Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Falconを活かした インシデントレスポンスとの向き合い方
Search
Akatsuki Inc. PR
May 30, 2025
Technology
0
12
Falconを活かした インシデントレスポンスとの向き合い方
ファルコミ Meetup登壇資料(2025/5/30)
Akatsuki Inc. PR
May 30, 2025
Tweet
Share
More Decks by Akatsuki Inc. PR
See All by Akatsuki Inc. PR
How Slack Platform Slackを使って日常業務をスマートに
akatsukipr3932
1
100
AIとAWSでビジネスプロセス変革に挑む
akatsukipr3932
1
84
Formula、Lookup table、Environment Propertiesを活用したワークフロー構築
akatsukipr3932
1
35
ワークスペース間で チャンネルを移動する
akatsukipr3932
1
760
IT Service Management (ITSM) の Now Assistを 自分で実装してみた
akatsukipr3932
1
1k
Other Decks in Technology
See All in Technology
Amazon S3標準/ S3 Tables/S3 Express One Zoneを使ったログ分析
shigeruoda
4
540
TechLION vol.41~MySQLユーザ会のほうから来ました / techlion41_mysql
sakaik
0
190
Javaで作る RAGを活用した Q&Aアプリケーション
recruitengineers
PRO
1
120
強化されたAmazon Location Serviceによる新機能と開発者体験
dayjournal
3
220
Welcome to the LLM Club
koic
0
190
より良いプロダクトの開発を目指して - 情報を中心としたプロダクト開発 #phpcon #phpcon2025
bengo4com
1
3.1k
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 完全版 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming - Expanded
tomzoh
4
3.3k
標準技術と独自システムで作る「つらくない」SaaS アカウント管理 / Effortless SaaS Account Management with Standard Technologies & Custom Systems
yuyatakeyama
3
1.3k
Oracle Cloud Infrastructure:2025年6月度サービス・アップデート
oracle4engineer
PRO
2
260
生成AI活用の組織格差を解消する 〜ビジネス職のCursor導入が開発効率に与えた好循環〜 / Closing the Organizational Gap in AI Adoption
upamune
5
3.7k
"サービスチーム" での技術選定 / Making Technology Decisions for the Service Team
kaminashi
1
150
登壇ネタの見つけ方 / How to find talk topics
pinkumohikan
5
520
Featured
See All Featured
How to Think Like a Performance Engineer
csswizardry
24
1.7k
Why You Should Never Use an ORM
jnunemaker
PRO
57
9.4k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
8
670
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
48
2.8k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
331
22k
A Tale of Four Properties
chriscoyier
160
23k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Documentation Writing (for coders)
carmenintech
72
4.9k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
We Have a Design System, Now What?
morganepeng
53
7.7k
Transcript
Falconを活かした インシデントレスポンスとの向き合い方 1
1. はじめに 2. Falcon Device ControlによるUSBデバイス制御 3. Spotlightによる脆弱性管理 4. ワークフローを用いたEOS・RFMの検知
5. FalconPyを活用したEDR導入対象の管理 6. 今後のロードマップ 7. 総括 構成 2
はじめに 3
▪ 自己紹介 1. はじめに 4 株式会社アカツキ 安永 貴之 ▪
普段の業務内容 ◦ 主にコーポレートセキュリティに関 する業務を実施 ◦ インシデントレスポンス ▪ Falcon利用歴 ◦ 前職で4年、現職で2年ほど ◦ 計6年弱くらい
▪ アカツキでは日常的にEDRが発するアラートの分析や利用者へのヒアリ ングに加えて、EDRの正常性に重きを置いたチェックの仕組みを作り運 用しています ▪ 具体的には以下の取り組みを行っています ◦ Falcon Device ControlによるUSBデバイス制御
◦ Spotlightによる脆弱性管理 ◦ ワークフローを用いたEOS・RFMの検知 ◦ FalconPyを活用したEDR導入対象の管理 ▪ 前提として個人端末・サーバいずれもEDRを導入するセキュリティポリ シーに則って運用しています 1. はじめに 5
Falcon Device Controlによる USBデバイス制御 6
▪ Falcon Device Controlとは? ◦ USBデバイスに関して、接続された際に取得できる情報を基に接続 や実行の可否を制御できる機能 ◦ 製品固有のシリアルナンバーだけでなく、ベンダーIDやプロダクトID も併せて取得できるため、特定メーカーや特定製品のみ利用可能と
いったような制御も ◦ 逆に特定メーカーの製品のみ制限をかけることも可能 ▪ 例えば... • 製造段階時からマルウェアが混入していたケースなどもメー カー単位でフルブロックする等 2. Falcon Device ControlによるUSBデバイス制御 7
▪ ダッシュボード例 ◦ USBデバイスに関わるものは全て検出されて列挙 2. Falcon Device ControlによるUSBデバイス制御 8
▪ アカツキでは会社貸与しているデバイスを許可対象とし、Mass Storage に分類されているデバイスのみをコントロールの対象と している ◦ 書き込み・読み込み・USBから直接実行の3パターンを制御 できる ◦ ホワイトリスト運用で読み込み・書き込みの2つを許可
◦ その他のデバイス(私物など)に関しては読み込みのみ可能 ▪ 分類を複数持つデバイスもあるが、同一デバイスでも制限をかけた機能 部分にのみ影響がある 2. Falcon Device ControlによるUSBデバイス制御 9
▪ IT Service部と連携し、USBデバイス貸与申請のチケットが作成されたタ イミングで例外登録を実施 ◦ 貸与前に一度接続し、ブロックログからデバイスのシリアル ナンバーを取得し例外登録する ◦ 事業規模や貸与の頻度によってオペレーションが増加するので情シ ス部門との連携は必須
2. Falcon Device ControlによるUSBデバイス制御 10
Spotlightによる脆弱性管理 11
▪ Spotlightとは? ◦ Discover(資産管理機能)のオプション ◦ 脆弱性スキャナを含んだ管理機能 ◦ サポートされているCVEを起点にダッシュボード上から 脆弱なホストを洗い出せる ▪
早いものだとCVEが公開されてから2営業日以内には サポートされている印象 ◦ ホストグループがそのまま利用できるため、優先度の高い アセットを事前に分類しておくと対応しやすい 3. Spotlightによる脆弱性管理 12
▪ CVEベースとホストベースの表示を切り替えて活用 ▪ ホスト表示にすると対象に含まれている脆弱性の総数判別に役立つ ◦ 長期間アップデートが放置されたホストを優先的に発見できる ▪ CVE表示にするとリリースされたばかりの脆弱性の影響範囲が判別しや すい 3.
Spotlightによる脆弱性管理 13
▪ 脆弱性の対応優先度づけで見るポイント ◦ CVEベースでは... ▪ Exploit statusを見て脆弱性が攻撃に利用されているか判別 ▪ Productで対象がメジャーな製品かを確認 ◦
ホストベースでは... ▪ Internet exposureを見て外部公開されているホストかを判別 3. Spotlightによる脆弱性管理 14
▪ ホスト毎にこれまでのパッチ適用履歴や再起動待ちといったステータスが 確認できる 3. Spotlightによる脆弱性管理 15
ワークフローを用いた EOS・RFMの検知 16
▪ EOSとRFMについて ◦ EOS(end of support):サポート切れ ◦ RFM(reduced functionality mode):機能制限モード
◦ いずれの状態もEDRとして正常動作をしない ◦ 特にRFMにおいてはハートビートのみの動作となるため、 すぐに何らかの対応が必要 ▪ なぜ発生する? • センサーがユーザモードとカーネルモードいずれの動作も要 件を満たしていないため • “sudo /opt/CrowdStrike/falconctl -g --rfm-reason“ 4. ワークフローを用いたEOS・RFMの検知 17
▪ ワークフローからサーチクエリをスケジュールし、該当ホストがいれば Slackへ通知 4. ワークフローを用いたEOS・RFMの検知 18
▪ Slackへの通知例 ◦ AmazonLinuxは更新頻度が高いので常に最新バージョンを利用し ていると常にRFMで運用している状態になりがち ◦ Patch Tuesday直後のWindowsもRFMになる 4. ワークフローを用いたEOS・RFMの検知
19
FalconPyを活用した EDR導入対象の管理 20
▪ FalconPyとは? ◦ Pythonスクリプトで動作するSDK、無料で利用可能 ◦ FalconのAPI操作に特化している ◦ JSONでデータを取得できるため、データの加工・操作も 含めて他ツールとの連携が行いやすい 5.
FalconPyを活用したEDR導入対象の管理 21
▪ アカツキでの活用例 ◦ Public IPが設定されていてEDRが入っていないホストを 洗い出す目的で利用 ▪ 攻撃対象領域になりうる ▪ EDR未インストールだとWeb上のダッシュボードから
存在確認ができない 5. FalconPyを活用したEDR導入対象の管理 22 os version check Host data Host ID comparison notice
▪ Slackへの通知例 ◦ 各プロジェクトのサーバ管理者グループへ自動で通知 ◦ これを起点にしてPublic IPを無効化してもらうかEDRを入れてもらう か打診する 5. FalconPyを活用したEDR導入対象の管理
23
今後のロードマップについて 24
▪ Falcon Device Control部分 ◦ Bluetoothの制御機能も追加されたので悪用方法と予防策を考えて 運用設計していく ◦ Enhanced file
metadata collectionを利用し情報持ち出しにも対応 させる ▪ Spotlight部分 ◦ サポート対象の脆弱性が追加された際に通知を出すように改良し、 即応性を向上させる ▪ FalconPy部分 ◦ 外部から取得したIoCを自動で取り込み適用する仕組みづくり 6. 今後のロードマップについて 25
総括 26
▪ EDRを用いても100%全てのインシデントを防ぐことはできない ▪ 常日頃からインシデントのきっかけになりうる穴を塞いでいくことが重要 ◦ そのためにも... ▪ 致命的な脆弱性が適切に封じ込めできているか ▪ 外部からのマルウェア持ち込みが防止できているか
▪ カバレッジを認識しておく ◦ 前提として ▪ 必要なホストにEDRが導入されているか ▪ EDRの機能は正常に動作しているか ▪ 古いセンサーバージョンがサポート切れでないか 7. 総括 27
▪ 一般的には他のソリューションと組み合わせをしないと適切な管理ができ なかった ◦ 資産管理ソフトや脆弱性管理サービスなど ▪ 端末にインストールしたエージェント一つの機能で包括的に管理 できるのはとてもコスパが良い ▪ メジャーな機能以外のオプション部分にも目を向けると、組織で
よくある困りごとへの解決策になりうる ◦ 多層防御の観点も忘れず、ご利用は計画的に ▪ EDRバイパスに対する回避策がどの程度効いているかリスト化されてる と嬉しい ◦ 皆さんどうやって検証してますか? 7. 総括 28
ご清聴ありがとうございました 29