Zenn
💻

CrowdStrikeでのUSBデバイス制御

に公開
CrowdStrike
tech

本記事では、CrowdSrkeにおけるUSBデバイス制御についてまとめています。USB制御は普段はマイクロソフト系のソリューションでやることが多いですが、今回はCrowdStrikeを使ってみました。

USBデバイス制御(Device Control)とは?

USBデバイス制御(Device Control)とは、CrowdSrikeがオンボートされたWindowsやMacのホストに対して、USBデバイスの接続を許可・ブロックしたり、特定の機能へのアクセスを制限したりする機能です。これにより、未許可のUSBデバイスの使用を防ぎ、情報セキュリティのリスクを低減することができます。ちなみに、すべてのCrowdSrikeユーザーが使える機能ではなく、上位ライセンスを必要とするため、詳細は購入元にお問い合わせください。

USBデバイス制御で何ができる?

  • 可視化: ネットワーク内のUSBデバイス接続状況を把握できます。
  • 制御: USBデバイスの接続を許可またはブロックできます。
  • きめ細かい制御: 特定のUSBデバイスやデバイスクラスに対して、詳細なアクセス権限を設定できます。
  • ポリシー: 組織のセキュリティポリシーに合わせた柔軟な設定が可能です。
  • ログ: USBデバイスの接続試行やポリシー違反などのイベントを記録・監視できます。
  • 例外設定: 特定のホストやデバイスに対して、ポリシーの例外を設定できます。
  • エンドユーザー通知: USBデバイスがブロックまたは制限された際に、ユーザーに通知を表示できます。

USBデバイス制御ポリシーの詳細な設定手順

以下に、各手順の詳細を説明します。

事前準備(ホストグループの作成)

実務上は、ホストグループを指定して、限定的にテストしてから本番展開していく流れが基本です。なので、まずはテスト用のホストグループを作成します。

1. ポリシー設定

管理コンソールにログインし、[Endpoint Security] > [USB device control] > [Policy] に遷移し、USBデバイス制御の設定画面を開きます。

image

続いて、対象のOSを選択し、Create Policyを選択します。

image

「ポリシーモード」の項目で、以下のいずれかを選択します。制御したいユースケースにおいては、[Monitor and enforce] を設定しましょう。
- Monitor: USBデバイスの接続とポリシー設定に基づいてログを記録しますが、実際にはブロックや制限は行いません。まずはこのモードでポリシーの影響を確認することを推奨します。
- Monitor and enforce: ポリシー設定に基づいてUSBデバイスの接続をブロックまたは許可し、必要に応じてエンドユーザーに通知メッセージを表示します。本格的な運用を行う場合はこのモードを選択します。
- オフ (macOSのみ): macOS環境でのみ選択可能です。このモードでは、USBデバイスの可視化、違反の追跡、制限の強制は行われません。

続いて、各USBデバイスクラスに対して、許可するアクセスレベルを設定します。

image

  1. USBデバイス制御の設定画面で、「USBデバイスクラス」の設定項目を探します。

  2. 以下の表に示された各デバイスクラスに対して、ドロップダウンメニューなどからアクセスレベルを選択します。

    デバイスクラス 説明 アクセスレベル 設定例
    オーディオとビデオ ヘッドセット、マイク、スピーカー、Webカメラなど フルアクセス、フルブロック 社内会議に必要なWebカメラは「フルアクセス」、それ以外のオーディオ機器は「フルブロック」
    イメージング デジタルカメラなど フルアクセス、フルブロック 基本は「フルブロック」。許可されたものだけを開ける。
    大容量記憶装置 フラッシュドライブ、ハードドライブ、SDカードリーダーなど フルアクセス、フルブロック、読み取り/書き込みのみ、読み取り専用 機密情報漏洩を防ぐため、原則「フルブロック」。許可されたUSBメモリのみ「読み取り/書き込みのみ」
    モバイル、MTP/PTP 携帯電話、タブレットなど フルアクセス、フルブロック 個人のスマートフォンからの情報持ち出しを防ぐため「フルブロック」
    プリンター プリンターのみ フルアクセス、フルブロック 許可されたネットワークプリンターのみ「フルアクセス」
    ワイヤレス USBドングル付きのBluetoothデバイス(マウス、キーボードなど)、統合されていないBluetoothデバイス(ヘッドフォンなど) フルアクセス、フルブロック 最初の段階では「フルアクセス」にし、その後、業務に必要なマウスやキーボードに絞って「フルアクセス」
    Any Class 上記のいずれのクラスにも属さないデバイス フルアクセス、フルブロック 基本的には「フルブロック」

続いて、必要に応じた例外設定を行います。特定のUSBデバイスやホストに対して、基本設定とは異なるアクセスレベルを設定します。

  1. USBデバイス制御の設定画面で、「例外設定」または類似の項目を探します。
  2. 「例外を追加」などのボタンをクリックし、例外設定画面を開きます。
  3. 例外の対象となるデバイスまたはホストを指定します。
    • デバイス: ベンダーID (VID)、プロダクトID (PID)、シリアル番号などを入力して特定のデバイスを指定します。これらの情報は、デバイスマネージャーなどで確認できます。
    • ホスト: 特定のホスト名またはホストグループを指定します。
  4. 例外として許可するアクセスレベルを選択します。(例:特定のUSBメモリに対してのみ「読み取り/書き込みのみ」を許可するなど)
  5. 必要に応じて、例外の有効期間を設定します。(一時的な利用許可など)

必要に応じて、より詳細な設定を行います。

  1. USBデバイス制御の設定画面で、「高度な設定」または類似の項目を探します。
  2. 必要に応じて以下の設定を行います。
    • 一時的な例外の許可: エンドユーザーが一時的にUSBデバイスの利用を申請できる機能を有効にするかどうかを設定します。
    • エンドユーザー通知のカスタマイズ: USBデバイスがブロックまたは制限された際に表示するメッセージをカスタマイズします。組織のヘルプデスクへの連絡先などを記載すると効果的です。
    • ファイルメタデータ収集の強化: USBデバイスに書き込まれたファイルのメタデータを収集するかどうかを設定します。(利用可能な場合は、データ漏洩の調査に役立ちます)

最後に設定したポリシーを、[Enable]にして、管理対象ホストグループに適用します。

image

  1. USBデバイス制御の設定画面で、作成したポリシーを選択します。
  2. 「適用」をクリックします。
  3. ポリシーを適用する対象のホストまたはホストグループを選択します。
  4. 設定を保存し、ポリシーを有効化します。

アクティビティの監視

Falconコンソールでは、以下のダッシュボードでUSBデバイスの接続状況やポリシー違反などを監視できます。(利用可能なダッシュボードはサブスクリプションによって異なります)

  • USBデバイス使用状況: 環境内のすべてのUSBデバイスのアクティビティを表示します。image

  • ホスト別デバイス使用状況: 特定のホストに関連付けられたすべてのUSBデバイスを表示します。

  • デバイスブロック: フルブロックに設定されたポリシーによってブロックされたデバイスのインスタンスを表示します。

  • 監視ポリシー: 監視のみに設定されたポリシーに一致するUSBデバイスのインスタンスを表示します。

  • Mac Bluetoothデバイス使用状況: Macホスト上のすべてのBluetoothデバイスのアクティビティを表示します。

  • Mac Bluetoothデバイスブロック: フルブロックに設定されたポリシーによってブロックされたBluetoothデバイスのインスタンスを表示します。

  • Mac Bluetooth監視ポリシー: 監視のみに設定されたポリシーに一致するBluetoothデバイスのインスタンスを表示します。

  • USBへの書き込みファイル概要: リムーバブルデバイスに書き込まれたファイルを表示します。 image

  • USBへの書き込みファイル: ファイルアクティビティの詳細情報とコンテキストメタデータを表示します。(Enhanced file metadata collectionが有効な場合)

まとめ

USBデバイス制御は、組織のセキュリティを強化するための重要な機能です。本記事を参考に、自社のセキュリティポリシーに合わせた適切なUSBデバイス制御ポリシーを設定し、安全なUSBデバイスの利用環境を実現いただけますと幸いです。今度は、CrowdStrikeではなく、MS系での制御も試してみたいと思います。

GitHubで編集を提案

Discussion