Box Status
印刷

CrowdStrikeによるデバイス保護の有効化と設定

Security

CrowdStrikeは、エンドポイント、クラウドワークロード、ID、データを保護するための高度なクラウドネイティブプラットフォームを提供するグローバルなサイバーセキュリティリーダーです。 CrowdStrikeのFalcon® Insight XDRは、エンドポイントのアクティビティ (つまりBoxおよびBoxを利用している組織に接続しているデバイス) を監視し、デバイスの設定や構成を分析して潜在的な脅威のアクティビティを特定します。 脅威が特定された場合は、脅威のレベルに基づいて是正アクティビティを定義できます。

CrowdStrikeによるデバイス保護を機能させるには、Boxアカウントに接続しているデバイスにBox Toolsをインストールする必要があります。

CrowdStrikeによるデバイス保護の有効化と設定は、以下の3つのパートで構成されています。

  1. CrowdStrikeによるデバイス保護の有効化
  2. CrowdStrikeでのリアルタイムチェックの有効化
  3. CrowdStrikeによるデバイス保護の構成

CrowdStrikeによるデバイス保護の有効化

前提条件

  • Box Shield
  • アクティブなCrowdStrikeアカウント
  • Falcon Insight XDRモジュールの有効化

CrowdStrikeからログアウトした状態で、BoxからCrowdStrike統合を有効にするには

  1. [管理コンソール] > [Enterprise設定] に移動します。
  2. [デバイス保護] タブを選択します。
  3. [EDR (Endpoint Detection and Response) 統合] セクションの [CrowdStrike] ペインで [有効化] をクリックします。
  4. [CrowdStrike platform (CrowdStrikeプラットフォーム)] ダイアログボックスで、[CrowdStrike Storeに移動] を選択します。 このリンクをクリックすると、Boxアプリ用のCrowdStrikeのページに移動します。
  5. CrowdStrikeアカウントにログインします。
  6. [Try it free (無料で試す)] を選択します。
  7. [Connecting Falcon Platform and Box device security (FalconプラットフォームとBoxデバイスセキュリティの接続)] ダイアログボックスで、[Agree & Request Trial (同意してトライアルをリクエスト)] を選択します。 統合の確認リンクが記載されたメールが届きます。
  8. メールに記載されたリンクをクリックするか、現在のページを更新し、[Open App (アプリを開く)] を選択します。
  9. [CrowdStrike FalconプラットフォームとBoxを接続しますか?] ダイアログボックスで、[接続] を選択します。

この接続では、必要なデータを転送して同期するのに時間がかかる場合があります。 完了すると、ステータスインジケータが [有効] に更新されます。 これで、BoxアカウントがCrowdStrikeアカウントに関連付けられたため、是正アクションや適用するアクションを設定できます。

CrowdStrikeからCrowdStrike統合を有効にするには

  1. CrowdStrikeアカウントにログインします。
  2. 左上のハンバーガーメニューをクリックし、[CrowdStrike Store] を選択します。
  3. Boxデバイスセキュリティアプリを探します。
  4. [Try It Free (無料で試す)] を選択します。
  5. [Connecting Falcon Platform and Box device security (FalconプラットフォームとBoxデバイスセキュリティの接続)] ダイアログボックスで、[Agree & Request Trial (同意してトライアルをリクエスト)] を選択します。 統合の確認リンクが記載されたメールが届きます。
  6. メールに記載されたリンクをクリックするか、現在のページを更新し、[Open App (アプリを開く)] を選択します。
  7. [CrowdStrike FalconプラットフォームとBoxを接続しますか?] ダイアログボックスで、[接続] を選択します。

この接続では、必要なデータを転送して同期するのに時間がかかる場合があります。 完了すると、ステータスインジケータが [有効] に更新されます。 これで、BoxアカウントがCrowdStrikeアカウントに関連付けられたため、是正アクションや適用するアクションを設定できます。

CrowdStrikeでのリアルタイムチェックの有効化

接続が正しく設定されると、数分ごとにデバイスのセキュリティ対策がチェックされます。 CrowdStrikeでこのようなリアルタイムチェックを有効にするには、対応するBox操作を含むCrowdStrike Falcon Fusionワークフローを作成します (このヘルプトピックにアクセスするには、CrowdStrikeアカウントにログインしている必要があります)。 詳細については、CrowdStrike Fusionのドキュメントを参照してください。

CrowdStrikeによるデバイス保護の構成

CrowdStrikeによるデバイス保護の構成には、以下の2つのコンポーネントがあります。

  • [是正アクション]: ここでは、論理条件とアクションを定義します。
  • [適用するアクション]: ここでは、制限を監視するか適用するかを決定します。

また、必要に応じて、デバイスがセキュリティ要件を満たしていない場合にユーザーの問い合わせ先となるメールアドレスも入力できます。

CrowdStrike Zero Trust Assessmentスコア

Zero Trust Assessment (ZTA) スコア (このヘルプトピックにアクセスするには、CrowdStrikeアカウントにログインしている必要があります) とは、エンドポイントの全体的な健全性を定義する、CrowdStrikeによって生成される1つの指標です。 CrowdStrikeのドキュメントでは、次のように説明されています。

Zero Trust Assessmentは、各ホストのセキュリティスコアを1~100で計算します。 スコアが高いほど、ホストに対するセキュリティ対策が優れていることを示します。 セキュリティスコアは、使用している環境の一意の構成に固有のものです。 Zero Trust Assessmentでは、何をもって良いスコアとするかは定義していません。 その代わり、ZTAのダッシュボードでは、考えられるリスクが可視化され、ホストのセキュリティ対策を強化できる設定に関するインサイトが示されます。

ZTAスコア (またはZTAスコアの範囲) に基づいて是正アクションを定義します。 CrowdStrikeのZero Trust Assessmentダッシュボードの情報は、選択した是正アクションに最適と考えられるスコアまたはスコアの範囲を判断するのに役立ちます。

Zero Trust Assessment (ZTA) スコアは、100を超えるさまざまなリスクシグナルを1つの独自スコアに集約したものです。 デバイスのZTAスコアが変化したことが判明した場合、Box管理者は、変化の性質を理解するために、BoxイベントストリームまたはBoxのレポート機能で利用可能な特定のCrowdStrikeイベントに含まれる [FalconエージェントID] フィールドを使用できます。 CrowdStrikeのZero Trust Assessmentダッシュボードでは、これらの値を使用して、ホストIDで検索します。 これにより、デバイスでのZTAスコアの変化の要因とその対処方法を特定できます。

前提条件

  • アクティブなCrowdStrikeアカウント
  • Falcon Insight XDRモジュールの有効化
  • CrowdStrikeによるデバイス保護の有効化 (上記参照)

CrowdStrikeによるデバイス保護を構成するには

  1. [管理コンソール] > [Enterprise設定] に移動します。
  2. [デバイス保護] タブを選択します。
  3. [EDR (Endpoint Detection and Response) 統合] セクションの [CrowdStrike] ペインで [構成] をクリックします。
  4. [是正アクション] セクションで、1つ以上の是正を構成します。 是正ごとに、以下の手順を実行します。
    1. [是正] を選択します。 これは、デバイスからBoxに接続し、定義したZTAリスクスコアに一致すると判定された場合に実行されるアクションです。 次のいずれかを選択します。
      • ユーザーセッションを終了し、デバイスをブロックする
    2. 以下のいずれかの比較演算子を選択します。
      • 次の値の範囲内
      • 次の値以下
    3. 選択した比較演算子に応じて、ZTAスコアの値を1つまたは2つ入力します。
  5. [適用するアクション] セクションで、以下を選択します。
    • [制限の適用] - (デフォルト) デバイスの制限の適用をすぐに開始します。
    • [制限違反の監視] - 定義した構成に関するデータを収集し、構成が十分かどうか、または制限を適用する前に変更が必要かどうかを判断できるように違反を監視します。
  6. 必要に応じて、ITヘルプメールを入力します。 ここにメールアドレスが入力されている場合は、このポリシーで制限されているデバイスを所有するユーザーにこのメールアドレスが連絡先情報として提供されます。
  7. [保存] をクリックします。

CrowdStrikeによるデバイス保護を有効にした場合のユーザーエクスペリエンス

CrowdStrikeによるデバイス保護を使用するには、BoxにアクセスしようとするデバイスにBox Toolsのバージョン4.25.0以上をインストールする必要があります。 CrowdStrikeによるデバイス保護を有効にすると、次回ユーザーがWindowsまたはmacOSコンピュータからログインしようとしたときにBox Toolsの最小バージョンがインストールされていない場合、ユーザーはBox Toolsをダウンロードしてインストールしないと、Boxにログインできません。

注:
Enterprise設定を編集できる管理者および共同管理者には、デバイス保護のチェックおよび是正は適用されません。 これは、管理者および共同管理者が誤って管理コンソールからロックアウトされないようにするためです。

組織内のデバイスへのBox Toolsのインストールの詳細については、大規模な導入: Box Toolsを参照してください。

デバイスへのアクセスの監視

  • レポートは、[管理コンソール] > [レポート] > [ユーザーアクティビティ] ([ログイン] の配下にあるCrowdStrike関連のイベントを選択) で生成できます。
  • ログは、Boxイベントストリームでも確認できます。

 

 

 

関連記事