CrowdStrike Falconの核となる機能の一つ、"Prevention ポリシー (防止ポリシー)"をご存知ですか？
これは、従来型のアンチウイルス製品では対応が難しかった、マルウェア以外の攻撃やファイルレス攻撃などの高度な脅威から、エンドポイントを強力に保護するための設定を定義するものです。
このポリシーを適切に設定・運用することで、組織のセキュリティレベルを飛躍的に向上させることができます。

CrowdStrike関連の記事一覧はこちら

Preventionポリシーとは？

Preventionポリシーは、CrowdStrike Falconの次世代アンチウイルス(NGAV)機能である”Falcon Prevent”や、その他の防御・制御機能を、どのホスト(エンドポイント)に、どのように適用するかを定めたルールセットです。

シグネチャベースではなく、AIや機械学習、そして"攻撃の痕跡(IOA)”と呼ばれる高度な振る舞い分析ロジックに基づいて、悪意のある活動を早期に検知し、実行前にブロックすることを目的としています。

Preventionポリシーの主要な機能

Preventionポリシーで設定できる主な機能には、以下のようなものがあります。

• 既知/未知のマルウェア防御

  • 既知のマルウェアはもちろん、シグネチャがない未知の脅威に対しても、AIと機械学習を用いてファイルを分析し、ブロックします。

• 攻撃の痕跡(IOA)による振る舞い防御

  • ファイルを使用しないファイルレス攻撃や、システム標準機能の悪用(Living off the Land)など、悪意のある”振る舞い"を検知し、攻撃のキルチェーン(連鎖)の初期段階で阻止します。

Preventionポリシーの設定

”エンドポイントセキュリティ > 設定 > 防止ポリシー”から確認できます。
新規作成を押すことでポリシーを作成できますが、デフォルトで3つのポリシーが提供されているので、まずはこれを使うのが良いです。
※ポリシーはOSの種類ごとに作成が必要です

標準で用意されているポリシーについて

Preventionポリシーでは以下の3つが標準で用意されています。
新規導入時や既存アンチウィルス製品から移行する場合には"Phase 1"で利用を開始して、運用しながら、過検知や誤検知の設定を行い、タイミングを見てPhaseを移行して、最終的に"Phase 3"に移行するのが良いです。
ポリシーは、ホストグループ側から割り当てるか、ポリシー内の画面からホストグループに割り当てます。

Phase 3 - optimal protection

メーカー推奨の防止ポリシーです、本番運用を開始する場合は、基本的にこのポリシーを利用することが推奨です。

Phase 2 - interim protection

"Phase 1"と同じく検知のみを実施するポリシーです、”Phase 1”で運用を実施して、安定稼働した場合に、移行して利用します。

Phase 1 - initial deployment

検知のみを実施するポリシーです、初期導入段階や既存アンチウィルス製品と併用する場合は、このポリシーを利用します。

ポリシーの新規作成

個別に、ポリシーを作成する場合、推奨するポリシーの保護設定が、CrowdStrike社のドキュメントにあるので、これを参考にしながら設定するのが良いです。

https://falcon.us-2.crowdstrike.com/documentation/page/e5c21607/prevention-policy-settings

また、ポリシー設定時に”比較”から既存ポリシーを選択することで比較しながら設定することができます。

まとめ

Preventionポリシーの真価は、これらの機能をホストグループごとに設定し、きめ細やかな防御戦略を実行できる点にあります。

例えば、”サーバーグループ”には厳格な設定を適用し、”一般社員のPCグループ”には利便性を考慮した設定を適用するなど、組織内のリスクレベルや業務特性に応じたカスタマイズが可能です。

重要なのは、一度設定したら終わりではなく、ログを監視し、業務影響がないかを確認しながら、ポリシーの優先順位と設定内容を継続的に見直すことです。

Preventionポリシーを最大限に活用し、サイバー脅威からビジネスを守りましょう！