トップ > CrowdStrike > CrowdStrikeでアラートを検知して、端末を隔離する

CrowdStrikeでアラートを検知して、端末を隔離する

CrowdStrike Falcon EPP EDR XDR
記事タイトルとURLをコピーする

コーポレートエンジニアリング部の宮澤です。
今回は、CrowdStrikeを導入して、運用開始後に端末からのアラートを検知して、インシデントが発生した場合の端末の隔離手順を紹介します。

CrowdStrike関連の記事一覧はこちら

端末の隔離機能について

CrowdStrikeでは、ホストが侵害されたなどのインシデントが発生した際に、ホストをネットワークから隔離することができます。
隔離を実行することで、隔離された端末はCrowdStrike以外と通信ができなくなります。

端末の隔離手順

”エンドポイントセキュリティ > エンドポイント検知” を開き、対象のアラートを選択して”ネットワーク隔離”をクリックします。

ネットワーク隔離

”ホストの隔離”をクリックします。

ホスト隔離

隔離された端末にはポップアップが表示され、ユーザーに通知されます。

隔離通知

端末隔離状態の確認

隔離の状況は“ホストのセットアップおよび管理 > ホストの管理”から確認できます。
”Normal”の場合は隔離されていない通常の状態、”Contained”の場合は隔離されている状態です。

隔離状態確認

端末隔離の解除

“ホストのセットアップおよび管理 > ホストの管理”で該当端末を選択し、”アクション > ネットワーク隔離の解除”を押します。

ネットワーク隔離の解除

“Lift Containment“を押して、隔離を解除します。

LiftContainment

隔離が解除されると、端末側には以下の解除通知がされます。

解除通知

 

宮澤 慶 (記事一覧)

コーポレートエンジニアリング部 情報システム 管理者