コーポレートエンジニアリング部の宮澤です。
今回は、CrowdStrikeのセンサー更新ポリシー設定の考え方を共有したいと思います。

CrowdStrike関連の記事一覧はこちら

センサー更新ポリシーとは

センサー更新ポリシーは、端末に導入済みのCrowdStrikeセンサーのアップデートやアンインストールをブロックする設定などが行える項目です。
設定は、Windows、macOS、LinuxとOSごとに設定し、設定したポリシーをホストグループと呼ばれる、端末をまとめたグループに紐づけて制御を行います。

センサーバージョン

センサーバージョンの項目で、ポリシーに対する、センサー更新のポリシーを設定できます。
項目としては、以下のようになっており、

• Auto - 最新 (x.xx.xxxxxx)
• Auto - N-1 (x.xx.xxxxxx)
• Auto - N-2 (x.xx.xxxxxx)
• x.xx.xxxxxx
• センサーバージョン更新オフ

"Auto - 最新"にすることで、常に最新のセンサーにアップデートされ、"N-1"にすることで、最新から一つ前、”N-2”にすることで、最新から2つ前のバージョンにアップデートされます。
また、特定のバージョンにアップデートさせる場合は、そのバージョンを選択します。
”センサーバージョン更新オフ”はその名称の通り、アップデートを行わないポリシーとなりますので、サーバーでの利用でバージョンを固定して運用したい場合に利用するようなイメージになりそうです。

アンインストールとメンテナンスの防止

アンインストールとメンテナンスの防止にチェックをいれることで、端末側での不正なセンサーのアンインストールを防止することができます。
基本的に、エンドユーザーが不必要にアンインストール、また第三者に端末を奪われた際にアンインストールされないように、有効にしておくことが推奨となります。
何かしらの理由でセンサーをアンインストールしたい場合、既存で利用しているポリシーを変更するのではなくて、アンインストールが可能なポリシーを別途作成し、アンインストールを行う端末にポリシーを適用するような形で運用するのが望ましいです。