CrowdStrike実行ジョブガイド

CrowdStrike Falconの稼働を確保するジョブ — JobUpdateポリシーでデプロイ

本書では、CrowdStrike Falconのセンサーサービス (CSFalconService) が稼働中かどうかを確認し、停止していれば起動するジョブを説明します。ジョブはJobUpdateポリシーでエンドポイントにデプロイします。Windows Defender実行ジョブと同じパターンです。

対象読者: Windows上にCrowdStrike Falconセンサーを導入した環境でKeeper特権マネージャーをデプロイするIT管理者向けです。

ジョブの動作

CSFalconServiceサービス (CrowdStrike Falcon Sensor) の状態を確認します。
サービスが停止している場合は Start-Service -Name CSFalconService で起動します。
すでにサービスが稼働している場合は何もせず正常終了します。
スケジュール (既定: 60分ごと) およびStartup時に実行し、Falconセンサーを定期的に検証し、停止していれば復旧します。

ジョブはServiceコンテキストでPowerShellタスクを1件使用します。エージェントは通常LOCAL SYSTEMで動作し、CrowdStrikeサービスを起動できます。

要件

Keeper特権マネージャーのエージェントがWindowsにインストールされ、稼働している必要があります。
CrowdStrike Falconセンサーがインストールされている必要があります (CSFalconServiceが存在します)。
PowerShellが C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe に存在する必要があります。
JobUpdateポリシーの作成およびプロセス構成ポリシーの実行ができる必要があります (Keeper管理コンソールなどから)。

ジョブ定義 (完全なJSON)

このジョブJSONは、JobUpdateポリシー (Extension.JobJson) で指定するか、ファイルベースのデプロイでは Jobs/ensure-crowdstrike-running.json として保存するかのいずれかです。

{
  "id": "ensure-crowdstrike-running",
  "name": "Ensure CrowdStrike Falcon is running",
  "description": "Checks if the CrowdStrike Falcon sensor service (CSFalconService) is running; if not, starts it. Deploy via JobUpdate policy. Runs on schedule (default every 60 min) and on Startup.",
  "enabled": true,
  "asUser": false,
  "priority": 5,
  "schedule": {
    "intervalMinutes": 60
  },
  "events": [
    { "eventType": "Startup" }
  ],
  "parameters": [],
  "tasks": [
    {
      "id": "check-and-start-crowdstrike",
      "name": "Check CrowdStrike Falcon service and start if stopped",
      "ExecutionType": "Service",
      "command": "powershell.exe",
      "executablePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
      "arguments": "-NoProfile -ExecutionPolicy Bypass -Command \"& { $s = Get-Service -Name CSFalconService -ErrorAction SilentlyContinue; if (-not $s) { exit 1 }; if ($s.Status -ne 'Running') { Start-Service -Name CSFalconService -ErrorAction Stop }; exit 0 }\"",
      "expectedExitCode": 0,
      "timeoutSeconds": 30,
      "continueOnFailure": false
    }
  ],
  "mqttTopics": { "allowedPublications": ["KeeperLogger"], "allowedSubscriptions": [] },
  "osFilter": { "windows": true, "linux": false, "macOS": false }
}

JobUpdateポリシーでジョブをデプロイする

ポリシーストアまたはKeeper管理コンソールでJobUpdateポリシーを作成します。
- PolicyType: JobUpdate
- Status: enabled
- Extension:
  - JobId: ensure-crowdstrike-running
  - Action: Add
  - JobJson: 上記のジョブオブジェクト全体 (1行でも整形済みでも可)。

ポリシー構成の例:

{
  "PolicyId": "deploy-ensure-crowdstrike-running",
  "PolicyName": "Deploy job: Ensure CrowdStrike Falcon is running",
  "PolicyType": "JobUpdate",
  "Status": "enabled",
  "Extension": {
    "JobId": "ensure-crowdstrike-running",
    "Action": "Add",
    "JobJson": {
      "id": "ensure-crowdstrike-running",
      "name": "Ensure CrowdStrike Falcon is running",
      "description": "Checks if the CrowdStrike Falcon sensor service (CSFalconService) is running; if not, starts it.",
      "enabled": true,
      "asUser": false,
      "priority": 5,
      "schedule": { "intervalMinutes": 60 },
      "events": [{ "eventType": "Startup" }],
      "parameters": [],
      "tasks": [
        {
          "id": "check-and-start-crowdstrike",
          "name": "Check CrowdStrike Falcon service and start if stopped",
          "ExecutionType": "Service",
          "command": "powershell.exe",
          "executablePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
          "arguments": "-NoProfile -ExecutionPolicy Bypass -Command \"& { $s = Get-Service -Name CSFalconService -ErrorAction SilentlyContinue; if (-not $s) { exit 1 }; if ($s.Status -ne 'Running') { Start-Service -Name CSFalconService -ErrorAction Stop }; exit 0 }\"",
          "expectedExitCode": 0,
          "timeoutSeconds": 30,
          "continueOnFailure": false
        }
      ],
      "mqttTopics": { "allowedPublications": ["KeeperLogger"], "allowedSubscriptions": [] },
      "osFilter": { "windows": true, "linux": false, "macOS": false }
    }
  }
}

希望するWindowsのコレクションまたはマシン (Falconセンサーがインストールされている環境) にポリシーを割り当てます。
エージェントでプロセス構成ポリシーを実行し、ジョブを取り込ませます。
- 通常のスケジュール (ポリシー同期後など) に任せます。あるいは
- 手動でトリガーします: POST https://127.0.0.1:6889/api/Jobs/process-configuration-policies/run (管理者認証)。
ジョブが存在することを確認します。 GET https://127.0.0.1:6889/api/Jobs — ensure-crowdstrike-running が表示されます。

ジョブの実行タイミング

Startup — エージェント (またはマシン) 起動時に1回実行されます。
60分ごと — schedule.intervalMinutes に従います。間隔を変える場合はジョブJSONの intervalMinutes を変更します。

オンデマンドで1回だけ実行したい場合を除き、手動トリガーは不要です (例: POST .../api/Jobs/ensure-crowdstrike-running/run)。

検証

サービス状態 (PowerShell):
```
Get-Service -Name CSFalconService
```
ジョブ実行後 (またはテストで手動起動後) はRunningになっている必要があります。
エージェントログ: タスク check-and-start-crowdstrike およびPowerShellまたはサービス関連のエラーを確認します。

ジョブを1回だけ実行する場合 (任意):

Invoke-RestMethod -Method Post -Uri "https://127.0.0.1:6889/api/Jobs/ensure-crowdstrike-running/run" -SkipCertificateCheck

トラブルシューティング

事象

確認するポイント

エンドポイントにジョブがない

JobUpdateポリシーが割り当てられているか、プロセス構成ポリシーが実行済みか、GET /api/Jobs でジョブが返るかを確認します。

終了コード1

CSFalconServiceが存在しない可能性があります (Falconセンサー未インストールまたは別製品)。マシン上で Get-Service CSFalconService を確認します。

サービス起動がアクセス拒否

エージェントがサービスを起動できるアカウント (例: LOCAL SYSTEM) で動いている必要があります。

Start-Serviceが失敗する (例: Disabled状態)

サービスの開始種別がAutomaticまたはManualである必要があります。Disabledの場合はStart-Serviceは失敗します。昇格したプロンプトで Set-Service -Name CSFalconService -StartupType Automatic を実行するか、services.mscで設定します。

間隔が異なる

ポリシー内のJobJsonを編集し、schedule.intervalMinutes を変更します (例: 30)。その後、プロセス構成ポリシーを再実行するか、修正済みジョブ全文でJobUpdateのActionをUpdateにして適用します。

参考

ジョブID: ensure-crowdstrike-running
ジョブファイル (ポリシーを使わない場合): Jobs/ensure-crowdstrike-running.json
サービス名: CSFalconService (CrowdStrike Falcon Sensor)
プラットフォーム: Windowsのみ。

Windows Defenderに同じパターンを適用する場合はWindows Defender実行ジョブのページをご参照ください。ジョブおよびポリシー全般は「はじめに」のページ (ジョブの定義と形式、ジョブの作成・変更・削除) をご参照ください。

前へ参考情報次へデフォルトジョブ

最終更新 13 時間前

役に立ちましたか？

hashtagジョブの動作

hashtag要件

hashtagジョブ定義 (完全なJSON)

hashtagJobUpdateポリシーでジョブをデプロイする

hashtagジョブの実行タイミング

hashtag検証

hashtagトラブルシューティング

hashtag参考

ジョブの動作

要件

ジョブ定義 (完全なJSON)

JobUpdateポリシーでジョブをデプロイする

ジョブの実行タイミング

検証

トラブルシューティング

参考