コーポレートエンジニアリング部の宮澤です。
今回は、Mercedes AMG Petronas Formula OneティームがスポンサーしているCrowdStrikeの導入時の検知試験について紹介したいと思います。

はじめに

CrowdStrikeのようなEPP(End Point Protection)、EDR(Endpoint Detection and Response)製品を導入する場合、従業員のPCやサーバーにエージェント(CrowdStrikeの場合はSensor)をインストールすることで保護を開始することができます。

しかし、管理者側としては、運用を開始する前に、エンドポイント側で脅威検知された場合、管理画面側はどのような内容が表示されるのかを確認しておきたいはずです。
今回は、Windows端末を利用して、CrowdStrikeのテスト検知を行う方法を紹介します。
※この手順は実際に検知通知がされるために不用意に実施しないでください。

Windows端末での操作

Falcon SensorをインストールしたWindows端末で、コマンドプロンプトを管理者権限で開きます。
その後、以下のコマンドを実施することで検知試験をすることができます。
コマンドは検知の種類ごとに用意されてるため、それぞれ確認する事ができます。

■ クリティカル
cmd crowdstrike_test_critical

■ High
cmd crowdstrike_test_high

■ Medium
cmd crowdstrike_test_medium
■ Low
cmd crowdstrike_test_low

■ 情報
cmd crowdstrike_test_informational

コマンドの実行

例として、Criticalのコマンドを実行します。
※端末側では特に何も発生しません。

コマンドによってテスト検知がされると以下のような通知メールが届きます。

管理画面を確認すると、以下のように検知内容を確認することができます。
コマンドによるテスト検知のため、説明にもテストの内容が記載されます。

エンドポイント側のポップアップ通知確認

上記のコマンドによる通知確認は、端末側での検知ポップアップ通知はされません。
端末側のポップアップ通知をテストする場合は、PowerShellで以下のコマンドを実行します。

svchost.exe -testisatest

実行を行うと、PowerShellのプロセスが停止され、ポップアップ通知がされます。

このコマンドを実行した場合も、管理者に通知が行くので不用意に実施しないようにしましょう。