CrowdStrike Falconに関するFAQ

Falconは、侵害防止に焦点を絞って設計されたCrowdStrikeプラットフォームです。クラウドで提供される一連の技術を一体化し、マルウェアその他を含むあらゆる攻撃を防止します。今日の高度な攻撃は、マルウェアに限らずあらゆる手法で組織のセキュリティを侵害しようとします。エクスプロイトおよびゼロデイ、ならびに認証情報窃取などの検知しにくい手段や、被害者の環境またはオペレーティングシステム内にすでに組み込まれているツール（PowerShellなど）に訴える攻撃者がますます増えているのです。CrowdStrike Falconは、強力ながら軽量なソリューションでこれらの課題に対応。次世代アンチウイルス（NGAV）およびエンドポイントでの検知と対応（EDR）、マネージド脅威ハンティング機能とセキュリティ衛生管理すべてを極小の軽量センサー1つへと一体化し、クラウドで管理・提供できるようにしたものです.

CrowdStrike Falconプラットフォームには、以下が含まれます:

• Falcon Prevent — 次世代アンチウイルス（NGAV)
• Falcon Insight — エンドポイントでの検知と対応（EDR)
• Falcon OverWatch — マネージド脅威ハンティング
• Falcon Discover — セキュリティ衛生
• Falcon Intelligence — サイバー脅威インテリジェンス

Falcon Preventは、次世代アンチウイルス（NGAV）機能を提供し、効果実証済みの包括的な保護を実現。マルウェアのほか、マルウェア不使用の攻撃からも組織を守ります。CrowdStrike Falcon Preventには、既知のマルウェアの特定、未知のマルウェアに関する機械学習、エクスプロイトのブロック、高度な攻撃の痕跡（IOA）を活用した振る舞い分析法が組み込まれており、組織は既存のレガシーAVソリューションからの切り替えに確信を持つことができます.

Falcon Insightは、エンドポイントでの検知と対応（EDR）機能を提供し、継続的かつ包括的な可視性を実現。つまりお客様は、エンドポイントで何が起きているかをリアルタイムで把握できます。Falcon Insightの広範な機能は検知から対応、フォレンジックまでを広くカバーし、抜け目のない防御を徹底。お客様の業務が侵害される前に、潜在的なセキュリティ侵害を阻止します.

Falcon OverWatchは、マネージド脅威ハンティングを担うソリューションです。お客様組織に対する侵害行為をもくろむ高度な攻撃に打ち勝つには、24時間365日体制でサポートを提供し攻撃を先見的に特定する専任チームが不可欠。Falcon OverWatchグローバルチームはお客様組織内のセキュリティ関連リソースをシームレスに増強し、悪質なアクティビティを可能な限り早い段階で特定して、敵対者の動をその場で阻止します.

Falcon Discoverは、不正なシステムやアプリケーションの特定、そしてお客様の環境内の任意の場所における特権ユーザーアカウントの使用状況監視をリアルタイムで行うIT衛生管理ソリューションです。これにより、必要に応じて修復を行い、組織全体のセキュリティ状況を改善できます.

はい、できます。CrowdStrike Falcon Preventなら、組織は既存のレガシーAVソリューションからの切り替えに確信を持つことができます。Falcon Preventには、既知のマルウェアの特定・防止、未知のマルウェアに関する機械学習、エクスプロイトのブロック、高度な攻撃の痕跡（IOA）を活用した振る舞い分析法が組み込まれており、お客様はエンドポイントがオンラインかオフラインかにかかわらず攻撃を回避できます。また、Falcon PreventはWindows System Centerとの統合も特徴のひとつとしており、適切な規制要件へのコンプライアンスを証明するという組織のニーズに応えます.

はい。CrowdStrike Falconは、独立した第三者により、AVに代わるソリューションとして認定されています.

CrowdStrike Falconは広範な機能を備えているため、お客様はすでに保有している以下のような製品や機能からの切り替えを検討できます:

• アンチウイルス
• ホストベースの侵入防止システム（HIPS）および／またはエクスプロイト緩和ソリューション
• 振る舞い分析
• エンドポイントでの検知と対応（EDR）ツール
• 侵害の痕跡（IOC）検索ツール
• サンドボックスまたは動的実行分析
• ログ分析
• 管理された検知と対応
• 脅威インテリジェンスサービス
• IT衛生管理ツール

はい、役立ちます。CrowdStrike Falconは、さまざまなコンプライアンス・認証要件の充足に取り組むお客様をサポートします。Falconは、以下の規制に関し、第三者による認証を受けています：PCI DSS v3.2 | HIPAA | NIST | FFIEC | PCI Forensics | NSA-CIRA | SOC 2 | CSA-STAR | AMTSO | AV Comparatives.

CrowdStrikeは、クラウドで提供されるエンドポイント保護の草分けです。CrowdStrike Falconは、次世代アンチウイルス、エンドポイントでの検知と対応（EDR）、24時間365日体制の脅威ハンティングサービスを一体化した最初にして唯一のソリューション。これらすべてを1つの軽量エージェントで実現し、エンドポイントセキュリティに革命を起こしました。CrowdStrikeは、専用に設計されたクラウドネイティブのアーキテクチャーを使用し、176か国に配備された数百万のセンサーから、1週間あたり１兆以上のエンドポイントイベントを収集し分析します。一体化・軽量化を図ったこのアプローチならではのメリットとして、即時の価値創出、パフォーマンスの向上、コストおよび複雑さの低減、保護の強化などが挙げられます。つまり、マルウェアを検知してセキュリティ侵害を未然に防ぐに留まらず、多大な成果が得られます。これらの機能の基盤として、機械学習や攻撃の痕跡（IOA）、エクスプロイトのブロック、卓越したリアルタイムの可視性、24時間365日体制のマネージドハンティングなどの侵害防止技術が独自の方法で組み合わされているため、巧みに潜伏する攻撃者をも検出・追跡し、被害を未然に食い止めることができます.

もちろんです。CrowdStrike Falconは、インシデントレスポンスにも広くご活用いただけます。Falcon Insightでは、組織の環境内の全エンドポイントをリモートから確認できる可視性が提供されるため、いつ、どこで、誰が、何を、どのように攻撃しているかを瞬時に把握できます。Falcon Insightのクラウドベースのアーキテクチャーは、インシデントレスポンスおよび修復の所要時間を大幅に短縮します.

はい。Falcon Preventは、強力かつ包括的な侵害防止機能を提供します。Falcon Preventでは、悪質なコードの実行阻止や、ゼロデイエクスプロイトのブロック、プロセスの強制終了、コマンドアンドコントロールのコールバックの格納が可能です.

はい、もちろんできます。各エンドポイントで動作する軽量なFalconセンサーには、オンラインかオフラインかにかかわらずエンドポイントを保護するための侵害防止技術がすべて含まれています。具体的には、既知およびゼロデイのマルウェアに対する機械学習による防御、エクスプロイトのブロック、ハッシュのブロック、CrowdStrikeの振る舞いベースの発見的な人工知能アルゴリズムなどの技術があり、攻撃の痕跡（IOA）と呼ばれます.

いいえ、必要ありません。CrowdStrike Falconはクラウドを通じて次世代エンドポイント保護を提供します。「次世代」を名乗る上での重要な要素として、お客様の環境の保護に伴うオーバーヘッドや摩擦、コストの低減があります。オンプレミス機器のメンテナンスや管理、更新を行う必要はありません。Falconセンサーはエンドポイントシステムのリソースをあまり消費しませんし、更新も再起動を必要としないためシームレスに実行できます。また、ウェブベースのFalcon管理コンソールでは、お客様の環境全体を直感的かつ詳細に把握できます.

いいえ。Falconは他のエンドポイントセキュリティソリューション（第三者のAVやマルウェア検知システムを含む）の動作を妨げずに相互運用できるよう設計されています.

Falconプラットフォームの機能をフル活用できるよう、Falcon Connectが用意されています。Falcon Connectは、お客様やパートナーの皆様がFalconプラットフォーム自体を成熟させ、統合し、その用途を拡大できるよう必要なAPIおよびリソース、ツールを提供し、他のセキュリティプラットフォームおよびツールとの相互運用性を実現します。 Falcon APIの詳細についてはこちらでご確認ください: Falcon ConnectとAPI

はい、できます。Falconは、SIEMソリューションとの間に以下の2つの統合ポイントを提供します:

• お客様はAPIを使用して、ご利用のSIEMからFalconプラットフォームにIOC（侵害の痕跡）をインポートできます。
• お客様はFalcon SIEM Connectorを使用して、ご利用のSIEMにCrowdStrike Falconのイベントを転送できます。Falcon SIEM Connectorでは、大半のSIEM（HP ArcSight、IBM QRadar、Splunkなど）との統合が可能です。また、独自のニーズに合わせて統合をカスタマイズしたいお客様には、Falcon Streaming APIもご用意しています.

文字どおり数分です。お客様がウェブコンソールを通じて組織の環境を監視・管理している間に、エンドポイントに1つの軽量センサーが配備されます。CrowdStrike Falconには、コントローラーの設置や構成、更新、管理は必要ありません。オンプレミス機器は存在しないのです.

Falconセンサーは軽量化を極めた（CPU使用率は1%以下）設計であるため、邪魔になりません。UIやポップアップもなく、再起動も不要ですし、更新もすべて自動的かつサイレントに実行されます.

64-bit Server OSes:

• Windows Server 2019
• Windows Server Core 2019
• Windows Server 2016
• Windows Server Core 2016
• Windows Server 2012 R2
• Windows Storage Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2 SP1

64-bit Desktop OS:

• Windows 10 November 2019 Update v1909 aka 19H2
• Windows 10 May 2019 Update v1903 aka 19H1
• Windows 10 October 2018 Update v1809 aka RS5
• Windows 10 April 2018 Update v1803 aka RS4
• Windows 10 Fall Creators Update v1709 aka RS3
• Windows 10 Anniversary Update v1607 aka RS1
• Windows 10 v1507 aka Threshold 1
• Windows 10 IOT Enterprise v1909 (19H2)
• Windows 10 IOT Enterprise v1903 (19H1)
• Windows 10 IOT Enterprise v1809 (RS5)
• Windows 8.1
• Windows 7 SP1
• Windows 7 Embedded

32-bit Desktop OS:

• Windows 10 November 2019 Update v1909 aka 19H2
• Windows 10 May 2019 Update v1903 aka 19H1
• Windows 10 October 2018 Update v1809 aka RS5
• Windows 7 SP1
• Windows 7 Embedded POSReady

以下のLinux server OS x86_64 バージョンをサポート：

• Amazon Linux 2
• Amazon Linux AMI
• 2018.03
• 2017.09
• 2017.03
• CentOS
• 8.0-8.3
• 7.1-7.9
• 6.7-6.10
• Debian
• 9.4
• Oracle Linux
• Oracle Linux 6 - UEK 3, 4
• Oracle Linux 7 - UEK 3, 4, 5
• Red Hat Compatible Kernels (サポートされるRHCKカーネルはRHELと同様)
• Red Hat Enterprise Linux (RHEL)
• 8.0-8.3
• 7.1-7.9
• 6.7-6.10
• SUSE Linux Enterprise (SLES)
• 15-15.1 SP1
• 12.1-12.5
• 12 SP5
• 11.4
• Ubuntu
• 20.04 LTS
• 20.04 AWS
• 20.04 GCP
• 18 AWS
• 18 GCP
• 18.04 LTS
• 16 AWS
• 16.04 LTS
• 14.04 LTS

Dockerもサポートされます。詳細はDeployment Guideを参照ください。

サポートされているMac OS：

• macOS Big Sur 11.0以降
• macOS Catalina 10.15
• macOS Mojave 10.14

はい、可能です。Falconは機能実証済みのクラウドベースのプラットフォームであり、お客様は、パフォーマンスに影響を及ぼすことなく大規模な環境全体へとシームレスにこれを拡張できます。このプラットフォームが摩擦なしで実装可能であることは、10万超のエンドポイントを包含する多くのエンタープライズ環境で証明されています.

CrowdStrike Falconは100パーセントクラウドベースのソリューションであり、サービスとしてのセキュリティ（SaaS）をお客様に提供します。Falconにはサーバーやコントローラーの設置が必要ないため、オンプレミスのソフトウェアおよび機器の管理やメンテナンス、更新を行うコストと手間が省けます.

はい。CrowdStrikeのUS commercial クラウドはService Organization Control 2に準拠しており、Falconを使用するお客様にSOC 2レポートを提供しています。CrowdStrikeの認証に関する情報は、『コンプライアンス/認証』ページをご覧ください。

センサーからクラウドに送信されるデータはすべて、SSL/TLSで暗号化されたトンネルで保護されます。各センサーが送信するデータは、1日あたり平均5～8 MB程度です.

CrowdStrike Falconは、エンドポイントのセキュリティイベントに対するリアルタイムおよび履歴の可視性を最大化するよう設計されています。そのため、攻撃の特定・把握と対応に必要なイベントデータを収集しますが、その範囲を超えることはありません。このシステムイベントのデフォルトセットはプロセスの実行に注目したものであり、これを継続的に監視することによって不審なアクティビティが探索されます。そのようなアクティビティが検知された場合は、状況をより詳しく把握し、必要に応じてイベントにタイムリーに対応できるよう、さらなるデータ収集活動が開始されます。なお、当社の機能強化に伴い、また各種の脅威に関する状況の変化に応じて、収集される具体的なデータは変わりますのでご了承ください。エンドポイント上のアクティビティに関連する情報はFalconセンサーを通じて収集され、セキュアなFalconウェブ管理コンソールを介してお客様に提供されます.

はい。CrowdStrikeは組織がコンプライアンスとポリシーの幅広い要件を満たす必要があることを認識しています。あらゆるタイプの組織のニーズを満たすため、CrowdStrikeはお客様に複数のデータレジデンシーの選択肢を提供しています。 CrowdStrikeまでお問い合わせください。

CrowdStrike Falconセンサーから送信されるデータはすべて、匿名化された一意の識別子の値でタグ付けされます。データと識別子は必ず別々に保存されます。当社のクラウド内では、厳格なデータプライバシーおよびアクセス制御ポリシーにより、データを厳重に保護しています。システム内におけるデータアクセスはすべて制約付きのAPIを通じて管理されており、お客様固有のトークンを用いてそのお客様のデータのみにアクセスできるようになっています。当社の分析エンジンはこの生イベントデータに対してアクションを実行し、匿名化された識別子の値は結果のクラスタリングにのみ活用されます。

他のセキュリティソリューションは、侵害の痕跡（IOC）（すなわち既知のマルウェアシグネチャーやハッシュ、ドメイン、IPなど、侵害後に残された手がかり）のみに依存していますが、CrowdStrikeはそれらに加え、今起こりつつある攻撃の痕跡（IOA）を検知し、攻撃のタイムライン全体を通じて敵対者の活動や振る舞いをリアルタイムで特定できます。IOAを検知するというFalconならではの機能により、お客様は攻撃を阻止できます.

Falconは、既知の脅威に対しては、クラウドベースのアンチウイルスおよびIOC検知機能を提供します。未知およびゼロデイの脅威に対してはIOA検知を適用し、機械学習技術を用いて、これまでにない悪質なアクティビティを高精度で検知する予測モデルを構築します。CrowdStrike Threat Graph™データモデルによって実現したこのIOA分析は、振る舞いパターンを認識することにより、マルウェア使用の有無に関係なく新たな攻撃を検知します。Falconの検知技術の範囲と効果は市場の他のセキュリティソリューションを大きく凌いでおり、未知の脅威およびかつては検知不可能だった新しい脅威に関しては特に違いが顕著です.

Falcon Preventは、以下のようなあらゆる補完的手段を用いて既知および未知のマルウェアを阻止します:

• 機械学習
• ブロック対象のカスタマイズ（ホワイトリストおよびブラックリスト登録）
• エクスプロイトブロック
• IOA（攻撃の痕跡）に基づく侵害防止
• ランサムウェアに特化した追加の保護措置

お客様は、Falconの侵害防止機能すべてを構成インターフェイス内で制御・構成できます.

はい、可能です。Falconには機械学習スライダーという機能があり、いくつかのオプションを通じて機械学習のためのしきい値を制御することができます。さらに、この独創的な機能では、検知と侵害防止にそれぞれ独立したしきい値を設定できます.

Falcon Preventはランサムウェアに対する防御を提供するため、あらゆる補完的な侵害防止・検知手段を使用しています:

• 既知のランサムウェアをブロック
• エクスプロイトブロックにより、パッチが適用されていない脆弱性を通じたランサムウェアの実行・拡散を阻止
• 機械学習を使用し、それまで未知であったゼロデイランサムウェアを検知
• 攻撃の痕跡（IOA）を活用して、その他の未知のランサムウェア、ならびに被害者のデータの暗号化にファイルを使用しない新種のランサムウェアを特定・ブロック

CrowdStrike Falconは、オンディスクまたはインメモリーで発生する攻撃に対しても等しく効果を発揮します。このプラットフォームは、不審なプロセスやイベント、アクティビティを、その発生場所にかかわらず継続的に監視します.