CrowdStrike Falcon RTR チートシート
CrowdStrike Falcon RTR チートシート
インストールとアクセス
CrowdStrike Falcon RTRはスタンドアロンツールではなく、Falconプラットフォームの統合機能です。アクセス方法:
| メソッド | アクセスパス | 要件 |
|---|---|---|
| Falcon Console | https://falcon.crowdstrike.com → Host Management → Hosts → Actions → Real Time Response | 有効なFalconライセンス(Insight/Pro/Enterprise)、RTR有効 |
| Falcon API | REST APIエンドポイントによるプログラム的アクセス | APIクライアント認証情報、OAuth2トークン |
| Windows Sensor | Deploy via GPO/SCCM: WindowsSensor.exe /install /quiet /norestart CID=YOUR_CID | Windows 7 SP1+ / Server 2008 R2+ |
| macOS Sensor | sudo installer -pkg FalconSensor.pkg -target / | macOS 10.12+、フルディスクアクセス |
| Linux Sensor | sudo yum install falcon-sensor.rpm && sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID | Kernel 2.6.32+、RHEL/Ubuntu/SUSE |
# Navigate in Falcon Console
Configuration → Response Policies → Real Time Response → Enable
# Start Linux sensor after installation
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# Verify macOS sensor
sudo /Applications/Falcon.app/Contents/Resources/falconctl stats基本コマンド(読み取り専用 / レスポンダーレベル)
| コマンド | 説明 |
|---|---|
cd [path] | Change current directory (e.g., cd C:\Users\Admin\Desktop) |
pwd | カレントワーキングディレクトリのパスを表示 |
ls [path] | ディレクトリの内容を詳細に一覧表示する |
ls -la [path] | 隠しファイルを含むすべてのファイルを長い形式で一覧表示 |
ls -R [path] | ディレクトリの内容を再帰的にリスト表示する |
cat [file] | Display file contents (e.g., cat C:\Windows\System32\drivers\etc\hosts) |
cat -n 100 [file] | ファイルの最初の100行を表示 |
filehash [file] | ファイルのMD5、SHA1、およびSHA256ハッシュを計算する |
ps | PID、名前、パスを含むすべての実行中のプロセスを一覧表示 |
netstat | すべてのネットワーク接続とリスニングポートを表示 |
netstat -ano | プロセスIDを使用してネットワーク接続を表示 |
ifconfig | ネットワークインターフェース設定とIPアドレスを表示 |
env | すべての環境変数を表示 |
users | ログイン中のユーザーとセッション情報を一覧表示 |
mount | マウントされたファイルシステムを表示 (Linux/macOS) |
getsid [username] | ユーザーアカウントのWindows セキュリティ識別子を取得 |
レジストリとイベントログコマンド(Windows)
| コマンド | 説明 |
|---|---|
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run | スタートアッププログラムのレジストリキーを照会する |
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce | ユーザー固有の起動アイテムを確認 |
reg query "HKLM\System\CurrentControlSet\Services" | レジストリ内のWindowsサービスを一覧表示 |
eventlog view -name Application -count 50 | 最後の50個のApplication イベントログエントリを表示 |
eventlog view -name Security -count 100 | 最後の100のセキュリティイベントログエントリを表示 |
eventlog export -name System -path C:\temp\system.evtx | システムイベントログをファイルにエクスポート |
アクティブレスポンダーコマンド
| コマンド | 説明 |
|---|---|
get [file] | エンドポイントからFalconコンソールへのファイルのダウンロード(暗号化された7z) |
put [file] | Falcon コンソールから事前にステージングされたファイルをエンドポイントにアップロード |
rm [file] | エンドポイントからのファイル削除(完全削除) |
rm -r [directory] | ディレクトリとその内容を再帰的に削除 |
cp [source] [destination] | 証拠保全のためにファイルを新しい場所にコピーする |
kill [PID] | プロセスIDによってプロセスを強制的に終了する |
map [drive] [path] | Map network drive (Windows, e.g., map Z: \\server\share) |
encrypt [file] | AES-256を使用してファイルを暗号化して保護する |
memdump [PID] [name] | マルウェア解析のためのプロセスメモリダンプ |
mkdir [path] | 新しいディレクトリを作成 |
mv [source] [dest] | ファイルを移動または名前変更 |
zip [archive] [files] | ファイルの圧縮アーカイブを作成 |
unzip [archive] [dest] | 圧縮アーカイブを展開 |
RTR管理者コマンド
| コマンド | 説明 |
|---|---|
runscript -CloudFile="script.ps1" | Falcon コンソールから PowerShell スクリプトを実行する |
runscript -CloudFile="script.sh" -CommandLine="arg1 arg2" | 引数を指定してスクリプトを実行 |
runscript -CloudFile="Remediate-Malware" | 事前に構築された修復スクリプトを実行する |
run [command] | エンドポイントで任意のコマンドを実行 |
run whoami /all | 現在のユーザー権限とグループメンバーシップを表示 |
run wmic process list full | 詳細なプロセス情報を一覧表示 (Windows) |
run netsh advfirewall show allprofiles | すべてのプロファイルのファイアウォールステータスを表示 |
run schtasks /query /fo LIST /v | すべてのスケジュールされたタスクを詳細とともに一覧表示 |
run systeminfo | システム構成情報の詳細を表示 |
run tasklist /svc | 関連サービスを持つプロセスを表示 |
高度な調査コマンド
| コマンド | 説明 |
|---|---|
filehash C:\Windows\System32\*.dll | ワイルドカードを使用して複数のファイルをハッシュ化する |
| `ps | findstr “suspicious.exe”` |
| `netstat | findstr “ESTABLISHED”` |
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s | レジストリキーを再帰的に検索 |
| `eventlog view -name Security -count 500 | findstr “4624”` |
ls -R C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup | すべてのユーザーのスタートアップアイテムを検索 |
cat C:\Windows\Prefetch\*.pf | プリフェッチファイルを実行の証拠について調査する |
get C:\$MFT | タイムライン分析のためのMaster File Tableをダウンロード |
memdump [PID] malware_dump && get malware_dump.dmp | プロセスメモリのダンプと取得 |
# In Falcon Console, select multiple hosts then:
# Host Management → Hosts → Select multiple → Actions → RTR
# Execute command across all selected hosts
batch ps
# Download file from multiple endpoints
batch get C:\Users\Public\suspicious.exe
# Kill malicious process on multiple systems
batch kill 1234
# Run remediation script across fleet
batch runscript -CloudFile="Remove-Persistence.ps1"設定
RTR対応ポリシー
# Navigate to: Configuration → Response Policies → Real Time Response
Policy Settings:
- Enable Real Time Response: [Enabled/Disabled]
- Custom Scripts: [Allowed/Blocked]
- Put Files: [Allowed/Blocked]
- Session Timeout: [15-120 minutes]
- Concurrent Sessions: [1-10 per user]
Permission Levels:
- RTR Responder: Read-only commands (cd, ls, ps, netstat)
- RTR Active Responder: File operations (get, put, rm, kill)
- RTR Admin: Script execution (runscript, run)ユーザーロール設定
# Navigate to: Support → User Management → Roles
# Create custom RTR role
Role Name: Incident_Responder
Permissions:
- Real Time Response: Read
- Real Time Response: Write
- Real Time Response Admin: Execute
- Hosts: Read
- Detections: Read/WriteAPI設定
# Python example for RTR API access
import requests
# Authenticate
auth_url = "https://api.crowdstrike.com/oauth2/token"
auth_data = {
"client_id": "YOUR_CLIENT_ID",
"client_secret": "YOUR_CLIENT_SECRET"
}
token = requests.post(auth_url, data=auth_data).json()["access_token"]
# Initialize RTR session
session_url = "https://api.crowdstrike.com/real-time-response/entities/sessions/v1"
headers = {"Authorization": f"Bearer {token}"}
session_data = {"device_id": "DEVICE_AID"}
session = requests.post(session_url, headers=headers, json=session_data)一般的なユースケース
ユースケース1: 不審なプロセスの調査
# Step 1: List running processes
ps
# Step 2: Identify suspicious PID (e.g., 1234)
# Get process hash
filehash C:\Windows\Temp\suspicious.exe
# Step 3: Check network connections
netstat -ano | findstr "1234"
# Step 4: Dump process memory
memdump 1234 suspicious_analysis
# Step 5: Download evidence
get C:\Windows\Temp\suspicious.exe
get suspicious_analysis.dmp
# Step 6: Terminate if malicious
kill 1234
rm C:\Windows\Temp\suspicious.exeユースケース2: 永続化メカニズムの捜索
# Check registry Run keys
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
# Check startup folders
ls "C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
ls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
# Check scheduled tasks
run schtasks /query /fo LIST /v | findstr "TaskName"
# Check services
reg query "HKLM\System\CurrentControlSet\Services"
# Download suspicious items
get "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.lnk"ユースケース3: デジタル証拠の収集
# Navigate to system root
cd C:\
# Collect system information
run systeminfo > C:\temp\sysinfo.txt
get C:\temp\sysinfo.txt
# Collect event logs
eventlog export -name Security -path C:\temp\security.evtx
eventlog export -name System -path C:\temp\system.evtx
get C:\temp\security.evtx
get C:\temp\system.evtx
# Collect network configuration
run ipconfig /all > C:\temp\ipconfig.txt
get C:\temp\ipconfig.txt
# Collect user information
run net user > C:\temp\users.txt
run net localgroup administrators > C:\temp\admins.txt
get C:\temp\users.txt
get C:\temp\admins.txt
# Collect registry hives (requires admin)
get C:\Windows\System32\config\SYSTEM
get C:\Windows\System32\config\SOFTWAREユースケース4: ランサムウェアの修復
# Step 1: Identify ransomware process
ps | findstr "ransom"
# Step 2: Terminate malicious processes
kill 5678
kill 5679
# Step 3: Check for persistence
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
# Step 4: Remove persistence entries
run reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "RansomEntry" /f
# Step 5: Delete ransomware files
rm C:\Users\Public\ransomware.exe
rm C:\ProgramData\ransom\*
# Step 6: Deploy remediation script
runscript -CloudFile="Remove-Ransomware.ps1"
# Step 7: Verify cleanup
ps
ls C:\Users\Publicユースケース5: 横方向移動の調査
# Check for suspicious network connections
netstat -ano | findstr "ESTABLISHED"
# Check for remote desktop connections
eventlog view -name Security -count 1000 | findstr "4624"
eventlog view -name Security -count 1000 | findstr "4625"
# Check for mapped drives
run net use
# Check for PsExec artifacts
ls C:\Windows\*.exe
filehash C:\Windows\PSEXESVC.exe
# Check for WMI activity
eventlog view -name "Microsoft-Windows-WMI-Activity/Operational" -count 500
# Check scheduled tasks for lateral movement
run schtasks /query /fo LIST /v | findstr "Author"
# Collect evidence
get C:\Windows\Prefetch\PSEXEC*.pfベストプラクティス
- 行動する前に確認: 常に読み取り専用コマンドを使用(
ps、ls、
Would you like me to continue with the remaining translations or clarify anything?netstat対応アクションを実行する前に情報を収集するために
killまたは
rm
-
すべてを文書化する: RTRセッションはログ記録されますが、インシデントレポート用に、タイムスタンプ、実行されたコマンド、および発見事項を含む別個のメモを維持してください
-
最小権限を使用する: 調査は Responder レベルのアクセスから開始し、必要な場合にのみアクティブレスポンダーまたは管理者に昇格させます
-
証拠を保存する: 削除前にファイルをダウンロードするには
getを使用し、ファイルを変更する前にバックアップを作成するにはcpを使用し、疑わしいプロセスを終了する前にmemdumpを検討してください -
バッチ操作に注意する: 複数のホストでバッチ操作を使用する際は、意図しない広範囲の影響を避けるため、最初に単一のエンドポイントでコマンドをテストしてください
-
すべてをハッシュ化する: 脅威インテリジェンスの相関と証拠保全のチェーンを維持するため、ダウンロードまたは削除する前に、常に
filehashを疑わしいファイルで実行してください -
セッション管理: RTRセッションは設定された期間(デフォルトは15分)でタイムアウトします。重要な出力はすぐに保存し、セッションの制限に注意してください
-
スクリプトの検証: 本番環境のエンドポイントに展開する前に、ラボ環境でカスタムスクリプト(
runscript)をテストし、スクリプトの構文と予期される動作を検証してください -
ネットワークの認識: プロセスを終了する前に
netstatを使用して、アクティブなC2接続を特定してください。マルウェアには、ネットワークベースの自動停止機能や対反forensics機能がある可能性があります -
コンプライアンスの考慮事項: RTRの使用が組織のポリシー、法的要件、およびプライバシー規制に準拠していることを確認してください。一部の管轄区域では、ユーザーへの通知が必要です
トラブルシューティング
| 問題 | ソリューション |
|---|---|
| RTR session won’t connect | Falcon コンソールでエンドポイントがオンラインであることを確認し、センサーバージョン(5.0+が必要)を確認し、CrowdStrike クラウドへのネットワーク接続(ポート443)を確認し、応答ポリシーで RTR が有効になっていることを確認します |
| ”Permission denied” error | ユーザーロールの権限を確認し、ResponderからActive ResponderまたはAdminにエスカレーション;特定のコマンドがResponse Policyで許可されているか確認;Falcon管理者に連絡 |
| Command returns no output | Verify correct file path syntax (Windows: C:\path, Linux/Mac: /path); use pwd to confirm current directory; check if file/process exists; try absolute paths instead of relative |
get command fails | ファイルサイズが制限(8GB)以下であることを確認し、エンドポイントの空きディスク容量を確認し、別のプロセスによってファイルがロックされていないことを検証し、スペースに対して引用符を使用して適切なファイルパス構文を確保する |
runscript not working | Falcon コンソールにアップロードされたスクリプトを確認(Response Scripts & Files);ユーザーがRTR管理者権限を持っていることを確認;スクリプトの構文エラーを確認;スクリプトがResponse Policyで承認されていることを確認 |
| Sensor shows offline | Check endpoint internet connectivity; verify sensor service running (sc query csagent Windows, systemctl status falcon-sensor Linux); restart sensor service; check firewall rules |
| Session timeout too short | レスポンスポリシー設定(設定 → レスポンスポリシー)でタイムアウトを調整します。最大は120分です。長い調査は複数のセッションに分けることを検討してください |
| Cannot terminate process | Process may be protected; try kill multiple times; use runscript with PowerShell Stop-Process -Force; consider system restart if critical malware; check for rootkit protection |
| Registry query returns error | レジストリパスの構文を確認し、十分な権限があることを確認します(一部のキーはSYSTEMを必要とします)。スペースを含むパスには引用符を使用し、親パスのクエリでキーが存在することを確認します。 |
| Batch operation fails on some hosts | 個々のホストの接続性を確認し、すべてのホストが互換性のあるセンサーバージョンを持っていることを検証し、ホストグループ間のResponse Policyの一貫性を確認し、バッチ結果内の個々のホストのエラーメッセージを確認する |
クイックリファレンスカード```bash
Investigation Workflow
ps # List processes netstat -ano # Check connections reg query HKLM…\Run # Check persistence filehash suspicious.exe # Hash file get suspicious.exe # Download evidence kill [PID] # Terminate threat rm malware.exe # Remove file
Essential Commands
cd, ls, pwd, cat # Navigation ps, netstat, users # System state get, put, rm # File operations kill, memdump # Process actions runscript, run # Admin execution