CrowdStrike エージェント管理 (2019 SU3)

多くの企業では、エンドポイント保護のために CrowdStrike を使用しています。CrowdStrike には、CrowdStrike 環境を管理するために使用できる独自の管理コンソールがあります。

Endpoint Manager は、追加の CrowdStrike エージェントインサイトと CrowdStrike セキュリティアクティビティビューを提供します。このビューでは、Endpoint Manager によって検出されたすべてのデバイスに CrowdStrike エージェントが配布され、その CrowdStrike エージェントが正常に動作していることを確認できます。

CrowdStrike セキュリティアクティビティビューでは、Endpoint Security ライセンスは必要ありません。

これはこの新しいビューの概要を説明する簡潔な動画です。

CrowdStrike セキュリティアクティビティビュー (3:52)

CrowdStrike セキュリティアクティビティビューを表示するには

[ツール] > [セキュリティと準拠] > [セキュリティアクティビティ] をクリックしてから、[CrowdStrike] > [管理されたデバイス] をクリックします。

CrowdStrike 認証資格情報の入力

CrowdStrike セキュリティアクティビティビューを使用する前に、CrowdStrike Action Center 認証資格情報に追加する必要があります。認証資格情報を入力していない場合は、認証資格情報の入力が必要であることを示す赤色のバナーが [CrowdStrike] > [管理されたデバイス] に表示されます。

この認証資格情報により、Endpoint Manager は、直接 CrowdStrike から、管理されたホスト情報を取得することができます。この CrowdStrike からのデータは、Endpoint Manager インベントリスキャナによって収集されたデータと相互参照されているため、環境内の CrowdStrike エージェントのステータスを把握することができます。

Action Center では、CrowdStrike クライアント ID とシークレットを入力する必要があります。これは CrowdStrike コンソールから取得できます。入力した後に、[接続のテスト] をクリックして、Endpoint Manager コンソールが CrowdStrike に接続できることを確認します。

特定の CrowdStrike テナントへの接続が必要になった場合に備えて、Endpoint Manager 2021.1には、新しい[接続先のテナントを選択] オプションが追加されています。

CrowdStrike Action Center を開くには

[ツール] > [セキュリティと準拠] > [セキュリティアクティビティ] の順にクリックします。
[セキュリティアクティビティ] ウィンドウのツールバーで、設定ボタンをクリックし、[CrowdStrike Action Center] をクリックします。

CrowdStrike エージェントのステータスとアクティビティを表示する

CrowdStrike セキュリティアクティビティビューを開くたびに、エンドポイントマネージャは CrowdStrike クラウド API を使用して、インベントリおよび構成情報を取得します。このビューには、CrowdStrike が管理中であると報告するデバイスと、Endpoint Manager が検出したデバイスが表示されます。

[表示]、[デバイスステータス]、[前回表示] ツールバーフィルタを使用してビューを絞り込みます。フィルタは AND 演算子として機能するため、表示したいデバイスを誤って除外するフィルタの組み合わせは作成しないでください。

[表示] フィルタには、すべてのデバイス、Ivanti 管理デバイス、Ivanti 管理対象外デバイスを含めることができます。
[デバイスステータス] フィルタはすべて、OK、または要対応にすることができます。
[前回表示] フィルタでは日付を選択できます。選択した日付の後に CrowdStrike に報告されていないすべてのデバイスがビューに表示されます。

ビューの列は、デバイスステータスとそのステータスの理由を示します。たとえば、ステータスが「要対応」になり、理由が「デバイスに CrowdStrike エージェントがインストールされていない」となる場合があります。

CrowdStrike とインベントリスキャナの両方で CrowdStrike エージェントが存在し、両方のソースによって報告されたエージェントバージョンが一致する場合に、デバイスは OK であると見なされます。

[報告されたバージョン] 列には、CrowdStrike がインストール済みであると見なすバージョンが表示されます。[Ivanti が報告したバージョン] 列には、インベントリスキャナが検出したバージョンが表示されます。

インベントリスキャナが CrowdStrike エージェントを検出しないとき、または別の問題が検出された場合には、[要対応] ステータスが表示されます。

CrowdStrike セキュリティアクティビティビューの使用方法の推奨例:

[Ivanti 管理対象外] フィルタおよび列を使用して、Endpoint Manager で管理するデバイスを特定します。
[要対応] フィルタおよび列を使用すると、CrowdStrike エージェントがインストールされていないデバイス、または正常に動作していないか構成が正しくない可能性があるエージェントのデバイスを特定できます。
[前回表示] フィルタと [CrowdStrike エージェント前回表示] 列を使用して、CrowdStrike エージェントがインストールされ、CrowdStrike で報告されていないデバイスを特定します。これにより、ファイアウォールの問題またはエージェントインストールの問題で、正常に動作していない可能性がある CrowdStrike エージェントインストールを検索することができます。

「要対応」ステータスのデバイスの修正

デバイスの修正が必要な場合は、デバイスを右クリックすると、メインの [ネットワーク] ビューでデバイスを右クリックしたときに表示されるコンテキストメニューを表示することができます。このメニューでは、リモートコントロールセッションの開始やソフトウェアの配布といったさまざまな管理タスクを完了することができます。Endpoint Manager エージェントがインストールされていないデバイスでは、通信するエージェントがないため、コンテキストメニューが制限されています。

CrowdStrike エージェントソフトウェアを再配布すると、さまざまな問題が修正される場合があります。このためには、まず、CrowdStrike エージェントインストールパッケージを作成する必要があります。詳細については、Ivanti コミュニティリンク (https://forums.ivanti.com/s/article/How-to-deploy-CrowdStrike-with-Endpoint-Manager) をご参照ください。