CrowdStrike Falcon Platform이란?

CrowdStrike는 단일 SaaS 환경에 연결되는 다양한 제품 모듈을 포함합니다. 엔드포인트 보안 솔루션은 CrowdStrike Falcon Sensor라고 하는 단일 에이전트를 통해 엔드포인트에서 구현됩니다. Falcon Platform은 엔드포인트 보안 솔루션, 보안 IT 및 운영, 위협 인텔리전스, 클라우드 보안 솔루션 및 ID 보호 솔루션으로 나뉩니다. 이러한 제품에 대한 자세한 내용은 다음과 같습니다.

엔드포인트 보안 솔루션

• Falcon Insight - 엔드포인트 탐지 및 대응(EDR)
  • 통합 XDR을 통해 모든 주요 데이터 소스에 걸쳐 엔드포인트에서 발생하는 상황을 포괄적으로 파악하여 공격자보다 한발 앞서십시오. 도메인 간 완벽한 컨텍스트를 통해 가장 정교한 위협에 대한 세부 정보도 확인하여 위협을 신속하게 조사하고 빠르고 확실한 조치를 알립니다.
• Falcon Prevent - NGAV(Next-Generation Antivirus)
  • 상용 멀웨어에서 파일리스 및 제로 데이 공격에 이르기까지 최첨단 AI(Artificial Intelligence) 및 ML(Machine Learning)의 강력한 기능으로 공격을 차단합니다. Dell의 엘리트 위협 인텔리전스, 업계 최초의 공격 지표, 스크립트 제어 및 고급 메모리 스캔은 킬 체인에서 악의적인 행동을 조기에 탐지하고 차단합니다.
• CrowdStrike Falcon Device Control - USB Device Control
  • USB 디바이스 사용 및 활동에 대한 가시성을 향상하여 포괄적인 사용자 활동 컨텍스트, 심층적인 파일 가시성 및 자동 소스 코드 식별을 통해 데이터 손실 인시던트를 모니터링, 사전 예방적 추적 및 조사합니다.
• Falcon Firewall 관리 - 호스트 방화벽 제어
  • 네트워크 위협으로부터 방어하고 즉각적인 가시성을 확보하여 보호를 강화하고 조치를 알리십시오.
• Falcon for Mobile - 모바일 엔드포인트 탐지 및 대응
  • EDR 및 XDR을 Android 및 iOS 디바이스로 확장하여 모바일 위협으로부터 비즈니스를 보호합니다.
• Falcon Forensics - 포렌식 데이터 분석
  • 강력한 포렌식 사고 분석을 위한 포괄적인 대시보드와 전체 위협 컨텍스트를 통해 분석 전문 지식을 강화하는 동시에 시점 및 과거 포렌식 데이터 수집을 자동화합니다.

보안 및 IT 운영

• CrowdStrike Falcon Discover
  • 엔드포인트 환경에 대한 유용한 정보를 제공합니다. 이를 통해 관리자는 실시간 및 기록 애플리케이션과 자산 인벤토리 정보를 볼 수 있습니다.
• CrowdStrike Falcon Overwatch
  • Falcon OverWatch 팀이 24시간 관리되는 위협 조사 및 이메일 알림을 제공하여 새로운 위협이 될 수 있는 사항을 단시간에 관리자에게 알립니다.
• CrowdStrike Falcon Spotlight
  • Falcon Sensor를 활용하여 Microsoft 패치 정보를 제공하거나 Falcon이 설치된 디바이스 및 네트워크에서 인접한 디바이스에 대한 활성 취약성을 제공하는 방식으로 취약성 관리를 제공합니다.

위협 인텔리전스

• CrowdStrike Falcon Search Engine
  • CrowdStrike Falcon MalQuery는 보안 전문가와 연구원이 방대한 멀웨어 샘플 데이터 세트를 신속하게 검색하여 잠재적 위험을 검증하고 잠재적 공격자보다 앞서 나갈 수 있도록 지원하는 고급 클라우드 네이티브 멀웨어 연구 툴입니다. Falcon MalQuery의 핵심은 특허 출원 중인 기술로 인덱싱된 35억 개 이상의 파일로 구성된 멀티 페타바이트 컬렉션입니다.
• CrowdStrike Falcon Sandbox
  • 제어되는 맬웨어 실행을 통해 사용자 환경에서 발견된 위협에 대한 상세한 보고서를 제공하고 전 세계의 위협 공격자에 추가 데이터를 수집할 수 있습니다.
• CrowdStrike Falcon Intelligence
  • 인시던트를 자동으로 조사하고 알림 분류 및 대응을 가속화합니다. Falcon 플랫폼에 내장되어 몇 초 만에 작동합니다.

클라우드 보안 솔루션

• Falcon Cloud Workload Protection - AWS, Azure 및 GCP용
  • Falcon Cloud Security는 워크로드, 컨테이너 및 Kubernetes에 대한 포괄적인 침해 보호 기능을 제공하여 조직이 빠르고 자신 있게 클라우드 네이티브 애플리케이션을 구축, 실행 및 보호할 수 있도록 지원합니다.
• Falcon Horizon - CSPM(Cloud Security Posture Management)
  • Falcon Cloud Security는 호스트에서 클라우드에 이르기까지 클라우드 네이티브 자산에 대한 지속적인 에이전트 없는 검색 및 가시성을 제공하여 전반적인 보안 태세와 잠재적인 보안 사고를 방지하는 데 필요한 조치에 대한 귀중한 컨텍스트와 통찰력을 제공합니다.
• 컨테이너 보안
  • 컨테이너는 애플리케이션의 구축, 테스트 및 활용 방식을 변화시켜서 애플리케이션을 모든 환경에 즉시 배포하고 확장할 수 있게 되었습니다. 컨테이너 도입이 증가함에 따라 컨테이너는 가시성이 부족하고 조직에 노출되는 새로운 공격 지점으로 부상하고 있습니다.

ID 보호 솔루션

• Falcon ITD(Identity Threat Detection)
  • CrowdStrike Falcon Identity Threat Detection - 복잡한 하이브리드 ID 환경에서 ID 기반 인시던트 및 이상 징후에 대한 심층적인 가시성을 제공하고, 실시간 트래픽을 행동 기준 및 정책과 비교하여 공격 및 측면 이동을 실시간으로 탐지합니다.
  • CrowdStrike Falcon Identity Threat Protection - Falcon Identity Threat Protection은 엔드포인트, 워크로드 및 ID 전반의 공격 상관 관계가 있는 단일 센서 및 통합 위협 인터페이스를 사용하여 ID 기반 침해를 실시간으로 차단합니다.

Dell 및 CrowdStrike는 Dell 디바이스 구매 시 CrowdStrike를 포함하거나 볼륨 플렉스 번들을 구매할 수 있습니다. 포함된 CrowdStrike 제품에 대한 자세한 내용은 볼륨 Flex 번들 또는 OTB(On-The-Box) 오퍼링 목록을 참조하십시오.

볼륨 Flex 번들

• 팔콘 프로
  • Falcon Prevent
  • Falcon Control 및 Respond
  • CrowdStrike 표준 지원
• Falcon Enterprise
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • CrowdStrike 표준 지원
• 팔콘 엘리트
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falcon Discover
  • Falcon Identity Protection
  • CrowdStrike 표준 지원
• 선택 사항인 Falcon 모듈 또는 서비스
  • 팔콘 인텔리전스
  • Falcon Device Control
  • Falcon Firewall 관리
  • 팔콘 오버워치
  • CrowdStrike Essential Support

OTB(On-The-Box) 오퍼링

• Falcon Endpoint Protection Pro OTB
  • Falcon Prevent
  • Falcon Control 및 Respond
  • Falcon Device Control
  • CrowdStrike Essential Support
• Falcon Endpoint Protection Enterprise OTB
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falcon Device Control
  • Falcon Threat Graph
  • CrowdStrike Essential Support
• Falcon Endpoint Protection Pro 및 Dell SCV(Secured Component Verification on Cloud) 엔드포인트 번들 OTB
  • Falcon Prevent
  • Falcon Control 및 Respond
  • Falcon Device Control
  • CrowdStrike Essential Support
  • Dell Secured Component Verification on Cloud(SCV on Cloud)

• 선택 사항인 Falcon 모듈 또는 서비스
  • Falcon Control 및 Respond
  • 팔콘 인텔리전스
  • Falcon Insight XDR/EDR
  • Falcon Firewall 관리
  • 팔콘 오버워치
  • Falcon Discover
  • Falcon Identity Protection
  • Falcon Threat Graph

CrowdStrike는 데스크탑 또는 서버 플랫폼용 Windows, Mac 또는 Linux 운영 체제에 설치할 수 있는 에이전트 기반 센서입니다. 이러한 플랫폼은 클라우드 호스팅된 SaaS 솔루션을 통해 정책을 관리하고, 보고 데이터를 제어하며, 위협을 관리하고 대응합니다.

CrowdStrike는 오프라인 또는 온라인으로 작업하면서 엔드포인트에서 실행하려는 파일을 분석할 수 있습니다. 이 작업은 다음을 사용하여 수행합니다.

• 사전 정의된 예방 해시
• 공격 행동 지표
• 알려진 맬웨어
• 익스플로잇 차단

자세한 내용을 확인하려면 해당 방법을 클릭하십시오.

사전 정의된 예방 해시

사전 정의된 예방 해시는 양호 또는 불량으로 알려진 SHA256 해시의 목록입니다. 정의된 해시를 차단 안 함 또는 항상 차단으로 표시할 수 있습니다.

차단 안 함으로 정의되는 SHA256 해시는 내부 LOB(Line of Business) 애플리케이션을 위해 이전 안티바이러스 솔루션에서 가져온 항목의 목록일 수 있습니다. 내부 애플리케이션에 대해 사전 정의된 예방 해시의 목록을 가져오는 것이 사용지 환경에서 알려진 양호한 파일을 허용 목록에 추가하는 가장 빠른 방법입니다.

항상 차단으로 정의된 SHA256 해시는 사용자 환경에서 이전에 확인했거나 신뢰할 수 있는 타사에서 제공한 알려진 악성 해시의 목록입니다.

예방 해시는 일괄 업로드할 필요가 없으며, 수동으로 정의된 SHA256 해시를 설정할 수 있습니다. 단일 해시 또는 다중 해시가 제공되는 경우 CrowdStrike 백엔드에서 이러한 해시의 모든 세부 정보를 요청합니다. 해당 해시의 보조 정보(예: 파일 이름, 공급업체 정보, 파일 버전 번호)가 디바이스의 사용자 환경에 존재하는 경우 사용자 환경 정보를 기반으로 채워집니다.

공격 행동 지표

동작에 기반하여 공격으로 정의된 모든 항목은 일반적으로 머신 러닝 값을 기반으로 표시됩니다. 이는 Sensor 또는 클라우드에 설정될 수 있습니다. CrowdStrike의 Falcon 플랫폼은 머신 러닝 모델을 통해 위협을 식별하는 2단계 프로세스를 활용합니다. 이 프로세스는 먼저 엔드포인트의 잠재적 위협에 즉시 대응하기 위해 로컬 엔드포인트에서 수행됩니다. 그런 다음 추가 분석을 위해 이 위협을 클라우드로 전송합니다. 장치에 정의된 예방 정책에 따라서는, 클라우드 분석이 로컬 Sensor의 위협 분석과 다른 경우, 엔드포인트에 추가 조치가 필요할 수 있습니다.

위협 및 잠재적으로 원치 않는 프로그램에 대한 탐지를 강화하기 위해, 추가 지표가 지속적으로 제품에 추가되고 있습니다.

알려진 맬웨어

CrowdStrike의 중앙 집중식 인텔리전스는 전 세계적으로 운영되는 위협 및 공격자에 대한 다양한 정보를 제공합니다. 이 목록은 이미 식별된 위협에 대한 보호 방법을 만드는 데 활용됩니다.

익스플로잇 차단

다양한 취약점이 환경에서 언제든지 활성화될 수 있습니다. 환경에 영향을 미치는 알려진 취약성에 대해 중요한 패치가 아직 배포되지 않은 경우, CrowdStrike는 해당 취약점에 대한 악용을 모니터링하며, 이러한 악용을 통한 악의적 행동을 방지하여 환경을 보호합니다.

falcon@crowdstrike.com에서 보낸 초대장에는 72시간 동안 유지되는 CrowdStrike Falcon Console의 활성화 링크가 있습니다. 72시간이 지나면 페이지 상단의 배너를 통해 계정으로 새로운 활성화 링크를 다시 전송하라는 메시지가 표시됩니다.

Dell을 통해 CrowdStrike를 구매한 고객은 Dell Data Security ProSupport에 문의하여 지원을 받을 수 있습니다. 자세한 내용은 CrowdStrike에 대한 지원을 받는 방법을 참조하십시오.

CrowdStrike Falcon Console은 2FA(two-Factor Authentication) 액세스를 위해 RFC 6238 TOTP(Time-Based One-Time Password) 클라이언트를 필요로 합니다.

설정 정보는 CrowdStrike Falcon Console에 대한 2단계 인증(2FA)을 구성하는 방법을 참조하십시오.

CrowdStrike는 데스크탑 및 서버 플랫폼의 다양한 Windows, Mac 및 Linux 운영 체제에서 지원됩니다. 모든 디바이스는 포트 443을 통해 HTTPS를 통해 CrowdStrike Falcon Console과 통신합니다.

요구 사항의 전체 목록은 CrowdStrike Falcon Sensor 시스템 요구 사항을 참조하십시오.

다운로드 프로세스에 대한 단계별 설명은 CrowdStrike Falcon Sensor를 다운로드하는 방법을 참조하십시오.

필요에 따라 관리자를 CrowdStrike Falcon Console에 추가할 수 있습니다. 자세한 내용은 CrowdStrike Falcon Console에 관리자를 추가하는 방법을 참조하십시오.

유지 보수 토큰은 무단 제거 및 무단 변경으로부터 소프트웨어를 보호하는 데 사용할 수 있습니다. 자세한 내용은 CrowdStrike Falcon Sensor 유지 보수 토큰을 관리하는 방법을 참조하십시오.

다음을 사용하여 CrowdStrike Falcon Sensor를 설치할 수 있습니다.

• Windows에서 UI(User Interface) 또는 CLI(Command-Line Interface) 사용
• Mac에서 터미널 사용
• Linux에서 터미널 사용

설치 프로세스에 대한 단계별 설명은 CrowdStrike Falcon Sensor를 설치하는 방법을 참조하십시오.

CrowdStrike는 설치 중에 CrowdStrike Falcon Sensor를 적절한 CrowdStrike Falcon Console과 연결하기 위해 CID(Customer Identification)를 사용합니다.

CID는 호스트 설정 및 관리를 선택한 다음 센서 다운로드를 선택하여 CrowdStrike Falcon Console(https://falcon.crowdstrike.com) 내에 있습니다.

자세한 내용은 CrowdStrike 고객 ID를 얻는 방법을 참조하십시오.

다음과 같은 경우 CrowdStrike Falcon Sensor 버전이 필요할 수 있습니다.

• 시스템 요구 사항 확인
• 알려진 문제 식별
• 프로세스 변경 이해

제품 UI를 사용할 수 없으므로 명령줄(Windows) 또는 터미널(Mac 및 Linux)을 통해 버전을 식별해야 합니다.

이러한 명령에 대한 단계별 안내는 CrowdStrike Falcon Sensor 버전을 식별하는 방법을 참조하십시오.

CrowdStrike Falcon Sensor 제외 항목에서 SHA(Secure Hash Algorithm)-256이 사용될 수 있습니다. 자세한 내용은 보안 애플리케이션을 위한 파일의 SHA-256 Hash를 확인하는 방법을 참조하십시오.

기본 작업 로그는 다음 위치에 저장됩니다.

• Windows
  • Microsoft의 이벤트 뷰어 애플리케이션
    • 애플리케이션 로그
    • 시스템 로그
• Mac
  • 시스템 로그
• Linux
  • 배포판에 따라 다르며, 일반적으로 distro의 기본 "로그" 위치에 있습니다.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

자세한 내용은 CrowdStrike Falcon Sensor 로그를 수집하는 방법을 참조하십시오.

다음을 사용하여 CrowdStrike Falcon Sensor를 제거할 수 있습니다.

• Windows에서 UI(User Interface) 또는 CLI(Command-Line Interface) 사용
• Mac에서 터미널 사용
• Linux에서 터미널 사용

자세한 내용은 CrowdStrike Falcon Sensor를 제거하는 방법을 참조하십시오.

CrowdStrike Falcon Sensor 제거 툴은 CrowdStrike Falcon Console 내에서 다운로드할 수 있습니다. 자세한 내용은 CrowdStrike Falcon Sensor Windows 제거 툴을 다운로드하는 방법을 참조하십시오.

예! 일반적으로 여러 안티바이러스 솔루션을 실행하는 것은 권장되지 않지만, CrowdStrike는 여러 안티바이러스 공급업체의 테스트를 거쳤으며, 최종 사용자 문제를 일으키지 않는 계층으로 확인되었습니다. CrowdStrike에서 추가 안티바이러스 애플리케이션을 위한 제외는 일반적으로 필요 없습니다.

문제가 발생하는 경우 CrowdStrike Falcon Console(https://falcon.crowdstrike.com)에서 Configuration를 선택한 다음 File Exclusions을 선택하여 제외를 추가할 수 있습니다. 이러한 추가 안티바이러스 애플리케이션에 대한 제외는 일반적으로 타사 안티바이러스 공급업체에서 제공합니다.

CrowdStrike 및 타사 애플리케이션에서 발견되는 여러 Windows 호환성 문제는 CrowdStrike가 사용자 모드에서 작동하는 방법을 수정하여 해결할 수 있습니다.

1. CrowdStrike Falcon Console에 로그인합니다.
2. Endpoint Security를 클릭한 다음 Prevention Policies를 선택합니다.

3. 적절한 정책 그룹에서 Edit 아이콘을 클릭합니다.

4. Sensor VisibilityEnhanced Visibility를 클릭합니다.

5. 추가 사용자 모드 데이터를 해제합니다.

6. 정책 변경 사항을 저장 하려면 클릭합니다.