Qu’est-ce que la plateforme Falcon de CrowdStrike ?

CrowdStrike propose différents modules de produits qui se connectent à un environnement SaaS unique. Les solutions de sécurité des points de terminaison sont mises en œuvre sur le point de terminaison par un seul agent, appelé CrowdStrike Falcon Sensor. La plate-forme Falcon se divise en solutions de sécurité des terminaux, sécurité informatique et opérations, intelligence sur les menaces, solutions de sécurité cloud et solutions de protection des identités. Vous trouverez plus d’informations sur ces produits ci-dessous :

Solutions de sécurité des points de terminaison

• Falcon Insight - Détection et réponse au niveau des points de terminaison (EDR)
  • Devancez l’adversaire grâce à une visibilité complète sur ce qui se passe sur vos points de terminaison, étendue à toutes les sources de données clés via la XDR intégrée. Découvrez les détails des menaces, même les plus sophistiquées, avec un contexte interdomaine complet pour enquêter rapidement sur les menaces et prendre des mesures rapides et sûres.
• Falcon Prevent : antivirus de nouvelle génération (NGAV)
  • Bloquez les attaques grâce à la puissance de l’intelligence artificielle (IA) et de l’apprentissage automatique (ML) de pointe, qu’il s’agisse de logiciels malveillants génériques ou d’attaques zero-day ou sans fichier. Notre intelligence sur les menaces de pointe, nos indicateurs d’attaque inédits, notre contrôle des scripts et notre analyse avancée de la mémoire détectent et bloquent les comportements malveillants plus tôt dans la chaîne de destruction.
• CrowdStrike Falcon Device Control : contrôle des appareils USB
  • Améliorez la visibilité de l’utilisation et de l’activité des appareils USB pour surveiller, rechercher et enquêter de manière proactive sur les incidents de perte de données grâce à un contexte complet de l’activité des utilisateurs, une visibilité approfondie des fichiers et une identification automatique du code source.
• Falcon Firewall Management - Host Firewall Control
  • Défendez-vous contre les menaces réseau et bénéficiez d’une visibilité instantanée pour améliorer la protection et déterminer les mesures à prendre.
• Falcon for Mobile - Détection et réponse aux points de terminaison mobiles
  • Protégez votre entreprise contre les menaces mobiles en étendant EDR et XDR aux appareils Android et iOS.
• Falcon Forensics - Analyse de données médico-légales
  • Automatisez la collecte de données d’investigation à un point dans le temps et historiques, tout en renforçant l’expertise des analystes avec des tableaux de bord complets et un contexte de menace complet pour une analyse approfondie des incidents.

Sécurité et opérations informatiques

• CrowdStrike Falcon Discover
  • Fournit des informations sur votre environnement de points de terminaison. Cela permet aux administrateurs d’afficher des informations en temps réel et historiques sur l’inventaire des applications et des actifs.
• CrowdStrike Falcon Overwatch
  • Recherche les menaces 24 heures sur 24 et envoie une notification par e-mail aux administrateurs via l’équipe Falcon OverWatch dès l’apparition d’un indicateur signalant l’émergence d’une menace.
• CrowdStrike Falcon Spotlight
  • Offre une gestion des failles de sécurité en utilisant le capteur Falcon pour fournir des informations sur les correctifs Microsoft ou les vulnérabilités actives pour les appareils sur lesquels Falcon est installé et pour les appareils à proximité sur le réseau.

Intelligence sur les menaces

• Moteur de recherche CrowdStrike Falcon
  • CrowdStrike Falcon MalQuery est un outil avancé de recherche de logiciels malveillants Cloud natif qui permet aux professionnels de la sécurité et aux chercheurs de rechercher rapidement un vaste jeu de données d’échantillons de logiciels malveillants, de valider les risques potentiels et de garder une longueur d’avance sur les attaquants. Au cœur de Falcon MalQuery se trouve une collection de plusieurs pétaoctets de plus de 3,5 milliards de fichiers, indexés par une technologie en instance de brevet.
• CrowdStrike Falcon Sandbox
  • Permet l’exécution contrôlée des logiciels malveillants pour fournir des rapports détaillés sur les menaces détectées dans votre environnement et pour recueillir des données supplémentaires sur les auteurs de menaces dans le monde entier.
• CrowdStrike Falcon Intelligence
  • Enquêter automatiquement sur les incidents et accélérer le tri et la réponse aux alertes. Intégré à la plate-forme Falcon, il est opérationnel en quelques secondes.

Solutions de sécurité Cloud

• Falcon Cloud Workload Protection - Pour AWS, Azure et GCP
  • Falcon Cloud Security offre une protection complète contre les violations pour les charges applicatives, les conteneurs et Kubernetes, ce qui permet aux organisations de créer, d’exécuter et de sécuriser des applications Cloud natives rapidement et en toute confiance.
• Falcon Horizon : gestion de la posture de sécurité dans le Cloud (CSPM)
  • Falcon Cloud Security offre une découverte et une visibilité continues sans agent des ressources cloud natives de l’hôte au cloud, fournissant un contexte et des informations précieux sur la posture de sécurité globale et les actions requises pour prévenir les incidents de sécurité potentiels.
• Sécurité des conteneurs
  • Les conteneurs ont changé la façon dont les applications sont créées, testées et utilisées, ce qui permet de les déployer et de les adapter instantanément à n’importe quel environnement. À mesure que leur adoption augmente, ils apparaissent comme une nouvelle surface d’attaque qui manque de visibilité et expose les organisations.

Solutions de protection de l’identité

• Falcon Identity Threat Detection (ITD)
  • CrowdStrike Falcon Identity Threat Detection : offre une visibilité approfondie sur les incidents et anomalies basés sur l’identité dans un environnement d’identité hybride complexe, en comparant le trafic en temps réel aux comportements de référence et aux stratégies pour détecter les attaques et les mouvements latéraux en temps réel.
  • CrowdStrike Falcon Identity Threat Protection : à l’aide d’un capteur unique et d’une interface de menaces unifiée avec une corrélation des attaques entre les points de terminaison, les charges applicatives et les identités, Falcon Identity Threat Protection bloque les violations basées sur les identités en temps réel.

Dell et CrowdStrike peuvent inclure CrowdStrike lors de l’achat de votre appareil Dell, ou vous pouvez acheter une offre groupée flexible de volume. Pour plus d’informations sur les produits CrowdStrike inclus, consultez la liste des offres groupées Volume Flex ou des offres prêtes à l’emploi.

Bundles flexibles de volume

• Falcon Pro
  • Falcon Prevent
  • Falcon Control et Respond
  • CrowdStrike Standard Support
• Falcon Enterprise
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • CrowdStrike Standard Support
• Falcon Elite
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Découverte du faucon
  • Falcon Identity Protection
  • CrowdStrike Standard Support
• Modules ou services Falcon en option
  • Falcon Intelligence
  • Falcon Device Control
  • Falcon Firewall Management
  • Falcon OverWatch
  • CrowdStrike Essential Support

Offres prêtes à l’emploi (OTB)

• Falcon Endpoint Protection Pro prêt à l’emploi
  • Falcon Prevent
  • Falcon Control et Respond
  • Falcon Device Control
  • CrowdStrike Essential Support
• Falcon Endpoint Protection Enterprise OTB
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falcon Device Control
  • Falcon Threat Graph
  • CrowdStrike Essential Support
• Falcon Endpoint Protection Pro et Dell Secured Component Verification on Cloud (SCV on Cloud), offre groupée de points de terminaison prête à l’emploi
  • Falcon Prevent
  • Falcon Control et Respond
  • Falcon Device Control
  • CrowdStrike Essential Support
  • Dell Secured Component Verification on Cloud (SCV on Cloud)

• Modules ou services Falcon en option
  • Falcon Control et Respond
  • Falcon Intelligence
  • Falcon Insight XDR/EDR
  • Falcon Firewall Management
  • Falcon OverWatch
  • Découverte du faucon
  • Falcon Identity Protection
  • Falcon Threat Graph

CrowdStrike est un capteur basé sur un agent qui peut être installé sur les systèmes d’exploitation Windows, Mac ou Linux pour ordinateurs de bureau ou plates-formes de serveurs. Ces plates-formes s’appuient sur un logiciel en tant que service hébergé sur le Cloud pour gérer les stratégies, contrôler les données de création de rapports, gérer les menaces et y répondre.

CrowdStrike fonctionne hors ligne ou en ligne pour analyser les fichiers lors de leur exécution sur le point de terminaison. Cette opération s’effectue à l’aide des éléments suivants :

• Hachages de prévention prédéfinis
• Indicateur comportemental des attaques
• Connaissance des logiciels malveillants
• Atténuation des attaques

Cliquez sur la méthode appropriée pour obtenir plus d’informations.

Hachages de prévention prédéfinis

Les hachages de prévention prédéfinis sont des listes de hachages SHA256 identifiés comme bons ou mauvais. Les hachages définis peuvent être marqués comme ne devant jamais être bloqués ou devant toujours être bloqués.

Les hachages SHA256 définis comme ne devant jamais être bloqués peuvent être une liste d’éléments provenant d’une ancienne solution antivirus de la ligne d’applications métier. L’importation d’une liste de hachages de prévention prédéfinis pour les applications internes est la méthode la plus rapide pour établir une liste des fichiers connus autorisés dans votre environnement.

Les hachages SHA256 définis comme devant toujours être bloqués peuvent être une liste de hachages malveillants connus, que votre environnement a déjà rencontrés dans le passé ou qui vous sont fournis par un tiers de confiance.

Il n’est pas nécessaire de télécharger par lots les hachages de prévention et des hachages SHA256 définis manuellement peuvent être configurés. Lorsque vous fournissez un ou plusieurs hachages, les informations sur ces hachages sont demandées au serveur back-end CrowdStrike. Les informations accessoires (telles que les noms de fichiers, les informations sur le fournisseur, les numéros de version de fichier) relatives à ces hachages (si elles sont présentes sur n’importe lequel des appareils de votre environnement) sont renseignées en fonction des informations de votre environnement.

Indicateur comportemental des attaques

Tout élément défini comme une attaque en fonction de son comportement est généralement indiqué comme tel en fonction des valeurs d’apprentissage machine. Celles-ci peuvent être définies pour le capteur ou le Cloud. La plate-forme Falcon de CrowdStrike utilise un processus en deux étapes pour identifier les menaces avec son modèle d’apprentissage machine. Cette opération est effectuée initialement sur le point de terminaison local pour fournir une réponse immédiate à une menace potentielle sur le point de terminaison. Cette menace est ensuite envoyée dans le Cloud pour une deuxième analyse. En fonction des stratégies de prévention définies pour l’appareil, une action supplémentaire peut être requise au niveau du point de terminaison si l’analyse du Cloud diffère de l’analyse de la menace par le capteur local.

Des indicateurs supplémentaires sont constamment ajoutés au produit pour renforcer la détection des menaces et des programmes potentiellement indésirables.

Connaissance des logiciels malveillants

L’intelligence centralisée de CrowdStrike offre un large éventail d’informations sur les menaces et les auteurs de menaces à l’échelle mondiale. Cette liste est utilisée pour intégrer des protections contre les menaces déjà identifiées.

Atténuation des attaques

À tout moment, de nombreuses vulnérabilités peuvent être actives dans un environnement. Si aucun correctif essentiel n’a encore été publié pour une faille de sécurité connue affectant un environnement, CrowdStrike surveille les attaques contre cette faille de sécurité et prévient et vous protège de tout comportement malveillant utilisant ces attaques.

Une invitation de falcon@crowdstrike.com contient un lien d’activation pour la console CrowdStrike Falcon valable pendant 72 heures. Après 72 heures, vous serez invité à renvoyer un nouveau lien d’activation sur votre compte par le biais d’une bannière en haut de la page :

Les clients qui ont acheté CrowdStrike auprès de Dell peuvent bénéficier d'un support en contactant Dell Data Security ProSupport. Pour plus d’informations, consultez Comment obtenir un support pour CrowdStrike.

CrowdStrike Falcon Console nécessite un client RFC 6238 à mot de passe unique basé sur l'heure (TOTP) pour l'accès 2FA (authentification à deux facteurs).

Pour obtenir des informations sur la configuration, consultez Comment configurer l’authentification à deux facteurs (2FA) pour CrowdStrike Falcon Console ?

CrowdStrike est pris en charge sur divers systèmes d’exploitation Windows, Mac et Linux sur les ordinateurs de bureau et les plates-formes de serveurs. Tous les appareils communiqueront avec CrowdStrike Falcon Console via HTTPS sur le port 443.

Pour connaître l’ensemble de la configuration matérielle requise, reportez-vous à la section Quelle est la configuration matérielle requise pour le capteur CrowdStrike Falcon ?

Pour plus d’informations sur le processus de téléchargement, reportez-vous à la section Comment télécharger CrowdStrike Falcon Sensor ?.

Des administrateurs peuvent être ajoutés à CrowdStrike Falcon Console selon les besoins. Pour plus d’informations, reportez-vous à la section Comment ajouter des administrateurs à CrowdStrike Falcon Console ?.

Un token de maintenance peut être utilisé pour protéger le logiciel contre la suppression et la falsification non autorisées. Pour plus d’informations consultez Gestion du jeton de maintenance de CrowdStrike Falcon Sensor (en anglais).

CrowdStrike Falcon Sensor peut être installé sur :

• Windows via l’interface utilisateur ou l’interface de ligne de commande
• Mac via le Terminal
• Linux via le Terminal

Pour plus d’informations sur le processus d’installation, reportez-vous à la section Comment installer CrowdStrike Falcon Sensor ?.

CrowdStrike utilise le CID (ID du client) pour associer CrowdStrike Falcon Sensor à la CrowdStrike Falcon Console appropriée lors de l’installation.

Le CID se trouve dans CrowdStrike Falcon Console (https://falcon.crowdstrike.com) en sélectionnant Configuration et gestion de l’hôte , puis Téléchargements de capteur.

Pour plus d’informations, consultez l’article Comment obtenir l’identification du client CrowdStrike.

La version de CrowdStrike Falcon Sensor peut être nécessaire pour :

• Valider la configuration matérielle requise
• Identifier les problèmes connus
• Comprendre les changements de processus

Aucune interface utilisateur du produit n’étant disponible, la version doit être identifiée à partir de la ligne de commande (Windows) ou du Terminal (Mac et Linux).

Pour une description détaillée de ces commandes, reportez-vous à la section Comment identifier la version de CrowdStrike Falcon Sensor ?.

Un algorithme de hachage sécurisé (SHA)-256 peut être utilisé pour les exclusions CrowdStrike Falcon Sensor. Pour plus d’informations, consultez Comment identifier le hachage SHA-256 d’un fichier pour les applications de sécurité.

Les journaux opérationnels de base sont stockés dans :

• Windows
  • L’application d’observateur d’événements de Microsoft
    • Les journaux d’applications
    • Les journaux système
• Mac
  • Le journal système
• Linux
  • Varie en fonction de la distribution. Ils sont généralement situés dans l'emplacement principal du « journal » de la distribution.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Pour plus d’informations, reportez-vous à la section Comment collecter les journaux de CrowdStrike Falcon Sensor ?.

CrowdStrike Falcon Sensor peut être supprimé de :

• Windows via l’interface utilisateur ou l’interface de ligne de commande
• Mac via le Terminal
• Linux via le Terminal

Pour plus d’informations, reportez-vous à la section Comment désinstaller CrowdStrike Falcon Sensor ?.

L’outil de désinstallation de CrowdStrike Falcon Sensor est disponible au téléchargement dans CrowdStrike Falcon Console. Pour plus d’informations, reportez-vous à la section Comment télécharger l’outil de désinstallation de CrowdStrike Falcon Sensor pour Windows.

Oui ! Bien qu’il ne soit généralement pas recommandé d’exécuter plusieurs solutions antivirus, CrowdStrike est testé avec plusieurs fournisseurs d’antivirus et nous avons constaté qu’il se superposait sans causer de problèmes aux utilisateurs finaux. Les exclusions ne sont généralement pas nécessaires pour CrowdStrike avec des applications antivirus supplémentaires.

Si des problèmes surviennent, des exclusions peuvent être ajoutées à CrowdStrike Falcon Console (https://falcon.crowdstrike.com) en sélectionnant Configuration > Exclusions de fichiers. Les exclusions pour ces applications antivirus supplémentaires proviennent du fournisseur d’antivirus tiers.

De nombreux problèmes de compatibilité Windows rencontrés avec CrowdStrike et les applications tierces peuvent être résolus en modifiant le fonctionnement de CrowdStrike en mode utilisateur.

1. Connectez-vous à la CrowdStrike Falcon Console.
2. Cliquez sur Endpoint Security, puis sélectionnez Prevention Policies.

3. Cliquez sur l’icône Modifier pour le groupe de stratégies approprié.

4. Cliquez sur Sensor Visibility Enhanced Visibility.

5. Désactivez Additional User Mode Data (Données supplémentaires du mode utilisateur).

6. Cliquez sur Save pour enregistrer les modifications apportées à la règle.