CrowdStrike ブルースクリーン(BSOD)
Versio.ioの顧客がCrowdStrikeによるIT障害をどのように効率的かつ迅速に解決しているか
- 2024年7月19日にCrowdStrikeによって引き起こされたグローバルなITシステム障害の概要
- Versio.ioを使用してCrownStrikeを検出するために必要なものは何ですか?
- Versio.ioの顧客が影響を受けたCrowdStrikeサーバーを特定する方法
- Versio.ioのお客様から寄せられたCrowdStrike BSOD問題に関するよくある質問
CrowdStrikeによるグローバルなITシステム障害
セキュリティ企業CrowdStrikeは、2024年7月19日に人気プラットフォームのアップデートをリリースしましたが、このアップデートが最終的に多くのWindowsベースの機器の故障を引き起こし、ブルースクリーン(BSOD)が発生する問題を引き起こしました。この問題は世界中に影響を及ぼし、主要な業界のほとんどが影響を受け、銀行の支店閉鎖、飛行機の欠航、小売店のPOS端末の故障など、残念ながらさらに多くの問題が発生しました。多くの組織は、問題の規模を把握し、影響を受けたマシンにおける依存関係を特定するのに苦慮しています。
CrownStrikeをVersio.ioで認識するために必要なものは何ですか?
Versio.io OneImporter エージェントに `OS & hardware` および `Process (OS)` モジュールをインストールする必要があります。これにより、インフラストラクチャとアプリケーションレベルでの完全自動化されたインベントリが実行されます。さらに、OneImporter
はすべての変更を継続的に記録します。これにより、サーバーに関するすべての情報を Versio.io でほぼリアルタイムで確認できます。私たちはこれを「デジタルツイン」と呼んでおり、IT
環境全体が中央のレポジトリで利用可能になることを意味します。
Versio.ioの顧客が影響を受けたCrowdStrikeサーバーを特定する方法
IT環境におけるCrowdStrikeの使用状況を自動的に記録します。
IT環境におけるCrowdStrikeの使用状況を自動的に記録します。
Versio.io プラットフォームの OneImporter エージェントは、サーバー上で実行されたすべてのプロセスを記録できます。これには、IT 障害を引き起こした CrowdStrike Falcon エージェント『CSFalconService.exe』も含まれます。
完全自動化された在庫管理により、Versio.ioの顧客はCrowdStrike Falcon Agentの使用状況に関する正確なデータを取得できます。プロセス特性に加え、Versio.ioは製品とそのバージョン番号を自動的に認識します。
さらに、OneImporterは『File Importer』モジュールを使用して、問題を引き起こしているファイル『C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys』を特定できます。
トポロジー コンテキストを使用して、CrowdStrike Falcon エージェントが実行されているサーバーを特定します。
トポロジー コンテキストを使用して、CrowdStrike Falcon エージェントが実行されているサーバーを特定します。
Versio.io プラットフォームは、記録された構成アイテム間の関係を自動的に認識できます。トポロジー図では、CrowdStrike Falcon Agent が「Services.exe」というプロセスによって起動され、その「Services.exe」は「Wininit.exe」によって起動されたことが示されています。「Wininit.exe」は Windows オペレーティングシステムの最も重要なプロセスであり、したがってサーバーインスタンス「evp-node-1」と直接的な関係があります。
このトポロジカルな基盤に基づき、各CrowdStrike Falconエージェントがどのサーバー上で実行されているかが明確になりました。
CrowdStrike Falcon Agentを使用しているすべてのサーバーの特定
CrowdStrike Falcon Agentを使用しているすべてのサーバーの特定
記録されたプロセスデータとトポロジーに基づいて、Versio.io レポートで『CSFalconService.exe』でプロセスをフィルタリングし、実行中のホストを表示できるようになりました。
これにより、Versio.ioの顧客は、CrowdStrike Falcon Agentを使用しているサーバーの範囲に関する基本情報にアクセスできるようになりました。同様に、ファイル『C-00000291*.sys』がどのサーバーに存在するかを確認し、報告することも可能です。
CrowdStrikeの影響を受けるサーバーの動作を、OneImporter Heartbeatを使用して実行時動作を分析します。
CrowdStrikeの影響を受けるサーバーの動作を、OneImporter Heartbeatを使用して実行時動作を分析します。
当社の各顧客のサーバーには、Versio.io OneImporterがプロビジョニングされています。このOneImporterは、一定間隔でサーバーにハートビートを送信します。ハートビートは、OneImporterが正常に動作していることをVersio.ioサーバーに通知するメッセージです。ハートビートのステータスは、OneImporterダッシュボードで、Windowsオペレーティングシステム上で動作しているOneImporterのうち、正常に動作しなくなったものを特定するために使用できます。OneImporterの高い安定性から、これらのWindowsシステムは、グローバルなIT障害期間中にCrowdStrikeの問題の一部であったと推測されます。
質問と回答
Versio.ioのサービスは障害の影響を受けましたか?
Versio.io プラットフォームのサービスは、CrowdStrike の問題の影響を受けていません。これは、プラットフォームが Linux ベースのコンピュータのみで動作しているためです。ただし、Windows システム上で動作している OneImporter および OneGates エージェントは影響を受ける可能性があります。ただし、OneImporter および OneGate ダッシュボードでは、エージェントが機能しなくなった場合、ハートビートにより簡単に確認できます。
故障の原因は何でしたか?
CrowdStrikeは、Windows PC向けの更新プログラムに不具合が含まれていたことを発表しました。影響を受けたサーバーは、起動ループに陥り、電源をオンにできなくなりました。起動シーケンスは、サーバーが初めて電源をオンにする際に実行されるプロセスで、サーバー上で実行されているオペレーティングシステム、アプリケーション、サービスが最初に起動される段階です。
なぜ障害がこれほど深刻だったのでしょうか?
影響を受けたサーバーがブートループに陥っている場合、通信やサービスを開始できず、つまりリクエストやコマンドに応答しません。サーバーが電源を切られた状態と同じです。サービスを復旧するためには、各サーバーに対して個別に手動で修復作業を実施する必要があります。復旧プロセスは、各サーバーごとに複雑で時間がかかる場合があり、バックアップから以前の時点への「ロールバック」を伴う可能性があります。総計で、約850万台のWindowsデバイスが影響を受けています。
サービスの復旧スケジュールはありますか?
復旧作業が手動で時間がかかるため、サービス復旧は、最も重要なアプリケーションに絡むサーバーと、優先度が低いサービスよりも優先されるサーバーによって左右されます。多くの組織では、このプロセスに数時間から数日かかる場合があります。Versio.ioの顧客は、影響を受けるホストを迅速に特定し、保護の必要性に基づいて最も重要なものを優先して復旧することで、このプロセスを加速できます。
Versio.ioは、サービス停止の影響を受けているお客様にどのように支援していますか?
この問題は手動で修正する必要があります。ただし、Versio.ioは影響を受けるサーバーとサービスを確認しています。この情報を利用することで、お客様が最も重要な(高保護)アプリケーションに関連するサーバーとサービスを復旧するためのプラン作成プロセスを簡素化できます。
Versio.ioの多くのユーザーがサービス停止の影響を受けていますか?
はい、これはCrowdStrikeが不具合のあるアップデートをリリースしたため、この障害は避けられなかったからです。世界最大級かつ最も重要な多くの企業が、エンドポイント保護のためにCrowdStrikeを利用しています。幸いなことに、Versio.ioは顧客が影響を受けたサーバーを迅速に特定し優先順位を付け、最も重要なビジネス機能へのサービス復旧を迅速化します。オフラインのサーバーが特定の重要なビジネスサービスに接続されているか、その正確な依存関係を知ることにより、ITチームは手動の修復計画を迅速に作成し、ビジネスクリティカルな機能を効率的に復旧できます。Versio.ioの顧客は、このプロセスに非常に慣れています。これは、ログ4jのようなゼロデイ実行時脆弱性が発見され、環境の広範な部分に即時的な脅威をもたらす場合にも活用されるからです。このような脆弱性の場合、Versio.ioは顧客が影響を受けるコードを即座に特定し優先順位を付けるのを支援します。
著者 | 2024年7月19日
