コーポレートエンジニアリング部の宮澤です。
セキュリティ運用において、脅威を「見つける」こと(Detection)は重要ですが、それと同じか、それ以上に重要なのが「見つけた後にどう動くか」(Response)です。CrowdStrike Falconプラットフォームには、この「対応」を強力にサポートする機能が備わっていますが、その動きを細かく制御しているのが「レスポンスポリシー(Response Policy)」です。
この記事では、CrowdStrikeの運用担当者が必ず理解しておくべき「レスポンスポリシー」について、その主な機能と重要性を解説します。
CrowdStrike関連の記事一覧はこちら
レスポンスポリシーとは?
レスポンスポリシーとは、セキュリティインシデント発生時に、CrowdStrikeが実行する「対応アクション」や、管理者が実行できる「対応操作」を定義・制御するための一連のルールです。
これは、インシデント対応の「自動化」と「手動操作の権限管理」の2つの側面を持っています。このポリシーを適切に設定することで、対応のスピードを上げつつ、過剰な対応や操作ミスを防ぐことができます。
ポリシーで制御できる主な機能
リアルタイムレスポンス (Real-Time Response - RTR)
リアルタイムレスポンスは、管理者がリモートから直接エンドポイントに接続し、調査や修復作業を行うための機能です。※リモートからのコマンドライン操作です
-
リアルタイムレスポンスの有効化
-
そもそもRTRの使用を許可するかどうかを設定します。
-
-
カスタムスクリプト
-
RTRアクティブレスポンダーとRTR管理者のロールを持つ人が、カスタムスクリプトを実行することを許可します
-
- Falconスクリプト
- RTR管理者のロールを持つ人が、Falconスクリプトを実行できるようになります。カスタムスクリプトを有効にする必要があります。
レスポンスポリシーの作成
"ホストのセットアップ及び管理 > レスポンス及び隔離 > レスポンスポリシー"から”ポリシーの作成”を押します。
※レスポンスポリシーはアーキテクチャー毎に必要です。
リアルタイムレスポンス自体の有効/無効の設置や、スクリプトの実行、RTR時に実行時に利用できるコマンドの許可設定を行います。
作成後に”保存”を押して、その後ホストグループに割り当てます。
まとめ
CrowdStrikeの「レスポンスポリシー」は、インシデント発生時の「対応速度」と「安全性」を両立させるための、セキュリティ運用の司令塔です。
Falconを導入する際は、検出ルールだけでなく、自社の運用体制やリスク許容度に合わせて、このレスポンスポリシーを最適化することが、EDRの効果を最大限に引き出す鍵となります。
