O que é a plataforma CrowdStrike Falcon

O CrowdStrike contém vários módulos de produtos que se conectam a um só ambiente de SaaS. As Soluções de Segurança de Endpoint são implementadas no endpoint por um único agente, conhecido como Sensor CrowdStrike Falcon. A Falcon Platform é dividida em Soluções de Segurança de Endpoint, Operações de TI de Segurança, Inteligência de Ameaças, Soluções de Segurança na Nuvem e Soluções de Proteção de Identidade. Mais informações sobre esses produtos estão abaixo:

Soluções de segurança de endpoints

• Falcon Insight - detecção e resposta de endpoint (EDR)
  • Supere os adversários com visibilidade abrangente do que está acontecendo em seus endpoints, estendida a todas as principais fontes de dados por meio do XDR integrado. Veja os detalhes até mesmo das ameaças mais sofisticadas, com contexto completo entre domínios para investigar rapidamente as ameaças e informar ações rápidas e confiáveis.
• Falcon Prevent - antivírus de última geração (NGAV)
  • Interrompa ataques com o poder da inteligência artificial (IA) e do aprendizado de máquina (ML) de última geração — de malware genérico a ataques sem arquivos e de dia zero. Nossa inteligência contra ameaças de elite, os indicadores de ataque pioneiros do setor, o controle de scripts e a varredura avançada de memória detectam e bloqueiam comportamentos mal-intencionados no início da cadeia de invasão.
• CrowdStrike Falcon Device Control — Controle de dispositivo USB
  • Melhore a visibilidade do uso e da atividade de dispositivos USB para monitorar, procurar e investigar proativamente incidentes de perda de dados por meio de contexto abrangente de atividade do usuário, visibilidade profunda de arquivos e identificação automática do código-fonte.
• Falcon Firewall Management - Controle de firewall do host
  • Proteja-se contra ameaças à rede e obtenha visibilidade instantânea para aprimorar a proteção e fundamentar ações.
• Falcon for Mobile - Detecção e resposta de endpoint móvel
  • Defenda sua empresa contra ameaças móveis estendendo EDR e XDR para dispositivos Android e iOS.
• Falcon Forensics - Análise de Dados Forenses
  • Automatize a coleta de dados forenses point-in-time e históricos e, ao mesmo tempo, aumente a experiência dos analistas com painéis abrangentes e contexto completo de ameaças para uma análise robusta de incidentes forenses.

Segurança e operações de TI

• CrowdStrike Falcon Discover
  • Apresenta informações sobre seu ambiente de endpoint. Isso permite que os administradores visualizem informações históricas e em tempo real de inventário de aplicativos e ativos.
• CrowdStrike Falcon OverWatch
  • Fornece uma busca gerenciada de ameaças em período integral e notificações por e-mail da equipe Falcon OverWatch, alertando os administradores rapidamente após um indicador que possa representar uma ameaça emergente.
• CrowdStrike Falcon Spotlight
  • Oferece gerenciamento de vulnerabilidades aproveitando o sensor Falcon para fornecer informações de patch da Microsoft ou vulnerabilidades ativas para dispositivos com Falcon instalado e para dispositivos próximos na rede.

Inteligência contra ameaças

• Mecanismo de pesquisa CrowdStrike Falcon
  • O CrowdStrike Falcon MalQuery é uma ferramenta avançada de pesquisa de malware nativa da nuvem que permite que profissionais e pesquisadores de segurança pesquisem rapidamente um enorme conjunto de dados de amostras de malware, validando riscos potenciais e se antecipando a possíveis invasores. No núcleo do Falcon MalQuery está uma coleção de vários petabytes de mais de 3,5 bilhões de arquivos, indexados por tecnologia com patente pendente.
• CrowdStrike Falcon Sandbox
  • Permite a execução controlada de malware para apresentar relatórios detalhados de ameaças que foram vistas em seu ambiente e coletar dados adicionais sobre os agentes de ameaças em todo o mundo.
• Inteligência CrowdStrike Falcon
  • Investigue incidentes automaticamente e acelere a triagem e a resposta a alertas. Integrado à plataforma Falcon, ele fica operacional em segundos.

Soluções de segurança na nuvem

• Falcon Cloud Workload Protection — para AWS, Azure e GCP
  • O Falcon Cloud Security oferece proteção abrangente contra violações para cargas de trabalho, contêineres e Kubernetes, permitindo que as organizações criem, executem e protejam aplicativos nativos na nuvem com velocidade e confiança.
• Falcon Horizon – Gerenciamento de postura de segurança na nuvem (CSPM)
  • O Falcon Cloud Security oferece detecção contínua sem agentes e visibilidade de ativos nativos na nuvem do host para a nuvem, fornecendo contexto e insights valiosos sobre a postura geral de segurança e as ações necessárias para evitar possíveis incidentes de segurança.
• Segurança de contêineres
  • Os contêineres mudaram a forma como os aplicativos são criados, testados e utilizados, permitindo que os aplicativos sejam implementados e dimensionados para qualquer ambiente instantaneamente. À medida que a adoção de contêineres aumenta, eles surgem como uma nova superfície de ataque que carece de visibilidade e expõe as organizações.

Soluções de proteção de identidade

• Detecção de ameaças de identidade (ITD) do Falcon
  • Detecção de ameaças de identidade CrowdStrike Falcon: oferece visibilidade profunda de incidentes e anomalias com base em identidade em um cenário complexo de identidade híbrida, comparando o tráfego em tempo real com as linhas de base de comportamento e as políticas para detectar ataques e movimentação lateral em tempo real.
  • CrowdStrike Falcon Identity Threat Protection — Usando um único sensor e uma interface unificada contra ameaças com correlação de ataques em endpoints, cargas de trabalho e identidade, o Falcon Identity Threat Protection impede violações orientadas por identidade em tempo real.

A Dell e a CrowdStrike podem incluir o CrowdStrike na compra de seu dispositivo Dell ou você pode adquirir um pacote flexível de volume. Para obter mais informações sobre quais produtos CrowdStrike estão incluídos, consulte a lista de Pacotes Flex de Volume ou Ofertas On-The-Box (OTB).

Pacotes flexíveis de volume

• Falcon Pro
  • Falcon Prevenir
  • Falcon Control e Respond
  • Suporte padrão ao CrowdStrike
• Falcon Enterprise
  • Falcon Prevenir
  • Falcon Insight XDR/EDR
  • Suporte padrão ao CrowdStrike
• Falcão Elite
  • Falcon Prevenir
  • Falcon Insight XDR/EDR
  • Falcão Descubra
  • Proteção de identidade do Falcon
  • Suporte padrão ao CrowdStrike
• Módulos ou serviços opcionais da Falcon
  • Falcon Inteligência
  • Controle de dispositivos Falcon
  • Gerenciamento de firewall Falcon
  • Falcon OverWatch
  • Suporte essencial do CrowdStrike

Ofertas integradas (OTB)

• Falcon Endpoint Protection Pro OTB
  • Falcon Prevenir
  • Falcon Control e Respond
  • Controle de dispositivos Falcon
  • Suporte essencial do CrowdStrike
• Falcon Endpoint Protection Enterprise OTB
  • Falcon Prevenir
  • Falcon Insight XDR/EDR
  • Controle de dispositivos Falcon
  • Gráfico de ameaças do Falcon
  • Suporte essencial do CrowdStrike
• OTB do pacote de endpoints Falcon Endpoint Protection Pro e Dell Secured Component Verification on Cloud (SCV on Cloud)
  • Falcon Prevenir
  • Falcon Control e Respond
  • Controle de dispositivos Falcon
  • Suporte essencial do CrowdStrike
  • Dell Secured Component Verification on Cloud (SCV on Cloud)

• Módulos ou serviços opcionais da Falcon
  • Falcon Control e Respond
  • Falcon Inteligência
  • Falcon Insight XDR/EDR
  • Gerenciamento de firewall Falcon
  • Falcon OverWatch
  • Falcão Descubra
  • Proteção de identidade do Falcon
  • Gráfico de ameaças do Falcon

CrowdStrike é um sensor baseado em agentes que pode ser instalado em sistemas de operacionais Windows, Mac ou Linux para plataformas de desktop ou servidor. Essas plataformas contam com uma solução de SaaS hospedada em nuvem para gerenciar políticas, controlar dados de relatórios, além de gerenciar ameaças e responder a elas.

O CrowdStrike pode trabalhar off-line ou on-line para analisar os arquivos à medida que eles tentam ser executados no endpoint. Isso é feito usando:

• Hashes de prevenção predefinidos
• Indicador comportamental de ataques
• Malware conhecido
• Redução de explorações

Clique no método adequado para obter mais informações.

Hashes de prevenção predefinidos

Os hashes de prevenção predefinidos são listas de hashes SHA256 conhecidos por ser bons ou ruins. Os hashes definidos podem ser marcados como "Never Block" ou "Always Block".

Os hashes SHA256 definidos como "Never Block" podem ser uma lista de itens provenientes de uma solução antivírus anterior para a linha interna de aplicativos empresariais. Importar uma lista de hashes de prevenção predefinidos para aplicativos internos é o método mais rápido de adicionar, à lista de permissões de seu ambiente, os arquivos em boas condições.

Os hashes SHA256 definidos como "Always Block" podem ser uma lista de hashes mal-intencionados conhecidos que seu ambiente já encontrou no passado ou que são informados a você por terceiros confiáveis.

Não é necessário carregar os hashes de prevenção em lotes. Além disso, é possível configurar hashes SHA256 definidos manualmente. Quando um só ou vários hashes são informados, quaisquer detalhes sobre esses hashes são solicitados do back-end do CrowdStrike. As informações auxiliares (como nomes de arquivo, informações do fornecedor, números de versão do arquivo) desses hashes, se estiverem presentes em seu ambiente ou em qualquer dispositivo, são preenchidas com base nas informações do ambiente.

Indicador comportamental de ataques

Qualquer item definido como um ataque (com base em seu comportamento) geralmente é indicado dessa forma com base nos valores de aprendizado de máquina. Isso pode ser definido para o sensor ou para a nuvem. A plataforma Falcon da CrowdStrike utiliza um processo em duas etapas para identificar ameaças com seu modelo de aprendizagem automática. Isso é feito inicialmente no endpoint local para oferecer uma resposta imediata a uma possível ameaça no endpoint. Depois, essa ameaça é enviada à nuvem para uma análise secundária. Com base nas políticas de prevenção definidas para o dispositivo, o endpoint pode solicitar ações adicionais se a análise da nuvem for diferente da análise da ameaça feita pelo sensor local.

Indicadores adicionais estão sempre sendo adicionados ao produto para reforçar a detecção de ameaças e programas possivelmente indesejados.

Malware conhecido

A inteligência centralizada do CrowdStrike oferece uma ampla variedade de informações sobre ameaças e agentes de ameaças presentes em todo o mundo. Essa lista é usada para integrar proteções contra ameaças que já foram identificadas.

Redução de explorações

Várias vulnerabilidades podem estar ativas em um ambiente a qualquer momento. Se um patch crítico ainda não foi lançado para uma vulnerabilidade conhecida que afeta um ambiente, a CrowdStrike faz o monitoramento em busca dessa vulnerabilidade, além de evitar e oferecer proteção contra comportamentos mal-intencionados que usem essas explorações.

Um convite de falcon@crowdstrike.com contém um link de ativação para o console CrowdStrike Falcon que é válido por 72 horas. Depois de 72 horas, você deverá reenviar um novo link de ativação para sua conta por meio de um banner na parte superior da página:

Os clientes que adquiriram o CrowdStrike por meio da Dell podem obter suporte ao entrar em contato com o Dell Data Security ProSupport. Para obter mais informações, consulte Como obter suporte para o CrowdStrike.

O console do CrowdStrike Falcon requer um client RFC 6238 de Senha de Uso Único Baseada em Tempo (TOTP) para o acesso com autenticação de dois fatores (2FA).

Para obter informações sobre instalação, consulte Como configurar a 2FA (Two-Factor Authentication, Autenticação de Dois Fatores) no console do CrowdStrike Falcon.

O CrowdStrike é compatível com vários sistemas operacionais Windows, Mac e Linux em plataformas de desktop e servidor. Todos os dispositivos se comunicarão com o console do CrowdStrike Falcon por HTTPS pela porta 443.

Para obter uma lista completa dos requisitos, consulte Requisitos do sistema do sensor CrowdStrike Falcon.

Para obter instruções sobre o processo de download, consulte Como fazer download do sensor CrowdStrike Falcon.

É possível adicionar administradores ao console do CrowdStrike Falcon conforme a necessidade. Para obter mais informações, consulte Como adicionar administradores ao console do CrowdStrike Falcon.

Um token de manutenção pode ser usado para proteger o software contra adulteração e remoção não autorizada. Para obter mais informações, consulte Como gerenciar o token de manutenção do sensor CrowdStrike Falcon.

O sensor CrowdStrike Falcon pode ser instalado:

• No Windows, por meio da IU (Interface do Usuário) ou da CLI (Command-Line Interface, Interface de Linha de Comando)
• No Mac, por meio do Terminal
• No Linux, por meio do Terminal

Para obter instruções sobre o processo de instalação, consulte Como instalar o sensor CrowdStrike Falcon.

O CrowdStrike usa a CID (Customer Identification, Identificação do Cliente) para associar o sensor CrowdStrike Falcon ao console do CrowdStrike Falcon apropriado durante a instalação.

O CID está localizado no console do CrowdStrike Falcon (https://falcon.crowdstrike.com) selecionando Configuração e gerenciamento do host e, em seguida, Downloads do sensor.

Para obter mais informações, consulte Como obter a identificação do cliente do CrowdStrike.

A versão do sensor CrowdStrike Falcon pode ser exigida para:

• Validar os requisitos do sistema
• Identificar problemas conhecidos
• Entender as mudanças do processo

Já que não há uma IU do produto, a versão deve ser identificada por meio de linha de comando (Windows) ou do Terminal (Mac e Linux).

Para obter instruções sobre esses comandos, consulte Como identificar a versão do sensor CrowdStrike Falcon.

Um SHA-256 (Secure Hash Algorithm, Algoritmo de Hash Seguro) pode ser usado em exclusões do sensor CrowdStrike Falcon. Para obter mais informações, consulte Como identificar o hash SHA-256 de um arquivo para aplicativos de segurança.

Os logs operacionais básicos estão armazenados:

• Windows
  • Aplicativo Visualizador de Eventos da Microsoft
    • Registros de aplicativos
    • Registros do sistema
• Mac
  • Registro do sistema
• Linux
  • Varia de acordo com a distribuição; geralmente, estão presentes na localização do "log" principal da distribuição.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Para obter mais informações, consulte Como coletar registros do sensor CrowdStrike Falcon.

O sensor CrowdStrike Falcon pode ser removido em:

• No Windows, por meio da IU (Interface do Usuário) ou da CLI (Command-Line Interface, Interface de Linha de Comando)
• No Mac, por meio do Terminal
• No Linux, por meio do Terminal

Para obter mais informações, consulte Como desinstalar o sensor CrowdStrike Falcon.

A ferramenta de desinstalação do sensor CrowdStrike Falcon está disponível para download no console do CrowdStrike Falcon. Para obter mais informações, consulte Como fazer download da ferramenta de desinstalação do sensor CrowdStrike Falcon.

Sim! Embora geralmente não seja recomendável executar várias soluções antivírus, o CrowdStrike foi testado com vários fornecedores de antivírus e descobriu-se que ele pode coexistir com essas soluções sem causar problemas ao usuário final. Geralmente, não é necessário fazer exclusões para o CrowdStrike com outros aplicativos antivírus.

Se surgirem problemas, as exclusões poderão ser adicionadas ao console do CrowdStrike Falcon (https://falcon.crowdstrike.com ). Basta selecionar Configuration e, em seguida, File Exclusions. As exclusões desses aplicativos antivírus adicionais são feitas pelo fornecedor de antivírus terceirizado.

Muitos problemas de compatibilidade com o Windows observados com o CrowdStrike e aplicativos de terceiros podem ser resolvidos por meio da alteração da forma como o CrowdStrike opera no modo User.

1. Faça login no console do CrowdStrike Falcon.
2. Clique em Segurança de Endpoint e selecione Políticas de Prevenção.

3. Clique no ícone Edit do grupo de políticas desejado.

4. Clique em Sensor Visibility Enhanced Visibility.

5. Desative a opção Additional User Mode Data (Dados adicionais do modo de usuário).

6. Clique para salvar as alterações de política.