Czym jest platforma CrowdStrike Falcon

CrowdStrike składa się z wielu modułów, które są częścią jednego środowiska SaaS. Rozwiązania Endpoint Security są realizowane w punkcie końcowym przez jednego agenta, znanego jako CrowdStrike Falcon Sensor. Platforma Falcon jest podzielona na rozwiązania w zakresie bezpieczeństwa punktów końcowych, zabezpieczenia IT i operacji, analizę zagrożeń, rozwiązania w zakresie bezpieczeństwa w chmurze oraz rozwiązania w zakresie ochrony tożsamości. Więcej informacji o tych produktach znajduje się poniżej:

Rozwiązania zabezpieczające punkty końcowe

• Falcon Insight — wykrywanie zagrożeń dla urządzeń końcowych i reagowanie na nie (EDR)
  • Wyprzedź przeciwnika dzięki kompleksowemu wglądowi w to, co dzieje się na Twoich punktach końcowych, rozszerzonemu na wszystkie kluczowe źródła danych dzięki zintegrowanemu XDR. Poznaj szczegóły nawet najbardziej zaawansowanych zagrożeń dzięki pełnemu kontekstowi obejmującemu wiele domen, aby szybko badać zagrożenia i podejmować szybkie i pewne działania.
• Falcon Prevent — program antywirusowy nowej generacji (NGAV)
  • Powstrzymywaj ataki dzięki najnowocześniejszej sztucznej inteligencji (AI) i uczeniu maszynowemu (ML) — od zwykłego złośliwego oprogramowania po ataki bezplikowe i zero-day. Nasza elitarna analiza zagrożeń, pierwsze w branży wskaźniki ataku, kontrola skryptów i zaawansowane skanowanie pamięci wykrywają i blokują złośliwe zachowania na wcześniejszym etapie łańcucha zabijania.
• CrowdStrike Falcon Device Control — sterowanie urządzeniami USB
  • Zwiększ widoczność użycia i aktywności urządzeń USB w celu monitorowania, proaktywnego wykrywania i badania incydentów utraty danych dzięki kompleksowemu kontekstowi aktywności użytkownika, głębokiej widoczności plików i automatycznej identyfikacji kodu źródłowego.
• Falcon Firewall Management — kontrola zapory hosta
  • Obrona przed zagrożeniami sieciowymi i zyskaj natychmiastową widoczność, aby zwiększyć ochronę i informować o działaniach.
• Falcon for Mobile — wykrywanie zagrożeń dla mobilnych punktów końcowych i reagowanie na nie
  • Chroń swoją firmę przed zagrożeniami mobilnymi, rozszerzając EDR i XDR na urządzenia z systemem Android i iOS.
• Falcon Forensics — analiza danych kryminalistycznych
  • Automatyzuj gromadzenie danych kryminalistycznych z dowolnego punktu w czasie oraz danych historycznych, jednocześnie rozszerzając wiedzę analityków dzięki kompleksowym pulpitom nawigacyjnym i pełnemu kontekstowi zagrożeń w celu przeprowadzenia rzetelnej analizy zdarzeń kryminalistycznych.

Zabezpieczenia i operacje IT

• CrowdStrike Falcon Discover
  • Zapewnia wgląd w środowisko punktów końcowych. Umożliwia to administratorom wyświetlanie w czasie rzeczywistym oraz historycznych informacji o inwentaryzacji aplikacji i zasobów.
• CrowdStrike Falcon OverWatch
  • System wyszukiwania zagrożeń działający 24 godziny na dobę. Zespół Falcon OverWatch wysyła administratorom powiadomienia e-mail, gdy tylko pojawi się jakiekolwiek zagrożenie.
• CrowdStrike Falcon Spotlight
  • Oferuje zarządzanie lukami w zabezpieczeniach dzięki wykorzystaniu czujnika Falcon Sensor do dostarczania informacji o poprawkach firmy Microsoft lub aktywnych luk w zabezpieczeniach dla urządzeń z zainstalowanym oprogramowaniem Falcon i dla pobliskich urządzeń w sieci.

Analiza zagrożeń

• Wyszukiwarka CrowdStrike Falcon
  • CrowdStrike Falcon MalQuery to zaawansowane, działające w chmurze narzędzie do badania złośliwego oprogramowania, które umożliwia specjalistom i badaczom ds. bezpieczeństwa szybkie przeszukiwanie ogromnego zbioru próbek złośliwego oprogramowania, weryfikowanie potencjalnych zagrożeń i wyprzedzanie potencjalnych napastników. Sercem Falcon MalQuery jest wielopetabajtowy zbiór ponad 3,5 miliarda plików, indeksowanych przez technologię zgłoszoną do opatentowania.
• CrowdStrike Falcon Sandbox
  • Umożliwia usuwanie złośliwego oprogramowania w sposób kontrolowany, dostarczając szczegółowych raportów o zagrożeniach widocznych w środowisku i pozwalając zebrać dodatkowe dane na temat osób powodujących zagrożenie.
• CrowdStrike Falcon Intelligence
  • Automatycznie badaj zdarzenia i przyspiesz klasyfikację alertów i reagowanie. Wbudowany w platformę Falcon, jest gotowy do działania w ciągu kilku sekund.

Rozwiązania zabezpieczające w chmurze

• Ochrona obciążeń w chmurze Falcon — dla AWS, Azure i GCP
  • Falcon Cloud Security zapewnia kompleksową ochronę przed naruszeniami obciążeń roboczych, kontenerów i platformy Kubernetes, umożliwiając organizacjom szybkie i niezawodne tworzenie, uruchamianie i zabezpieczanie aplikacji działających w chmurze.
• Falcon Horizon — zarządzanie stanem bezpieczeństwa w chmurze (CSPM)
  • Falcon Cloud Security zapewnia ciągłe wykrywanie i widoczność zasobów działających w chmurze bez użycia agentów od hosta do chmury, zapewniając cenny kontekst i wgląd w ogólny stan bezpieczeństwa oraz działania wymagane do zapobiegania potencjalnym incydentom bezpieczeństwa.
• Bezpieczeństwo kontenerów
  • Kontenery zmieniły sposób tworzenia, testowania i wykorzystywania aplikacji, umożliwiając natychmiastowe wdrażanie i skalowanie aplikacji w dowolnym środowisku. Wraz ze wzrostem popularności kontenerów stają się one nową powierzchnią ataku, która nie ma widoczności i naraża organizacje.

Rozwiązania w zakresie ochrony tożsamości

• Wykrywanie zagrożeń tożsamości Falcon (ITD)
  • CrowdStrike Falcon Identity Threat Detection — zapewnia głęboki wgląd w zdarzenia i anomalie związane z tożsamościami w złożonym krajobrazie tożsamości hybrydowej, porównując ruch na żywo z poziomami bazowymi i zasadami zachowań w celu wykrywania ataków i ruchu poprzecznego w czasie rzeczywistym.
  • Ochrona przed zagrożeniami tożsamości CrowdStrike Falcon — korzystając z pojedynczego czujnika i ujednoliconego interfejsu zagrożeń z korelacją ataków między punktami końcowymi, obciążeniami roboczymi i tożsamością, usługa Falcon Identity Threat Protection zatrzymuje naruszenia oparte na tożsamości w czasie rzeczywistym.

Firmy Dell i CrowdStrike mogą dołączyć do systemu CrowdStrike przy zakupie urządzenia firmy Dell lub można zakupić pakiet elastycznych wolumenów. Aby uzyskać więcej informacji na temat tego, jakie produkty CrowdStrike są uwzględnione, zapoznaj się z listą pakietów Volume Flex lub ofert On-The-Box (OTB).

Pakiety Volume Flex

• Sokół Pro
  • Falcon Prevent
  • Sterowanie i reagowanie Falcon
  • Standardowa pomoc techniczna CrowdStrike
• Sokół Enterprise
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Standardowa pomoc techniczna CrowdStrike
• Sokół Elite
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Sokole Odkryj
  • Ochrona tożsamości Falcon
  • Standardowa pomoc techniczna CrowdStrike
• Opcjonalne moduły lub usługi Falcon
  • Sokół Inteligencja
  • Sterowanie urządzeniami Falcon
  • Zarządzanie zaporą sieciową Falcon
  • Sokół OverWatch
  • Podstawowa pomoc techniczna CrowdStrike

Oferty On-The-Box (OTB)

• Falcon Endpoint Protection Pro OTB
  • Falcon Prevent
  • Sterowanie i reagowanie Falcon
  • Sterowanie urządzeniami Falcon
  • Podstawowa pomoc techniczna CrowdStrike
• Falcon Endpoint Protection Enterprise OTB
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Sterowanie urządzeniami Falcon
  • Wykres zagrożeń Falcon
  • Podstawowa pomoc techniczna CrowdStrike
• Falcon Endpoint Protection Pro i Dell Secured Component Verification on Cloud (SCV on Cloud) Endpoint Bundle OTB
  • Falcon Prevent
  • Sterowanie i reagowanie Falcon
  • Sterowanie urządzeniami Falcon
  • Podstawowa pomoc techniczna CrowdStrike
  • Dell Secured Component Verification on Cloud (SCV on Cloud)

• Opcjonalne moduły lub usługi Falcon
  • Sterowanie i reagowanie Falcon
  • Sokół Inteligencja
  • Falcon Insight XDR/EDR
  • Zarządzanie zaporą sieciową Falcon
  • Sokół OverWatch
  • Sokole Odkryj
  • Ochrona tożsamości Falcon
  • Wykres zagrożeń Falcon

CrowdStrike to oparty na agentach czujnik, który można zainstalować w systemach operacyjnych Windows, Mac i Linux na platformach desktopowych i serwerowych. Aby zarządzać zasadami, kontrolować raportowanie danych, zarządzać zagrożeniami i reagować na nie, te platformy wykorzystują rozwiązanie SaaS w chmurze.

Program CrowdStrike może analizować pliki próbujące wprowadzić zmiany na urządzeniach końcowych w trybie offline lub online. Do tego wykorzystuje:

• Wstępnie zdefiniowane skróty prewencyjne
• Wskaźniki ataków
• Known Malware
• Ograniczanie wykorzystywania

Kliknij odpowiednią metodę, aby uzyskać więcej informacji.

Wstępnie zdefiniowane skróty prewencyjne

Wstępnie zdefiniowane skróty prewencyjne to listy dobrych i złych skrótów SHA256. Skróty mogą mieć oznaczenie „Nigdy nie blokuj” lub „Zawsze blokuj”.

Lista skrótów SHA256 z oznaczeniem „Nigdy nie blokuj” może stanowić listę elementów z wcześniejszego rozwiązania antywirusowego do wewnętrznych aplikacji działu firmy. Importowanie wstępnie zdefiniowanej listy skrótów prewencyjnych do aplikacji wewnętrznych to najszybsza metoda oznaczania dozwolonych plików w środowisku.

Skróty SHA256 z oznaczeniem „Zawsze blokuj” mogą być listą znanych złośliwych skrótów dostarczanych przez inną zaufaną firmę lub skrótów, które pojawiły się już kiedyś w Twoim środowisku.

Skróty prewencyjne nie muszą być przesyłane w plikach wsadowych. Można także ustawić ręcznie zdefiniowane skróty SHA256. W przypadku podania jednego lub wielu skrótów wszystkie szczegółowe informacje na temat tych skrótów są wymagane z zaplecza rozwiązania CrowdStrike. Informacje dodatkowe (takie jak nazwy plików, informacje o dostawcy, numery wersji plików) dla tych skrótów (jeśli są obecne w danym środowisku na jakimkolwiek urządzeniu) będą wypełniane na podstawie informacji z tego środowiska.

Wskaźniki ataków

Elementy zdefiniowane jako niebezpieczne zwykle oznaczane są w ten sposób na podstawie wartości uczenia maszynowego. Można to ustawić zarówno dla czujnika, jak i chmury. Platforma Falcon firmy CrowdStrike w modelu uczenia maszynowego wykorzystuje dwustopniowy proces do identyfikacji zagrożeń. Początkowo zachodzi on na lokalnym urządzeniu końcowym, aby można było od razu wykryć zagrożenie w nim obecne. Zagrożenie jest wysyłane do dodatkowej analizy w chmurze. W zależności od zasad zapobiegania ustalonych dla urządzenia mogą być wymagane dodatkowe działania, jeśli analiza w chmurze będzie różnić się od analizy czujnika lokalnego.

Dodatkowe wskaźniki dodawane są do produktu nieustannie. W ten sposób skuteczność wykrywania zagrożeń oraz potencjalnie szkodliwych programów jest większa.

Known Malware

Scentralizowana baza danych programu CrowdStrike zapewnia szeroką gamę informacji na temat zagrożeń i osób wywołujących zagrożenia, które działają na całym świecie. Lista służy ochronie przed znanymi zagrożeniami.

Ograniczanie wykorzystywania

W środowiskach mogą być różne luki w zabezpieczeniach. Jeśli niezbędne poprawki łatające luki w zabezpieczeniach mające wpływ na środowisko nie zostały jeszcze wydane, program CrowdStrike będzie monitorować, czy nikt nie wykorzystuje tej luki, a także zapobiegać złośliwym zachowaniom wykorzystującym te luki.

Zaproszenie ze strony falcon@crowdstrike.com będzie zawierać łącze aktywacyjne do konsoli CrowdStrike Falcon, które wygaśnie po 72 godzinach. Po 72 godzinach na banerze u góry strony zostanie wyświetlony monit o wysłanie nowego łącza aktywacyjnego do Twojego konta:

Klienci, którzy zakupili oprogramowanie CrowdStrike za pośrednictwem firmy Dell, mogą uzyskać pomoc, kontaktując się Dell Data Security ProSupport. Aby uzyskać więcej informacji, zapoznaj się z artykułem Uzyskiwanie pomocy technicznej dla CrowdStrike.

Konsola CrowdStrike Falcon do dostępu 2FA (uwierzytelniania dwuskładnikowego) wymaga klienta jednorazowego hasła na podstawie czasu RFC 6238 TOTP (z algorytmem generującym jednorazowe hasło czasowe).

Więcej informacji na temat konfiguracji znajdziesz w artykule pt. Jak skonfigurować 2FA (uwierzytelnianie dwuskładnikowe) w konsoli CrowdStrike Falcon.

Oprogramowanie CrowdStrike obsługiwane jest w systemach operacyjnych Windows, Mac i Linux na platformach desktopowych i serwerowych. Wszystkie urządzenia będą komunikować się z konsolą Falcon CrowdStrike za pośrednictwem protokołu HTTPS przez port 443.

Pełną listę wymagań znajdziesz w artykule Wymagania systemowe narzędzia CrowdStrike Falcon Sensor.

Informacje krok po kroku na temat pobierania instalatora znajdziesz tutaj: Jak pobrać narzędzie CrowdStrike Falcon Sensor.

Do konsoli CrowdStrike Falcon w razie potrzeby można dodawać administratorów. Aby uzyskać więcej informacji, patrz Jak dodać administratorów konsoli CrowdStrike Falcon.

Token konserwacji może być używany do ochrony oprogramowania przed nieautoryzowanym usunięciem i manipulacją. aby uzyskać więcej informacji, patrz Jak zarządzać tokenem konserwacji narzędzia CrowdStrike Falcon Sensor.

Narzędzie CrowdStrike Falcon Sensor można zainstalować:

• w systemie Windows za pomocą interfejsu użytkownika lub interfejsu wiersza poleceń;
• na komputerze za pomocą programu Terminal;
• w systemie Linux za programu Terminal.

Informacje krok po kroku na temat procesu instalacji znajdziesz tutaj: Jak zainstalować narzędzie CrowdStrike Falcon Sensor.

Aby podczas instalacji przypisać czujnik CrowdStrike Falcon do właściwej konsoli CrowdStrike Falcon, program CrowdStrike wykorzystuje identyfikator klienta CrowdStrike (CID).

Identyfikator CID znajduje się w konsoli CrowdStrike Falcon (https://falcon.crowdstrike.com), wybierając opcję Konfiguracja hosta i zarządzanie , a następnie Sensor Downloads.

Aby uzyskać więcej informacji, zapoznaj się z artykułem Uzyskiwanie danych identyfikacyjnych klienta CrowdStrike.

Wersja narzędzia CrowdStrike Falcon Sensor może być przydatna do:

• Sprawdzenia wymagań systemowych
• Identyfikowania znanych problemów
• Zrozumienia procesu zmian

Interfejs użytkownika produktu nie jest dostępny, więc wersję należy zidentyfikować za pośrednictwem wiersza poleceń (system Windows) lub programu Terminal (system Mac i Linux).

Instrukcje krok po kroku dotyczące wpisywania poleceń do tego potrzebnych znajdziesz w artykule pt. Jak zidentyfikować wersję narzędzia CrowdStrike Falcon Sensor.

Algorytm bezpiecznego skrótu (SHA)-256 może być używany w wykluczeniach narzędzia CrowdStrike Falcon Sensor. Aby uzyskać więcej informacji, zapoznaj się z tematem Identyfikowanie skrótu SHA-256 pliku dla aplikacji zabezpieczających.

Podstawowe dzienniki operacyjne są przechowywane w:

• Windows
  • aplikacji „Podgląd zdarzeń” firmy Microsoft
    • Dziennikach aplikacji
    • Dziennikach systemu
• Mac
  • Dziennikach systemu
• Linux
  • Różni się w zależności od dystrybucji; zazwyczaj znajdują się w katalogu głównego „dziennika” dystrybucji.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Aby uzyskać więcej informacji, odwołaj się do artykułu pt. Jak zbierać dzienniki narzędzia CrowdStrike Falcon Sensor.

Narzędzie CrowdStrike Falcon Sensor można usunąć:

• w systemie Windows za pomocą interfejsu użytkownika lub interfejsu wiersza poleceń;
• na komputerze za pomocą programu Terminal;
• w systemie Linux za programu Terminal.

Aby uzyskać więcej informacji, odwołaj się do artykułu pt. Jak odinstalować narzędzie CrowdStrike Falcon Sensor.

Narzędzie CrowdStrike Falcon Sensor Uninstall jest dostępne do pobrania w konsoli CrowdStrike Falcon. Aby uzyskać więcej informacji, patrz Jak pobrać narzędzie CrowdStrike Falcon Sensor Uninstall.

Tak! Mimo że używanie kilku programów antywirusowych jednocześnie z reguły nie jest wskazane, CrowdStrike jest przetestowany z wieloma produktami antywirusowymi i nie wykryto problemów u użytkowników indywidualnych związanych z współdziałaniem kilku programów. Jeśli chodzi o dodatkowe aplikacje antywirusowe, w programie CrowdStrike z reguły nie ma konieczności określania wyjątków.

W przypadku wystąpienia problemów można dodać wykluczenia do konsoli CrowdStrike Falcon (https://falcon.crowdstrike.com), wybierając opcję Configuration, a następnie File Exclusions. Wyjątki dotyczą programów antywirusowych innych firm.

Wiele problemów ze zgodnością aplikacji firm trzecich z programem CrowdStrike w systemie Windows można rozwiązać poprzez modyfikację trybu pracy programu CrowdStrike w trybie użytkownika.

1. Zaloguj się do konsoli CrowdStrike Falcon.
2. Kliknij pozycję Zabezpieczenia punktu końcowego, a następnie wybierz pozycję Zasady zapobiegania.

3. Kliknij ikonę Edytuj dla odpowiedniej grupy zasad.

4. Kliknij opcję Widoczność czujnika Lepsza widoczność.

5. Wyłącz opcję Dodatkowe dane trybu użytkownika.

6. Kliknij, aby zapisać zmiany zasad.