Что такое платформа CrowdStrike Falcon

Решение CrowdStrike содержит различные модули продуктов, которые подключаются к единой среде SaaS. Решения Endpoint Security применяются на конечной точке с помощью одного агента, известного как датчик CrowdStrike Falcon. Платформа Falcon разделена на решения для безопасности конечных точек, безопасность ИТ и операций, анализ угроз, решения для облачной безопасности и решения для защиты личных данных. Дополнительные сведения об этих продуктах приведены ниже.

Решения для защиты конечных точек

• Falcon Insight — обнаружение угроз и реагирование на конечные точки (EDR)
  • Опередите злоумышленников благодаря комплексному обзору событий на ваших конечных точках, расширенному по всем ключевым источникам данных с помощью интегрированного XDR. Просматривайте сведения даже о самых изощренных угрозах с полным междоменным контекстом для быстрого расследования угроз и принятия быстрых и уверенных мер.
• Falcon Prevent — антивирус нового поколения (NGAV)
  • Остановите атаки с помощью передовых технологий искусственного интеллекта (ИИ) и машинного обучения (МО) — от массового вредоносного ПО до бесфайловых атак и атак нулевого дня. Наша элитная аналитика угроз, первые в отрасли индикаторы атаки, управление сценариями и расширенное сканирование памяти обнаруживают и блокируют вредоносные действия на ранних этапах цепочки уничтожения.
• Управление устройством CrowdStrike Falcon — управление устройством USB
  • Улучшенная визуализация использования и активности USB-устройств для мониторинга, упреждающего поиска и расследования инцидентов, связанных с потерей данных, благодаря комплексному контексту действий пользователей, глубокой визуализации файлов и автоматической идентификации исходного кода.
• Falcon Firewall Management — управление межсетевым экраном хоста
  • Защита от сетевых угроз и мгновенная визуализация для повышения уровня защиты и принятия обоснованных мер.
• Falcon для мобильных устройств — обнаружение и реагирование на мобильные конечные точки
  • Защитите свой бизнес от мобильных угроз, распространив EDR и XDR на устройства Android и iOS.
• Falcon Forensics - Криминалистический анализ данных
  • Автоматизируйте сбор криминалистических данных на определенный момент времени и за прошлые периоды, а также дополните экспертные знания аналитиков комплексными панелями управления и полным контекстом угроз для надежного криминалистического анализа инцидентов.

Безопасность и ИТ-операции

• CrowdStrike Falcon Discover
  • Предоставляет информацию об инфраструктуре конечных точек. Это позволяет администраторам просматривать оперативную и архивную информацию об инвентаризации приложений и активов.
• CrowdStrike Falcon OverWatch
  • Круглосуточно выполняет управляемый поиск угроз и отправляет уведомления по электронной почте от имени команды Falcon Overwatch, а также за считанные секунды оповещает администраторов об индикаторе, который указывает на возникающую угрозу.
• CrowdStrike Falcon Spotlight
  • Управление уязвимостями с помощью датчика Falcon для доставки сведений об исправлениях Microsoft или активных уязвимостях для устройств с установленным Falcon и расположенных поблизости устройств в сети.

Аналитика угроз

• Поисковая система CrowdStrike Falcon
  • CrowdStrike Falcon MalQuery — это передовой облачный инструмент исследования вредоносного ПО, который позволяет специалистам по безопасности и исследователям быстро выполнять поиск по огромному набору данных образцов вредоносного ПО, проверять потенциальные риски и опережать потенциальных злоумышленников. В основе Falcon MalQuery лежит многопетабайтная коллекция из более чем 3,5 миллиарда файлов, проиндексированных по запатентованной технологии.
• CrowdStrike Falcon Sandbox
  • Обеспечивает контролируемое выполнение вредоносного ПО, чтобы предоставить подробные отчеты об угрозах, обнаруженных в вашей среде, и собрать дополнительные данные о злоумышленниках по всему миру.
• Интеллектуальные функции CrowdStrike Falcon
  • Автоматическое расследование инцидентов, ускорение рассмотрения оповещений и реагирования на них. Встроенный в платформу Falcon, он готов к работе за считанные секунды.

Решения для обеспечения безопасности в облаке

• Защита облачных рабочих нагрузок Falcon — для AWS, Azure и GCP
  • Falcon Cloud Security обеспечивает комплексную защиту от брешей для рабочих нагрузок, контейнеров и Kubernetes, позволяя организациям быстро и уверенно создавать, запускать и защищать специализированные облачные приложения.
• Falcon Horizon — Cloud Security Posture Management (CSPM)
  • Falcon Cloud Security обеспечивает непрерывное обнаружение и визуализацию облачных ресурсов от хоста до облака без использования агентов, предоставляя ценный контекст и аналитические сведения об общем состоянии безопасности и действиях, необходимых для предотвращения потенциальных инцидентов безопасности.
• Безопасность контейнеров
  • Контейнеры изменили способы создания, тестирования и использования приложений, обеспечив возможность мгновенного развертывания и масштабирования приложений в любой среде. По мере роста внедрения контейнеров они становятся новой поверхностью атаки, которой не хватает видимости и которая подвергает организации опасности.

Решения для защиты личных данных

• Технология обнаружения угроз идентификации Falcon (ITD)
  • CrowdStrike Falcon Identity Threat Detection — обеспечивает глубокую визуализацию инцидентов и аномалий, связанных с идентификацией, в сложном гибридном ландшафте идентификации, сравнивая трафик в реальном времени с базовыми показателями поведения и политиками для обнаружения атак и боковых перемещений в режиме реального времени.
  • CrowdStrike Falcon Identity Threat Protection. Используя единый датчик и унифицированный интерфейс угроз с корреляцией атак по конечным точкам, рабочим нагрузкам и идентификационным данным, Falcon Identity Threat Protection останавливает нарушения идентификации в режиме реального времени.

Dell и CrowdStrike могут включать CrowdStrike при покупке устройства Dell, или вы можете приобрести пакет Volume Flex. Для получения дополнительной информации о продуктах CrowdStrike, входящих в комплект поставки, см. список пакетов Volume Flex или предложений On-The-Box (OTB).

Пакеты Volume Flex

• Сокол Про
  • Предотвращение сокола
  • Falcon Control и Response
  • Стандартная поддержка CrowdStrike
• Сокол Энтерпрайз
  • Предотвращение сокола
  • Falcon Insight XDR/EDR
  • Стандартная поддержка CrowdStrike
• Сокол Элит
  • Предотвращение сокола
  • Falcon Insight XDR/EDR
  • Сокол Дискавер
  • Защита персональных данных Falcon
  • Стандартная поддержка CrowdStrike
• Опциональные модули или услуги Falcon
  • Соколиный интеллект
  • Управление устройствами Falcon
  • Управление межсетевым экраном Falcon
  • Сокол OverWatch
  • Поддержка CrowdStrike Essential

Предложения On-The-Box (OTB)

• Falcon Endpoint Protection Pro OTB
  • Предотвращение сокола
  • Falcon Control и Response
  • Управление устройствами Falcon
  • Поддержка CrowdStrike Essential
• Falcon Endpoint Protection Enterprise OTB
  • Предотвращение сокола
  • Falcon Insight XDR/EDR
  • Управление устройствами Falcon
  • Граф угроз Falcon
  • Поддержка CrowdStrike Essential
• Пакет Falcon Endpoint Protection Pro и защищенной проверки компонентов Dell Secured Component Verification on Cloud (SCV on Cloud), OTB
  • Предотвращение сокола
  • Falcon Control и Response
  • Управление устройствами Falcon
  • Поддержка CrowdStrike Essential
  • Безопасная проверка компонентов Dell в облаке (SCV в облаке)

• Опциональные модули или услуги Falcon
  • Falcon Control и Response
  • Соколиный интеллект
  • Falcon Insight XDR/EDR
  • Управление межсетевым экраном Falcon
  • Сокол OverWatch
  • Сокол Дискавер
  • Защита персональных данных Falcon
  • Граф угроз Falcon

CrowdStrike предоставляет датчик на основе агента, который можно установить в операционных системах Windows, Mac или Linux для настольных или серверных платформ. Эти платформы используют размещенное в облаке SaaS-решение для управления политиками, контроля данных отчетов, управления и реагирования на угрозы.

CrowdStrike может работать в автономном режиме или онлайн, осуществляя анализ файлов при попытке их выполнения на конечной точке. Для этого используются следующие инструменты:

• Предопределенные превентивные хэши
• Поведенческий индикатор атак
• Известное вредоносное ПО
• Снижение риска эксплойтов

Выберите нужный способ, чтобы ознакомиться с дополнительными сведениями.

Предопределенные превентивные хэши

Предопределенные превентивные хэши — это списки заведомо хороших или плохих хэшей SHA256. Хэши могут иметь пометку «никогда не блокировать» или «всегда блокировать».

Для хэшей SHA256 с пометкой «никогда не блокировать» может использоваться список элементов, полученный из предыдущего антивирусного решения для внутренних приложений бизнес-подразделения. Импорт списка предопределенных превентивных хэшей для внутренних приложений представляет собой самый быстрый способ создания разрешенного списка заведомо хороших файлов в вашей среде.

Для хэшей SHA256 с пометкой «всегда блокировать» может использоваться список хэшей известного вредоносного ПО, которое ранее было обнаружено в вашей среде, или список, предоставленный вам доверенной третьей стороной.

Превентивные хэши не требуется загружать в пакетном режиме; хэши SHA256 можно задать вручную. При наличии одного или нескольких хэшей любые сведения о них запрашиваются от серверной части CrowdStrike. Дополнительная информация (например, имена файлов, сведения о поставщике, номера версий файлов) для этих хэшей (если они присутствуют в вашей инфраструктуре на любом устройстве) будет заполнена на основе информации из вашей инфраструктуры.

Поведенческий индикатор атак

Элемент, определенный как атака (на основе его поведения), обычно обозначается как таковой на основе значений машинного обучения. Этот параметр можно задать для датчика или облака. Платформа CrowdStrike Falcon использует двухэтапный процесс для выявления угроз при помощи модели машинного обучения. Первоначально выявляются угрозы на локальной конечной точке для немедленного отклика на потенциальную угрозу на этой конечной точке. Затем сведения об этой угрозе отправляются в облако для дополнительного анализа. В зависимости от политик предотвращения, определенных для устройства, может потребоваться дополнительное действие на конечной точке, если результаты анализа в облаке отличаются от результатов анализа угрозы, выполненного локальным датчиком.

В продукт постоянно добавляются новые индикаторы для повышения возможностей обнаружения угроз и потенциально нежелательных программ.

Известное вредоносное ПО

Централизованная аналитика угроз в CrowdStrike предоставляет широкий спектр информации об угрозах и злоумышленниках, действующих по всему миру. Этот список используется для обеспечения защиты от уже выявленных угроз.

Снижение риска эксплойтов

Одновременно в среде могут присутствовать различные уязвимости. Если для известной уязвимости в инфраструктуре еще не выпущено критически важное исправление, CrowdStrike осуществляет мониторинг эксплойтов, нацеленных на использование этой уязвимости. CrowdStrike предотвращает вредоносные действия, использующие эти эксплойты, и обеспечивает защиту от них.

Приглашение с адреса falcon@crowdstrike.com содержит ссылку для активации CrowdStrike Falcon Console, которая действительна в течение 72 часов. Через 72 часа на баннере в верхней части страницы появится предложение повторно отправить новую ссылку на активацию для вашей учетной записи:

Заказчики, которые приобрели CrowdStrike через Dell, могут получить поддержку, обратившись в Dell Data Security ProSupport. Дополнительную информацию можно найти в статье как получить поддержку для CrowdStrike.

Для CrowdStrike Falcon Console требуется клиент, который использует алгоритм защищенной аутентификации с применением одноразового пароля (TOTP) RFC 6238 для двухфакторной аутентификации.

Для получения информации о настройке см. статью Как настроить двухфакторную аутентификацию (2FA) для CrowdStrike Falcon Console.

CrowdStrike поддерживается в различных операционных системах Windows, Mac и Linux на настольных и серверных платформах. Все устройства будут обмениваться данными с консолью CrowdStrike Falcon по протоколу HTTPS через порт 443.

Полный список требований см. в статье Системные требованиями для датчика CrowdStrike Falcon.

Пошаговые инструкции по скачиванию см. в статье Как скачать датчик CrowdStrike Falcon.

При необходимости администраторы могут быть добавлены в CrowdStrike Falcon Console. Подробную информацию можно найти в статье Как добавить администраторов в CrowdStrike Falcon Console.

Для защиты программного обеспечения от несанкционированного удаления или доступа можно использовать маркер обслуживания. Подробную информацию можно найти в статье Как управлять токеном обслуживания датчика CrowdStrike Falcon.

Датчик CrowdStrike Falcon можно установить в следующих операционных системах:

• Windows через пользовательский интерфейс (UI) или интерфейс командной строки (CLI)
• Mac через Terminal
• Linux через Terminal

Пошаговые инструкции по установке см. в статье Как установить датчик CrowdStrike Falcon.

CrowdStrike использует CID (идентификатор заказчика) для привязки датчика CrowdStrike Falcon к соответствующей консоли CrowdStrike Falcon Console во время установки.

CID можно найти в консоли CrowdStrike Falcon Console (https://falcon.crowdstrike.com), выбрав Host setup and management, а затем Sensor Downloads.

Для получения дополнительной информации см. статью Как получить идентификатор заказчика CrowdStrike.

Версия датчика CrowdStrike Falcon может потребоваться, чтобы:

• проверить системные требования;
• выявлять известные проблемы;
• понимать изменения процесса.

Поскольку продукт не имеет пользовательского интерфейса, следует использовать командную строку (Windows) или Terminal (Mac или Linux), чтобы определить версию.

Подробные сведения о командах см. в статье Как определить версию датчика CrowdStrike Falcon?.

В исключениях датчика CrowdStrike Falcon можно использовать защищенный алгоритм хеширования (SHA)-256. Для получения дополнительной информации см. статью Как определить хэш SHA-256 файла для приложений безопасности.

Местонахождение основных операционных журналов:

• Windows
  • Приложение Microsoft Event Viewer
    • Журналы приложений
    • Системные журналы
• Mac
  • Системный журнал
• Linux
  • Местонахождение зависит от дистрибутива (обычно журналы находятся в основной папке «log» дистрибутива).
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Подробнее см. в статье Как собрать журналы датчика CrowdStrike Falcon.

Датчик CrowdStrike Falcon можно удалить в следующих операционных системах:

• Windows через пользовательский интерфейс (UI) или интерфейс командной строки (CLI)
• Mac через Terminal
• Linux через Terminal

Подробнее см. в статье Как удалить датчик CrowdStrike Falcon.

Инструмент для удаления датчика CrowdStrike Falcon можно скачать в консоли CrowdStrike Falcon Console. Подробную информацию можно найти в статье Как скачать инструмент удаления датчика CrowdStrike Falcon для Windows?.

Да. Хотя обычно не рекомендуется запускать несколько антивирусных решений, в результате тестирования CrowdStrike, выполненного рядом поставщиков антивирусных программ, не было выявлено проблем для конечных пользователей. Обычно не требуются исключения для CrowdStrike при использовании с дополнительными антивирусными приложениями.

В случае появления проблем можно добавить исключения в CrowdStrike Falcon Console (https://falcon.crowdstrike.com), выбрав Конфигурация, а затем Исключения файлов. Исключения для этих дополнительных антивирусных приложений поступают от стороннего поставщика антивирусного ПО.

Можно устранить многие проблемы совместимости в ОС Windows, наблюдаемые при использовании CrowdStrike со сторонними приложениями, изменив работу CrowdStrike в пользовательском режиме.

1. Войдите в CrowdStrike Falcon Console.
2. Нажмите Endpoint Security и выберите Prevention Policies.

3. Нажмите на значок Изменить для нужной группы политик.

4. Выберите Видимость датчика Улучшенная видимость.

5. Отключите Дополнительные данные пользовательского режима.

6. Нажмите, чтобы сохранить изменения политики.