自己紹介
こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの田中と申します。
弊社でEDR製品を導入いただいたお客様のインシデント調査を主に担当しております。
その傍らプログラマーとしての経験と知識を生かしてセキュリティに関するウェブアプリケーションを設計構築するなどSOCチームのメンバーとして日々サイバーセキュリティと共に在るエンジニアです。
2025年は12回に渡ってCrowdStrikeの利用者視点で役に立つ情報をお伝えする連載をスタートします。 今回のテーマは「FalconConsole徹底解説 その2」です。
過去のCrowdStrikeに関する記事は以下の通りです。
- 2024/12 CrowdStrikeに関する基本情報についてお伝えします。 - APC 技術ブログ
- 2025/01 今回はFalconConsoleのダッシュボードとアラート画面についてご紹介します。 - APC 技術ブログ
- 2025/02 今回はFalconConsoleのホスト管理と検索機能についてご紹介します。 - APC 技術ブログ
- 2025/03 今回はFalconConsoleのレポート機能についてご紹介します。 - APC 技術ブログ
- 2025/04 今回から「CrowdStrike Falcon」の強力な機能の一つであるFalconセンサーの「クエリー」に焦点を当て、その機能概要から具体的な活用方法まで、全3回にわたって詳細に解説します。第1回目は「イベント検索」についてご紹介します。 - APC 技術ブログ
- 2025/05 Falconセンサーの「高度なイベント検索」についてご紹介します。 - APC 技術ブログ
基本的な使い方
FalconConsoleの主要な機能は以下のとおりです。
- ダッシュボード
- アラート画面
- ホスト管理
- 検索機能
- レポート機能
今回はFalconConsoleのホスト管理と検索機能についてご紹介します。
CrowdStrikeの管理画面からユーザーガイドが利用できますので参考になさってください。
購入済の製品によって利用できるメニューが変わりますが現在0-WANで購入している検証環境では以下のメニューが利用できます。
1.ホスト管理
ホスト管理についてはこちらのドキュメントをご参照ください。
ホストの管理画面
ホストの管理画面では各ホストに関する情報が表示されます。
最上部のフィルターバーを使って特定のホストを検索したり、デフォルトのフィルターをクリックしてよりターゲットを絞ったリストを表示することができます。
リストの行を選択すると右側にサマリーパネルが表示されます。
アセットの詳細画面
サマリー上部の「アセットの詳細」をクリックするとアセット詳細画面を表示することができます。(サブスクリプションによります)
システムインサイトタブの右側にあるコピーアイコンをクリックするとシステムの詳細情報をクリップボードにコピーすることができます。ハードウェアの管理やディスクの使用量などシステムリソースの調査に役立ちます。
アセットグラフ画面
アセット詳細画面の右上の「アセットグラフ」をクリックすると、さまざまなアセット、アカウントなどの関係のデータを持つCrowdStrike Asset Graphの情報からITアセット、クラウドアセット、アカウントが表示されます。
ホストのタイムライン画面
アセット詳細画面の右上の「アクション」をクリックすると、実行できるアクションを一覧表示することができます。
「ホストのタイムライン」を選択すると「ホストのタイムライン」画面が表示されます。ホストがいつオンラインになったか、ホストが隔離されたか、隔離された場合はその期間、ホストのセンサーがいつプロビジョニングされたかなど、ホストの状態やイベントの履歴を確認できます。
このようにホスト管理を利用するとホストに関する詳細な情報を収集することができます。資産管理やインシデント調査など様々な場面でぜひご活用ください。
2.検索機能
Falcon Consoleでは多様な検索機能が提供されています。
セントラル検索
画面中央上部にあるのが「セントラル検索」です。
使い方の詳細はこちらにありますのでご参照ください。
セントラル検索では主に以下の領域を対象にした結果が返されます。 有効期限の切れたデータは検索されません。
| 内容 |
|---|
| 「Endpoint security(エンドポイントセキュリティ)」>「Monitor(モニター)」>「CrowdScore incidents(CrowdScoreインシデント)」(ホストの詳細、「Name(名前)」、「Description(説明)」および「Tags(タグ)」フィールドを使用) |
| 「Endpoint security(エンドポイントセキュリティ)」>「Monitor(モニター)」>「Endpoint detections(エンドポイント検知)」 |
| 「Endpoint security(エンドポイントセキュリティ)」>「Monitor(モニター)」>「Quarantined files(隔離されたファイル)」(「Filename(ファイル名)」および「Hostname(ホスト名)」フィールドを使用) |
| 「FileVantage」>「File integrity monitoring(ファイル整合性監視)」>「Changes(変更)」 |
| 「Host setup and management(ホストのセットアップおよび管理)」>「Manage endpoints(エンドポイントの管理)」>「Host management(ホストの管理)」 |
| 「Identity Protection(アイデンティティ保護)」>「Monitor(モニター)」>「Identity-based Detections(アイデンティティベースの検知)」(検知ID、検知名、割り当て先名、宛先のアプリケーション識別子、ソースエンドポイントIPアドレス、ユーザー名を使用) |
| 「Identity Protection(アイデンティティ保護)」>「Monitor(モニター)」>「Users(ユーザー)」(「Primary Display Name(プライマリ表示名)」および「Secondary Name(セカンダリ名)」、SIDを使用) |
| 「Identity Protection(アイデンティティ保護)」>「Monitor(モニター)」>「Endpoints(エンドポイント)」(「Primary Display Name(プライマリ表示名)」および「Secondary Name(セカンダリ名)を使用) |
| 「Exposure management(エクスポージャー管理)」>「Vulnerability management(脆弱性管理)」>「Vulnerabilities(脆弱性)」 |
| 「Support and resources(サポートおよびリソース)」>「Support(サポート)」>「Documentation(ドキュメント)」 |
| 「Threat intelligence(脅威インテリジェンス)」>「Research(リサーチ)」>「Adversaries(攻撃者)」 |
| 「Threat intelligence(脅威インテリジェンス)」>「Research(リサーチ)」>「Reports and feeds(レポートおよびフィード)」 |
| 「Threat intelligence(脅威インテリジェンス)」>「Analyze(解析)」>「Sandbox(サンドボックス)」 |
| 「Threat intelligence(脅威インテリジェンス)」>「Research(リサーチ)」>「Indicators(痕跡)」(ドメイン、ハッシュ、IPアドレス) |
検索ボックスに「検索」と入力すると画像のように該当する情報のリストが表示されます。
エンドポイント検知画面
エンドポイント検知画面の検索ではフィルタリング機能を利用します。
検知のフィルタリング、並べ替え、グループ化を利用することで表示を絞り込んで調整することができます。
このように検索機能ではセントラル検索ボックスへの語句の入力や、各画面でのざまざまなフィルタの設定により表示を絞り込むことができますので適宜ご活用ください。
まとめ
今回はFalconConsoleのホスト管理と検索機能についてご紹介しました。 私は普段セントラル検索機能を活用し、Falconプラットフォームを横断して検索を行っています。これにより、仕様の確認やニュースリリースのチェック、さらにはインシデント調査や脅威ハンティングにも役立てています。
今後の連載の予定をご参考に興味があるトピックだけでもご覧いただければ幸いです。
少しでもサイバーセキュリティに興味を持っていただけるように楽しくお伝えしますのでお楽しみに。
最後まで読んでいただきありがとうございました。
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。 www.ap-com.co.jp
一緒に働いて頂ける仲間も募集しています
今までの経験を活かして、私たちと一緒にゼロトラスト分野で活躍しませんか? www.ap-com.co.jp
