CrowdStrike エージェント管理 (2019 SU3)
多くの企業では、エンドポイント保護のために CrowdStrike を使用しています。CrowdStrike には、CrowdStrike 環境を管理するために使用できる独自のManagement コンソールがあります。
Endpoint Manager は、追加の CrowdStrike エージェント インサイトと CrowdStrike セキュリティ アクティビティ ビューを提供します。このビューでは、Endpoint Manager によって検出されたすべてのデバイスに CrowdStrike エージェントが配布され、その CrowdStrike エージェントが正常に動作していることを確認できます。
CrowdStrike セキュリティ アクティビティ ビューでは、Endpoint Security ライセンスは必要ありません。
これはこの新しいビューの概要を説明する簡潔な動画です。
CrowdStrike セキュリティ アクティビティ ビュー (3:52)
CrowdStrike セキュリティ アクティビティ ビューを表示するには
- [ツール] > [セキュリティと準拠] > [セキュリティ アクティビティ] をクリックしてから、[CrowdStrike] > [管理されたデバイス] をクリックします。
CrowdStrike 認証資格情報の入力
CrowdStrike セキュリティ アクティビティ ビューを使用する前に、CrowdStrike Action Center 認証資格情報に追加する必要があります。認証資格情報を入力していない場合は、認証資格情報の入力が必要であることを示す赤色のバナーが [CrowdStrike] > [管理されたデバイス] に表示されます。
この認証資格情報により、Endpoint Manager は、直接 CrowdStrike から、管理されたホスト情報を取得することができます。この CrowdStrike からのデータは、Endpoint Manager インベントリ スキャナによって収集されたデータと相互参照されているため、環境内の CrowdStrike エージェントのステータスを把握することができます。
Action Center では、CrowdStrike クライアント ID とシークレットを入力する必要があります。これは CrowdStrike コンソールから取得できます。入力した後に、[接続のテスト] をクリックして、Endpoint Manager コンソールが CrowdStrike に接続できることを確認します。
特定の CrowdStrike テナントへの接続が必要になった場合に備えて、Endpoint Manager 2021.1には、新しい[接続先のテナントを選択] オプションが追加されています。
CrowdStrike Action Center を開くには
- [ツール] > [セキュリティと準拠] > [セキュリティ アクティビティ] の順にクリックします。
- [セキュリティ アクティビティ] ウィンドウのツールバーで、設定ボタン をクリックし、[CrowdStrike Action Center] をクリックします。
CrowdStrike エージェントのステータスとアクティビティを表示する
CrowdStrike セキュリティ アクティビティ ビューを開くたびに、エンドポイント マネージャ は CrowdStrike クラウド API を使用して、インベントリおよび構成情報を取得します。このビューには、CrowdStrike が管理中であると報告するデバイスと、Endpoint Manager が検出したデバイスが表示されます。
[表示]、[デバイス ステータス]、[前回表示] ツールバー フィルタを使用してビューを絞り込みます。フィルタは AND 演算子として機能するため、表示したいデバイスを誤って除外するフィルタの組み合わせは作成しないでください。
- [表示] フィルタには、すべてのデバイス、Ivanti 管理デバイス、Ivanti 管理対象外デバイスを含めることができます。
- [デバイス ステータス] フィルタはすべて、OK、または要対応にすることができます。
- [前回表示] フィルタでは日付を選択できます。選択した日付の後に CrowdStrike に報告されていないすべてのデバイスがビューに表示されます。
ビューの列は、デバイス ステータスとそのステータスの理由を示します。たとえば、ステータスが「要対応」になり、理由が「デバイスに CrowdStrike エージェントがインストールされていない」となる場合があります。
CrowdStrike とインベントリ スキャナの両方で CrowdStrike エージェントが存在し、両方のソースによって報告されたエージェント バージョンが一致する場合に、デバイスは OK であると見なされます。
[報告されたバージョン] 列には、CrowdStrike がインストール済みであると見なすバージョンが表示されます。[Ivanti が報告したバージョン] 列には、インベントリ スキャナが検出したバージョンが表示されます。
インベントリ スキャナが CrowdStrike エージェントを検出しないとき、または別の問題が検出された場合には、[要対応] ステータスが表示されます。
CrowdStrike セキュリティ アクティビティ ビューの使用方法の推奨例:
- [Ivanti 管理対象外] フィルタおよび列を使用して、Endpoint Manager で管理するデバイスを特定します。
- [要対応] フィルタおよび列を使用すると、CrowdStrike エージェントがインストールされていないデバイス、または正常に動作していないか構成が正しくない可能性があるエージェントのデバイスを特定できます。
- [前回表示] フィルタと [CrowdStrike エージェント前回表示] 列を使用して、CrowdStrike エージェントがインストールされ、CrowdStrike で報告されていないデバイスを特定します。これにより、ファイアウォールの問題またはエージェント インストールの問題で、正常に動作していない可能性がある CrowdStrike エージェント インストールを検索することができます。
「要対応」ステータスのデバイスの修正
デバイスの修正が必要な場合は、デバイスを右クリックすると、メインの [ネットワーク] ビューでデバイスを右クリックしたときに表示されるコンテキストメニューを表示することができます。このメニューでは、リモート コントロール セッションの開始やソフトウェアの配布といったさまざまな管理タスクを完了することができます。Endpoint Manager エージェントがインストールされていないデバイスでは、通信するエージェントがないため、コンテキストメニューが制限されています。
CrowdStrike エージェント ソフトウェアを再配布すると、さまざまな問題が修正される場合があります。このためには、まず、CrowdStrike エージェント インストール パッケージを作成する必要があります。詳細については、Ivanti コミュニティ リンク (https://forums.ivanti.com/s/article/How-to-deploy-CrowdStrike-with-Endpoint-Manager) をご参照ください。
CrowdStrike エージェント インストール パッケージを作成した後に、任意のデバイスをクリックし、[スケジュール タスク] オプションを使用して、配布パッケージを配布します。