Hva er CrowdStrike Falcon-plattformen

CrowdStrike inneholder ulike produktmoduler som kobles til et enkelt SaaS-miljø. Løsninger for endepunktsikkerhet aktiveres på endepunktet av én enkelt agent, kjent som CrowdStrike Falcon Sensor. Falcon Platform er delt inn i Endpoint Security Solutions, Security IT & Operations, Threat Intelligence, Cloud Security Solutions og Identity Protection Solutions. Du finner mer informasjon om disse produktene nedenfor:

Sikkerhetsløsninger for sluttpunkt

• Falcon Insight - Endepunktsdeteksjon og respons (EDR)
  • Overgå motstanderen med omfattende synlighet i hva som skjer på endepunktene dine, utvidet på tvers av alle viktige datakilder via integrert XDR. Se detaljene om selv de mest sofistikerte truslene, med fullstendig kontekst på tvers av domene for rask etterforskning av trusler og rask og trygg handling.
• Falcon Prevent – neste generasjons antivirus (NGAV)
  • Stopp angrep med kraften til banebrytende kunstig intelligens (AI) og maskinlæring (ML) – fra vanlig skadelig programvare til filløse angrep og nulldagsangrep. Vår elite trusselintelligens, bransjeledende indikatorer på angrep, skriptkontroll og avansert minneskanning oppdager og blokkerer ondsinnet atferd tidligere i drapskjeden.
• CrowdStrike Falcon Device Control – USB-enhetskontroll
  • Forbedre synligheten av bruk og aktivitet på USB-enheter for å overvåke, proaktivt jakte på og undersøke hendelser med tap av data gjennom omfattende brukeraktivitetskontekst, dyp filsynlighet og automatisk kildekodeidentifikasjon.
• Falcon Firewall Management - Host Firewall Control
  • Beskytt mot nettverkstrusler og få øyeblikkelig synlighet for å forbedre beskyttelsen og informere handling.
• Falcon for mobil – oppdagelse og respons på mobile endepunkter
  • Beskytt bedriften mot mobile trusler ved å utvide EDR og XDR til Android- og iOS-enheter.
• Falcon Forensics - Rettsmedisinsk dataanalyse
  • Automatiser tidspunktbasert og historisk kriminalteknisk datainnsamling, samtidig som analytikerekspertisen økes med omfattende instrumentbord og fullstendig trusselkontekst for robust analyse av rettsmedisinske hendelser.

Sikkerhet og IT-drift

• CrowdStrike Falcon Discover
  • Gir innsikt i endepunktmiljøet. Dette gjør det mulig for administratorer å vise sanntids og historisk informasjon om programmer og aktiva.
• CrowdStrike Falcon OverWatch
  • Gir døgnkontinuerlig administrert trusseljakt og e-postvarsling fra Falcon OverWatch-teamet, som varsler administratorer på et øyeblikk med en indikator som indikerer en kommende trussel.
• CrowdStrike Falcon Spotlight
  • Tilbyr sårbarhetsadministrasjon ved å utnytte Falcon Sensor til å levere Microsoft-oppdateringsinformasjon eller aktive sårbarheter for enheter med Falcon installert, og for enheter i nærheten på nettverket.

Trusselinformasjon

• CrowdStrike Falcon-søkemotor
  • CrowdStrike Falcon MalQuery er et avansert, skybasert verktøy for forskning på skadelig programvare som gjør det mulig for sikkerhetseksperter og forskere å raskt søke i et massivt datasett med eksempler på skadelig programvare, validere potensielle risikoer og ligge i forkant av potensielle angripere. I kjernen av Falcon MalQuery er en multi-petabyte samling av over 3,5 milliarder filer, indeksert av patentsøkt teknologi.
• CrowdStrike Falcon Sandbox
  • Muliggjør kontrollert kjøring av skadelig programvare for å gi detaljerte rapporter om trusler som har blitt oppdaget i miljøet ditt, og samler inn mer data om trusselaktører over hele verden.
• CrowdStrike Falcon Intelligence
  • Undersøk hendelser automatisk, og få fart på sortering og svar på varsler. Innebygd i Falcon-plattformen, er den operativ på sekunder.

Løsninger for nettskysikkerhet

• Beskyttelse av Falcon Cloud-workload – for AWS, Azure og GCP
  • Falcon Cloud Security leverer omfattende bruddbeskyttelse for workloader, containere og Kubernetes, slik at organisasjoner kan bygge, kjøre og sikre nettskybaserte applikasjoner raskt og trygt.
• Falcon Horizon – Cloud Security Posture Management (CSPM)
  • Falcon Cloud Security leverer kontinuerlig agentløs oppdagelse og synlighet av skyopprinnelige eiendeler fra verten til skyen, og gir verdifull kontekst og innsikt i den generelle sikkerhetsholdningen og handlingene som kreves for å forhindre potensielle sikkerhetshendelser.
• Containersikkerhet
  • Beholdere har endret hvordan applikasjoner bygges, testes og brukes, slik at applikasjoner kan distribueres og skaleres til ethvert miljø umiddelbart. Etter hvert som bruken av containere øker, fremstår de som en ny angrepsflate som mangler synlighet og eksponerer organisasjoner.

Løsninger for identitetsbeskyttelse

• Oppdagelse av Falcon Identity Threat Detection (ITD)
  • CrowdStrike Falcon Identity Threat Detection – gir dyp oversikt over identitetsbaserte hendelser og avvik i et komplekst hybrid identitetslandskap, og sammenligner trafikk i sanntid med atferdsgrunnlinjer og policyer for å oppdage angrep og lateral bevegelse i sanntid.
  • CrowdStrike Falcon Identity Threat Protection - Ved å bruke en enkelt sensor og enhetlig trusselgrensesnitt med angrepskorrelasjon på tvers av endepunkter, arbeidsbelastninger og identitet, stopper Falcon Identity Threat Protection identitetsdrevne brudd i sanntid.

Dell og CrowdStrike kan inkludere CrowdStrike ved kjøp av Dell-enheten, eller du kan kjøpe en volumfleksipakke. Hvis du vil ha mer informasjon om hvilke CrowdStrike-produkter som er inkludert, kan du se listen over Volume Flex Bundles eller On-The-Box (OTB)-tilbud.

Volume Flex-pakker

• Falcon Pro
  • Falcon Prevent
  • Falcon Control og Response
  • Standardstøtte for CrowdStrike
• Falcon Enterprise
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Standardstøtte for CrowdStrike
• Falcon Elite
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falcon Discover
  • Falcon Identity Protection
  • Standardstøtte for CrowdStrike
• Valgfrie Falcon-moduler eller tjenester
  • Falcon Intelligence
  • Falcon Device Control
  • Administrasjon av Falcon Firewall
  • Falcon OverWatch
  • CrowdStrike Essential Support

On-The-Box (OTB) tilbud

• Falcon Endpoint Protection Pro OTB
  • Falcon Prevent
  • Falcon Control og Response
  • Falcon Device Control
  • CrowdStrike Essential Support
• Falcon Endpoint Protection Enterprise OTB
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falcon Device Control
  • Falcon Threat Graph
  • CrowdStrike Essential Support
• Falcon Endpoint Protection Pro og Dell sikret komponentverifisering i nettskyen (SCV på nettsky) Endpoint Bundle OTB
  • Falcon Prevent
  • Falcon Control og Response
  • Falcon Device Control
  • CrowdStrike Essential Support
  • Dell sikret verifisering av komponent i nettskyen (SCV i nettskyen)

• Valgfrie Falcon-moduler eller tjenester
  • Falcon Control og Response
  • Falcon Intelligence
  • Falcon Insight XDR/EDR
  • Administrasjon av Falcon Firewall
  • Falcon OverWatch
  • Falcon Discover
  • Falcon Identity Protection
  • Falcon Threat Graph

CrowdStrike er en agentbasert sensor som kan installeres på Windows-, Mac- eller Linux-operativsystemer for stasjonære datamaskiner eller serverplattformer. Disse plattformene bruker en nettskybasert SaaS-løsning til å administrere retningslinjer, kontrollere rapportdata, samt håndtere og reagere på trusler.

CrowdStrike kan brukes både frakoblet og tilkoblet for å analysere filer når de prøver å kjøre på endepunktet. Dette gjøres ved hjelp av:

• Forhåndsdefinerte forebyggingshasher
• Atferdsindikator for angrep
• Kjent skadelig programvare
• Risikoreduksjon

Klikk på den aktuelle metoden for å få mer informasjon.

Forhåndsdefinerte forebyggingshasher

Forhåndsdefinerte forebyggingshasher er lister over SHA256-hasher som er kjent for å være gode eller ondsinnede. De definerte hashene kan være merket som Never Block (Aldri blokker) eller Always Block (Alltid blokker).

SHA256-hasher som er definert som Never Block (Aldri blokker), kan være en liste over elementer som har kommet fra en tidligere antivirusløsning for interne produktserier. Den raskeste metoden for å legge til fungerende filer i tillatelseslisten, er å importere en liste over forhåndsdefinerte forebyggingshasher for interne applikasjoner.

SHA256-hasher som er definert som Always Block (Alltid blokker), kan være en liste over kjente skadelige hasher som miljøet ditt har sett tidligere, eller som du har fått av en pålitelig tredjepart.

Det er ikke nødvendig å laste opp forebyggingshasher i partier, og manuelt definerte SHA256-hasher kan angis. Når entall eller flere hasher er oppgitt, blir alle detaljer om disse hashene bedt om fra CrowdStrike-back-end. Tilleggsinformasjon (for eksempel filnavn, leverandørinformasjon, filversjonsnumre) for disse hash-kodene (hvis de finnes i miljøet ditt på en hvilken som helst enhet) fylles ut basert på informasjon fra miljøet ditt.

Atferdsindikator for angrep

Ethvert element som er definert som et angrep (basert på atferden), er vanligvis angitt som dette basert på maskinlæringsverdiene. Dette kan angis for enten sensoren eller nettskyen. CrowdStrike sin Falcon-plattform bruker en totrinnsprosess for å identifisere trusler med sin maskinlæringsmodell. Dette gjøres i utgangspunktet på det lokale sluttpunktet for umiddelbart å svare på potensielle trusler på sluttpunktet. Denne trusselen sendes deretter til nettskyen for en sekundær analyse. Basert på policyene for forebygging definert for enheten, kan flere handlinger være nødvendig for sluttpunktet hvis nettskyanalysen skiller seg ut fra den lokale sensorens analyse av trusselen.

Produktet får stadig flere indikatorer for å styrke oppdaging av trusler og potensielt uønskede programmer.

Kjent skadelig programvare

CrowdStrikes sentraliserte intelligens tilbyr et stort utvalg av informasjon om trusler og trusselaktører fra hele verden. Denne listen brukes for å bygge opp beskyttelse mot trusler som allerede har blitt identifisert.

Risikoreduksjon

Ulike sikkerhetsproblemer kan være aktive i et miljø til enhver tid. Hvis en kritisk oppdatering ennå ikke er utgitt for et kjent sikkerhetsproblem som påvirker et miljø, overvåker CrowdStrike for utnyttelser mot dette sikkerhetsproblemet og forhindrer og beskytter mot skadelig atferd ved hjelp av disse utnyttelsene.

En invitasjon fra falcon@crowdstrike.com inneholder en aktiveringskobling for CrowdStrike Falcon Console som er god i 72 timer. Etter 72 timer vil du bli bedt om å sende en ny aktiveringskobling til kontoen din via et banner på toppen av siden:

Kunder som har kjøpt CrowdStrike via Dell, kan få støtte ved å kontakte Dell Data Security ProSupport. Hvis du vil ha mer informasjon, kan du se Slik får du støtte for CrowdStrike.

CrowdStrike Falcon Console krever en RFC 6238 tidsbasert engangspassord (TOTP)-klient for tofaktorautentiseringstilgang (2FA).

Hvis du vil ha informasjon om oppsett, kan du se Slik konfigurerer du 2FA (godkjenning med to faktorer) for CrowdStrike Falcon-konsollen.

CrowdStrike støttes på ulike Windows-, Mac- og Linux-operativsystemer på både stasjonære plattformer og serverplattformer. Alle enheter kommuniserer til CrowdStrike Falcon Console via HTTPS via port 443.

Se Systemkrav for CrowdStrike Falcon Sensor for en fullstendig liste over krav.

Se Slik laster du ned CrowdStrike Falcon Sensor hvis du ønsker en gjennomgang av nedlastingsprosessen.

Administratorer kan legges til i CrowdStrike Falcon-konsollen ved behov. Hvis du vil ha mer informasjon, kan du se Legge til administratorer i CrowdStrike Falcon-konsollen.

Et vedlikeholdstoken kan brukes til å beskytte programvaren mot uautorisert fjerning og tukling. Hvis du vil ha mer informasjon, kan du se Slik administrerer du CrowdStrike Falcon Sensor-tokenet.

CrowdStrike Falcon Sensor kan installeres via:

• Windows via brukergrensesnitt (UI) eller kommandolinjegrensesnitt (CLI)
• Mac via terminal
• Linux via terminal

Se Slik installerer du CrowdStrike Falcon Sensor for en gjennomgang av installasjonsprosessen.

CrowdStrike bruker kundeidentifikasjonen (CID) til å knytte CrowdStrike Falcon Sensor til riktig CrowdStrike Falcon-konsoll under installasjonen.

CID er plassert i CrowdStrike Falcon Console (https://falcon.crowdstrike.com) ved å velge Host setup and management og deretter Sensor Downloads.

Hvis du vil ha mer informasjon, kan du se Slik får du tak i kundeidentifikasjon for CrowdStrike.

CrowdStrike Falcon Sensor-versjonen kan være nødvendig for å:

• Bekrefte minimum systemkrav
• Identifisere kjente problemer
• Forstå endringer i prosessene

Siden et produktgrensesnitt ikke er tilgjengelig, må versjonen identifiseres via kommandolinjen (Windows) eller terminal (Mac og Linux).

Hvis du ønsker en gjennomgang av disse kommandoene, kan du se Hvordan identifiserer jeg CrowdStrike Falcon Sensor-versjonen.

En sikker hashalgoritme (SHA)-256 kan brukes i CrowdStrike Falcon Sensor-utelatelser. Hvis du vil ha mer informasjon, kan du se Slik identifiserer du en fils SHA-256-hash for sikkerhetsprogrammer.

Grunnleggende driftslogger er lagret i:

• Windows
  • Microsofts Hendelsesliste-applikasjon
    • Applikasjonslogger
    • Systemlogger
• Mac
  • Systemlogg
• Linux
  • Varierer basert på distribusjon, vanligvis er disse til stede i distroens primære "logg" -plassering.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Hvis du vil ha mer informasjon, kan du se Slik henter du CrowdStrike Falcon Sensor-logger.

CrowdStrike Falcon Sensor kan fjernes via:

• Windows via brukergrensesnitt (UI) eller kommandolinjegrensesnitt (CLI)
• Mac via terminal
• Linux via terminal

Hvis du vil ha mer informasjon, kan du se Slik avinstallerer du CrowdStrike Falcon Sensor.

Avinstalleringsverktøyet for CrowdStrike Falcon Sensor er tilgjengelig for nedlasting i CrowdStrike Falcon-konsollen. Hvis du vil ha mer informasjon, kan du se Slik laster du ned avinstalleringsverktøyet for CrowdStrike Falcon Sensor for Windows.

Ja. Selv om det vanligvis ikke anbefales å kjøre flere antivirusløsninger, er CrowdStrike testet med flere antivirusleverandører, og har vist seg å fungere uten å forårsake problemer for sluttbrukeren. Unntak er vanligvis ikke nødvendig for CrowdStrike med flere antivirusapplikasjoner.

Hvis det oppstår problemer, kan du legge til utelatelser i CrowdStrike Falcon Console (https://falcon.crowdstrike.com) ved å velge Konfigurasjon og deretter Filutelatelser. Utelatelser for disse ekstra antivirusprogrammene kommer fra tredjeparts antivirusleverandør.

Mange Windows-kompatibilitetsproblemer med CrowdStrike og tredjepartsapplikasjoner kan løses ved å endre måten CrowdStrike opererer på i brukermodus.

1. Logg på CrowdStrike Falcon Console.
2. Klikk på Endpoint Security og velg deretter Policies for forebygging.

3. Klikk på Edit-ikonet (Rediger) på den aktuelle policygruppen.

4. Klikk på Sensorsynlighet Forbedret synlighet.

5. Slå av Additional User Mode Data (Ekstra brukermodusdata).

6. Klikk for å lagre policyendringene.