理解しておくことが重要です。
”何日間オフライン状態が続いたら実行するか”という期間と組み合わせて設定します。
ポリシーは複数作成できるため、用途に応じて作成し、ホストグループに割り当てて利用します。

ホストの自動非表示

管理コンソール上のホスト一覧から見えなくなりますが、データ自体はCrowdStrike内に保持されるため、後から手動で元に戻す(再表示する)ことが可能です。

• 利用用途
  • 一時的に利用しないが、後で復活する可能性のあるPC
  • VDI環境のように、頻繁にホストが入れ替わるグループ

ホストの自動削除

ホスト情報を完全に削除します。一度削除すると元に戻すことはできません。

• 利用用途
  • 完全に廃棄・リース返却されたPC
  • 二度と利用しないことが確定しているサーバー

ホスト保持ポリシーの作成

ホスト保持ポリシーは”ホストのセットアップ及び管理 > ホスト保持ポリシー”の”ポリシー作成”から作成できます。

任意のポリシー名を入力して”ポリシーの作成”を押します。

 

”設定”の項目から”ホスト保持ポリシーの設定内容”で記載した、内容を設定することができます。
設定後は、ホストグループに割り当てて利用することができます。

 

まとめ

”ホスト保持ポリシー”は、日々の運用を効率化し、管理コンソールを健全に保つための非常に便利な機能です。
簡単な設定で、効率的なエンドポイント管理が実現できますが、設定内容で紹介したように”ホストの自動削除”は完全に消えてしまうため、注意して設定しましょう。