検知の発生

CrowdStrikeで検知を発生させる検体を用意します。
今回は弊社の方で準備したテスト用の検体を使用して、実行してみます

管理者権限で実行したところ、すぐにブロックしたことを示すポップアップが表示されました。

検知の調査

発生した検知の詳細を確認してみます。
検知発生後、フォルダ内に存在していたテスト用の検体が消えました。

CrowdStrikeでは悪性のファイルを隔離する機能が有り、設定を行っていると上記のようにファイルが隔離されます。

隔離されたファイルはWindows\System32\drivers\CrowdStrike\Quarantineフォルダ配下に移動されます。

続けて、CrowdStrikeの管理コンソールも見てみます。

該当の検知を確認すると

• 検知がどのファイルを対象にしているのか
• どんなコマンドが実行されたのか
• どんな検知なのか
• どんなアクションを取ったのか

といった検知に関する内容を簡単に確認いただけます。
その他にもファイルのHash値、検知が発生した端末の情報、ユーザーの情報など様々な内容を確認いただけます。

更に検知を深ぼるツールとしてProcess Treeがあります。

検知が発生する前後でどんなプロセスが起動されたのかを読み解くことができます。

今回のケースではエクスプローラーが起動され、テスト用検体が実行されたことがわかります。

例えば、直前にメールのプロセスが起動していたりすると、メール経由でファイルをダウンロードしている可能性や、

同じくブラウザのプロセスが起動されていたりすると、ブラウザ経由でファイルをダウンロードしている可能性などを確認できます。

尚、隔離されたファイルは管理コンソールからも確認いただけます管理コンソールから隔離の解放、隔離ファイルのダウンロードも行えますので、問題がなければ解放、検体を調査するために、調査用端末にダウンロード、といったことも可能です。