CrowdStrike実行ジョブ

CrowdStrike Falconの稼働を確保するジョブ — JobUpdateポリシーでデプロイ

本ページでは、CrowdStrike Falconセンサーサービス (CSFalconService) が実行されているかを確認し、停止している場合は起動するジョブについて取り扱います。このジョブは、JobUpdateポリシーを使用してエンドポイントに展開されます。構成はWindows Defender実行ジョブと同様です。

対象: CrowdStrike Falconセンサーを使用したWindows環境にエンドポイント特権マネージャーを導入するIT管理者

ジョブの動作

CSFalconServiceサービス (CrowdStrike Falcon Sensor) の状態を確認します。
サービスが停止している場合は Start-Service -Name CSFalconService で起動します。
すでにサービスが稼働している場合は何もせず正常終了します。
スケジュール (既定: 60分ごと) およびStartup時に実行し、Falconセンサーを定期的に検証し、停止していれば復旧します。

このジョブは、サービスコンテキストで単一のPowerShellタスクを使用します。エージェントは通常LOCAL SYSTEMとして実行されるため、CrowdStrikeサービスを起動できます。

要件

エンドポイント特権マネージャーのエージェントがWindowsにインストールされ、稼働していること。
CrowdStrike Falconセンサーがインストールされていること (CSFalconServiceが存在します)。
PowerShellが C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe に存在すること
JobUpdateポリシーの作成およびプロセス構成ポリシーの実行ができること (Keeper管理コンソールなどから)。

ジョブの定義 (完全なJSON)

このジョブJSONは、JobUpdateポリシー (Extension.JobJson) で使用するか、ファイルベースの展開用として Jobs/ensure-crowdstrike-running.json として保存して使用します。

{
  "id": "ensure-crowdstrike-running",
  "name": "Ensure CrowdStrike Falcon is running",
  "description": "Checks if the CrowdStrike Falcon sensor service (CSFalconService) is running; if not, starts it. Deploy via JobUpdate policy. Runs on schedule (default every 60 min) and on Startup.",
  "enabled": true,
  "asUser": false,
  "priority": 5,
  "schedule": {
    "intervalMinutes": 60
  },
  "events": [
    { "eventType": "Startup" }
  ],
  "parameters": [],
  "tasks": [
    {
      "id": "check-and-start-crowdstrike",
      "name": "Check CrowdStrike Falcon service and start if stopped",
      "ExecutionType": "Service",
      "command": "powershell.exe",
      "executablePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
      "arguments": "-NoProfile -ExecutionPolicy Bypass -Command \"& { $s = Get-Service -Name CSFalconService -ErrorAction SilentlyContinue; if (-not $s) { exit 1 }; if ($s.Status -ne 'Running') { Start-Service -Name CSFalconService -ErrorAction Stop }; exit 0 }\"",
      "expectedExitCode": 0,
      "timeoutSeconds": 30,
      "continueOnFailure": false
    }
  ],
  "mqttTopics": { "allowedPublications": ["KeeperLogger"], "allowedSubscriptions": [] },
  "osFilter": { "windows": true, "linux": false, "macOS": false }
}

JobUpdateポリシーでジョブをデプロイする

ポリシーストアまたはKeeper管理コンソールでJobUpdateポリシーを作成します。
- PolicyType: JobUpdate
- Status: enabled
- Extension:
  - JobId: ensure-crowdstrike-running
  - Action: Add
  - JobJson: 上記のジョブオブジェクト全体 (1行でも整形済みでも可)。

ポリシー構成の例

{
  "PolicyId": "deploy-ensure-crowdstrike-running",
  "PolicyName": "Deploy job: Ensure CrowdStrike Falcon is running",
  "PolicyType": "JobUpdate",
  "Status": "enabled",
  "Extension": {
    "JobId": "ensure-crowdstrike-running",
    "Action": "Add",
    "JobJson": {
      "id": "ensure-crowdstrike-running",
      "name": "Ensure CrowdStrike Falcon is running",
      "description": "Checks if the CrowdStrike Falcon sensor service (CSFalconService) is running; if not, starts it.",
      "enabled": true,
      "asUser": false,
      "priority": 5,
      "schedule": { "intervalMinutes": 60 },
      "events": [{ "eventType": "Startup" }],
      "parameters": [],
      "tasks": [
        {
          "id": "check-and-start-crowdstrike",
          "name": "Check CrowdStrike Falcon service and start if stopped",
          "ExecutionType": "Service",
          "command": "powershell.exe",
          "executablePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
          "arguments": "-NoProfile -ExecutionPolicy Bypass -Command \"& { $s = Get-Service -Name CSFalconService -ErrorAction SilentlyContinue; if (-not $s) { exit 1 }; if ($s.Status -ne 'Running') { Start-Service -Name CSFalconService -ErrorAction Stop }; exit 0 }\"",
          "expectedExitCode": 0,
          "timeoutSeconds": 30,
          "continueOnFailure": false
        }
      ],
      "mqttTopics": { "allowedPublications": ["KeeperLogger"], "allowedSubscriptions": [] },
      "osFilter": { "windows": true, "linux": false, "macOS": false }
    }
  }
}

希望するWindowsのコレクションまたはマシン (Falconセンサーがインストールされている環境) にポリシーを割り当てます。
エージェントでプロセス構成ポリシーを実行し、ジョブを取り込ませます。
- 通常のスケジュール (ポリシー同期後など) に任せます。
- あるいは手動でトリガーします: POST https://127.0.0.1:6889/api/Jobs/process-configuration-policies/run (管理者認証)。
ジョブが存在することを確認します。 GET https://127.0.0.1:6889/api/Jobs — ensure-crowdstrike-running が表示されます。

ジョブの実行タイミング

Startup エージェント (またはマシン) 起動時に1回実行されます。
60分ごと schedule.intervalMinutes に従います。間隔を変える場合はジョブJSONの intervalMinutes を変更します。

オンデマンドで1回だけ実行したい場合を除き、手動トリガーは不要です (例: POST .../api/Jobs/ensure-crowdstrike-running/run)。

検証

サービス状態 (PowerShell)
```
Get-Service -Name CSFalconService
```
ジョブ実行後 (またはテストで手動起動後) はRunningになっている必要があります。
エージェントログ: タスク check-and-start-crowdstrike およびPowerShellまたはサービス関連のエラーを確認します。

ジョブを1回だけ実行する場合 (任意)

Invoke-RestMethod -Method Post -Uri "https://127.0.0.1:6889/api/Jobs/ensure-crowdstrike-running/run" -SkipCertificateCheck

トラブルシューティング

事象

確認するポイント

エンドポイントにジョブがない

JobUpdateポリシーが割り当てられているか、プロセス構成ポリシーが実行済みか、GET /api/Jobs でジョブが返るかを確認します。

終了コード1

CSFalconServiceが存在しない可能性があります (Falconセンサー未インストールまたは別製品)。マシン上で Get-Service CSFalconService を確認します。

サービス起動がアクセス拒否

エージェントがサービスを起動できるアカウント (例: LOCAL SYSTEM) で動いている必要があります。

Start-Serviceが失敗する (例: Disabled状態)

サービスの開始種別がAutomaticまたはManualである必要があります。Disabledの場合はStart-Serviceは失敗します。昇格したプロンプトで Set-Service -Name CSFalconService -StartupType Automatic を実行するか、services.mscで設定します。

間隔が異なる

ポリシー内のJobJsonを編集し、schedule.intervalMinutes を変更します (例: 30)。その後、プロセス構成ポリシーを再実行するか、修正済みジョブ全文でJobUpdateのActionをUpdateにして適用します。

参考情報

ジョブID: ensure-crowdstrike-running
ジョブファイル (ポリシーを使わない場合): Jobs/ensure-crowdstrike-running.json
サービス名: CSFalconService (CrowdStrike Falcon Sensor)
プラットフォーム: Windowsのみ

Windows Defenderに同様のパターンを適用した例については、Windows Defender実行ジョブのページをご参照ください。ジョブおよびポリシーの詳細については、「はじめに」のページ (ジョブの定義と形式、ジョブの作成・変更・削除) をご参照ください。

前へ承認期間の構成次へファイルインベントリの有効化

最終更新 14 日前