什麼是 CrowdStrike Falcon 平台

CrowdStrike 包含各種連線至單一 SaaS 環境的產品模組。端點安全性解決方案是由稱為 CrowdStrike Falcon Sensor 的單一代理程式在端點上制定。Falcon平臺分為端點安全解決方案，安全IT和運營，威脅情報，雲安全解決方案和身份保護解決方案。有關這些產品的更多資訊如下：

端點安全性解決方案

• Falcon Insight - 端點偵測與回應 （EDR）
  • 透過整合式 XDR，全面瞭解端點上發生的情況，並延伸至所有關鍵資料來源，以超越對手。通過完整的跨域上下文查看最複雜威脅的詳細資訊，以快速調查威脅並通知快速、自信的行動。
• Falcon Prevention - 新一代防毒軟體 （NGAV）
  • 利用尖端人工智慧 （AI） 和機器學習 （ML） 的強大力量阻止攻擊，從商用惡意軟體到無檔和零日攻擊。我們的精英威脅情報、業界第一的攻擊指標、腳本控制和高級記憶體掃描可在殺傷鏈的早期檢測和阻止惡意行為。
• CrowdStrike Falcon 裝置控制 - USB 裝置控制
  • 通過全面的用戶活動上下文、深度文件可見性和自動原始程式碼識別，增強 USB 設備使用和活動的可見性，以監控、主動搜尋和調查數據丟失事件。
• Falcon 防火牆管理 - 主機防火牆控制
  • 防禦網路威脅並取得即時能見度，以強化保護並通知您採取行動。
• Falcon for Mobile - Mobile 端點偵測與回應
  • 將 EDR 和 XDR 延伸至 Android 和 iOS 裝置，保護您的企業免受行動威脅。
• 獵鷹取證 - 取證資料分析
  • 自動收集時間點和歷史取證數據，同時通過全面的儀錶板和完整的威脅上下文來增強分析師的專業知識，從而進行強大的取證事件分析。

安全性與 IT 作業

• CrowdStrike Falcon Discover
  • 提供端點環境的深入解析。這可讓系統管理員檢視即時、歷史應用程式和資產清查資訊。
• CrowdStrike Falcon OverWatch
  • 提供 Falcon OverWatch 團隊的全天候管理威脅搜尋和電子郵件通知，並在出現威脅指示時通知系統管理員。
• CrowdStrike Falcon Spotlight
  • 利用 Falcon Sensor 為已安裝 Falcon 的裝置及網路上附近的裝置遞交 Microsoft 修補程式資訊或作用中漏洞，藉此提供漏洞管理。

威脅情報

• CrowdStrike Falcon 搜尋引擎
  • CrowdStrike Falcon MalQuery 是雲端原生的進階惡意軟體研究工具，可讓資安專業人員和研究人員快速搜尋大量惡意軟體樣本資料集，驗證潛在風險，並領先於潛在攻擊者。Falcon MalQuery的核心是一個超過35億個檔的多PB集合，由正在申請專利的技術編製索引。
• CrowdStrike Falcon Sandbox
  • 可讓受控制惡意軟體執行提供環境中出現之威脅的詳細報告，並收集全球威脅源起方的其他資料。
• CrowdStrike Falcon Intelligence
  • 自動調查事件並加快警報分類和回應速度。它內置於Falcon平臺中，可在幾秒鐘內運行。

雲端安全性解決方案

• Falcon Cloud Workload Protection - 適用於 AWS、Azure 和 GCP
  • Falcon Cloud Security 可為工作負載、容器和 Kubernetes 提供全方位的入侵防護，讓組織能夠快速、放心地建置、執行及保護雲端原生應用程式。
• Falcon Horizon - 雲端安全狀態管理 （CSPM）
  • Falcon Cloud Security提供從主機到雲的持續無代理發現和雲原生資產可見性，為整體安全狀況以及防止潛在安全事件所需的行動提供有價值的上下文和見解。
• 容器安全
  • 容器改變了應用程式的構建、測試和使用方式，使應用程式能夠立即部署和擴展到任何環境。隨著容器採用率的提高，它們成為一種新的攻擊面，缺乏可見性並暴露給組織。

身份保護解決方案

• Falcon 身分識別威脅偵測 （ITD）
  • CrowdStrike Falcon 身分識別威脅偵測：可在複雜的混合式身分識別環境中，深入瞭解身分識別的事件和異常狀況，比較即時流量與行為基準和原則，以即時偵測攻擊和橫向移動。
  • CrowdStrike Falcon 身分識別威脅保護 - Falcon 身分識別威脅保護使用單一感應器和統一威脅介面，搭配端點、工作負載及身分識別之間的攻擊關聯，即時阻止身分識別導向的入侵事件。

Dell 和 CrowdStrike 可能會在您購買 Dell 裝置時包含 CrowdStrike，或者您可以購買大量彈性套裝。如需進一步瞭解所包含的 CrowdStrike 產品，請參閱 Volume Flex 套裝 或 主機殼 （OTB） 方案清單。

Volume Flex 套裝

• 獵鷹專業版
  • 獵鷹防止
  • 獵鷹控制和回應
  • CrowdStrike 標準支援
• 獵鷹企業
  • 獵鷹防止
  • Falcon Insight XDR/EDR
  • CrowdStrike 標準支援
• 獵鷹精英
  • 獵鷹防止
  • Falcon Insight XDR/EDR
  • 獵鷹探索
  • Falcon 身分辨識保護
  • CrowdStrike 標準支援
• 選配的 Falcon 模組或服務
  • 獵鷹情報
  • Falcon 裝置控制
  • Falcon 防火牆管理
  • 獵鷹守望先鋒
  • CrowdStrike 基本支援

搭售 （OTB） 方案

• Falcon Endpoint Protection Pro OTB
  • 獵鷹防止
  • 獵鷹控制和回應
  • Falcon 裝置控制
  • CrowdStrike 基本支援
• Falcon Endpoint Protection Enterprise OTB
  • 獵鷹防止
  • Falcon Insight XDR/EDR
  • Falcon 裝置控制
  • Falcon 威脅圖
  • CrowdStrike 基本支援
• Falcon Endpoint Protection Pro 和 Dell Secured Component Verification on Cloud （SCV on Cloud） 端點套裝 OTB
  • 獵鷹防止
  • 獵鷹控制和回應
  • Falcon 裝置控制
  • CrowdStrike 基本支援
  • 雲端上的 Dell 安全元件驗證 （雲端上的 SCV）

• 選配的 Falcon 模組或服務
  • 獵鷹控制和回應
  • 獵鷹情報
  • Falcon Insight XDR/EDR
  • Falcon 防火牆管理
  • 獵鷹守望先鋒
  • 獵鷹探索
  • Falcon 身分辨識保護
  • Falcon 威脅圖

CrowdStrike 是一種代理程式型感應器，可安裝在適用於桌上型電腦或伺服器平台的 Windows、Mac 或 Linux 作業系統上。這些平台仰賴雲端託管的 SaaS 解決方案來管理原則、控制報告資料、管理和回應威脅。

CrowdStrike 可在嘗試於端點上執行時，離線或於線上分析檔案。此動作會使用下列方法完成：

• 預先定義的預防雜湊
• 攻擊的行為指示
• 已知的惡意軟體
• 利用緩解

如需詳細資訊，請按一下適當的方法。

預先定義的預防雜湊

預先定義的預防雜湊是已知為良好或不良的 SHA256 雜湊清單。定義的雜湊可能會標示為「永不封鎖」或「一律封鎖」。

SHA256 雜湊定義為「永不封鎖」可能是來自內部產品線應用程式之先前防毒解決方案的項目清單。匯入內部應用程式預先定義的預防雜湊清單，是讓您在環境中列出已知良好檔案的最快方法。

SHA256 雜湊定義為「一律封鎖」可能是您的環境過去曾出現過的已知惡意雜湊清單，或是由信任的第三方提供給您的清單。

不需要分批上傳預防雜湊，且可設定手動定義的 SHA256 雜湊。提供單一或多個雜湊時，會從 CrowdStrike 後端要求這些雜湊的任何詳細資料。系統會根據您環境中的資訊，填入這些雜湊的附屬資訊 (如果這些元件存在於您的環境中的任何裝置，例如檔案名稱、廠商資訊、檔案版本編號)。

攻擊的行為指示

任何定義為攻擊的項目 (根據其行為) 通常會根據機器學習值來指明。這可為感應器或雲端設定。CrowdStrike 的 Falcon 平台利用兩步驟程序，以機器學習模型識別威脅。這一開始會在本機端點完成，以便立即回應端點上的潛在威脅。接著，此威脅會傳送到雲端進行次要分析。根據為裝置定義的預防原則，如果雲端分析與本機感應器對威脅的分析不同，端點可能需要採取其他動作。

產品中不斷新增更多指示，以加強偵測威脅和可能不想要的程式。

已知的惡意軟體

CrowdStrike 的集中式情報提供各種會影響全域的威脅和威脅源起方資訊。此清單可用來建立保護，防範已識別到的威脅。

利用緩解

環境中的各種漏洞可能隨時產生負面效果。如果已知有影響環境的漏洞，卻尚未發佈重要修補程式，CrowdStrike 會監控該漏洞是否造成惡意探索，並防止使用這些惡意探索的惡意行為。

來自 falcon@crowdstrike.com 的邀請包含 CrowdStrike Falcon 主控台的啟用連結，有效時間為 72 小時。72 小時後，頁面頂端的橫幅會提示您將新的啟用連結重新傳送至您的帳戶：

透過 Dell 購買 CrowdStrike 的客戶可透過聯絡 Dell Data Security ProSupport 以取得支援。如需更多資訊，請參閱如何取得 CrowdStrike 支援。

CrowdStrike Falcon 主控台需要 RFC 6238 Time-Based One-Time Password (TOTP) 用戶端才能存取雙因素驗證 (2FA)。

如需設定的相關資訊，請參閱如何為 CrowdStrike Falcon 主控台設定雙因素驗證 (2FA)。

在桌上型電腦和伺服器平台上，各種 Windows、Mac 和 Linux 作業系統都支援 CrowdStrike。所有裝置都會透過連接埠 443 透過 HTTPS 與 CrowdStrike Falcon 主控台通訊。

如需完整的需求清單，請參閱 CrowdStrike Falcon Sensor 系統需求。

如需下載程序的實務步驟，請參閱如何下載 CrowdStrike Falcon Sensor。

可視需要，將系統管理員新增至 CrowdStrike Falcon 主控台。如需詳細資訊，請參閱如何新增 CrowdStrike Falcon 主控台系統管理員。

您可以使用維護權杖來保護軟體免於未經授權的移除和篡改。如需詳細資訊，請參閱如何管理 CrowdStrike Falcon Sensor 維護權杖。

CrowdStrike Falcon Sensor 可安裝在：

• Windows (透過使用者介面 (UI) 或命令行介面 (CLI))
• Mac (透過終端機)
• Linux (透過終端機)

如需安裝程序的詳細步驟，請參閱如何安裝 CrowdStrike Falcon Sensor。

CrowdStrike 在安裝期間會使用客戶識別 (CID) 將 CrowdStrike Falcon Sensor 與適當的 CrowdStrike Falcon 主控台建立關聯。

CID 位於 CrowdStrike Falcon 主控台 （https://falcon.crowdstrike.com） 中，可選取 主機設定和管理 ，然後選取 感應器下載。

如需詳細資訊，請參閱 如何取得 CrowdStrike 客戶識別。

可能需要知道 CrowdStrike Falcon Sensor 版本，才能：

• 驗證系統需求
• 識別已知問題
• 瞭解程序變更

由於沒有可用的產品 UI，必須透過命令列 (Windows) 或終端機 (Mac 和 Linux) 來識別版本。

如需這些命令的詳細步驟，請參閱如何識別 CrowdStrike Falcon Sensor 版本。

CrowdStrike Falcon Sensor 例外可能會使用 Secure Hash Algorithm (SHA)-256。如需更多資訊，請參閱如何 為安全性應用程式識別檔案的 SHA-256 雜湊。

基本作業記錄會儲存在：

• Windows
  • Microsoft 的事件檢視器應用程式
    • 應用程式記錄
    • 系統記錄
• Mac
  • 系統記錄
• Linux
  • 視發佈版本而有所不同，這些通常會存在 Distro 的主要「記錄」位置中。
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

如需詳細資訊，請參閱如何收集 CrowdStrike Falcon Sensor 記錄。

可以移除下列位置的 CrowdStrike Falcon Sensor：

• Windows (透過使用者介面 (UI) 或命令行介面 (CLI))
• Mac (透過終端機)
• Linux (透過終端機)

如需詳細資訊，請參閱如何解除安裝 CrowdStrike Falcon Sensor。

可在 CrowdStrike Falcon 主控台內下載 CrowdStrike Falcon Sensor 解除安裝工具。如需詳細資訊，請參閱如何下載 Windows 版 CrowdStrike Falcon Sensor Windows 解除安裝工具。

是！雖然通常不建議執行多個防毒解決方案，但 CrowdStrike 已經過多個防毒廠商層層測試，不會對終端使用者造成困擾。具有其他防毒應用程式的 CrowdStrike 通常不需要排除項目。

如果出現問題，您可以選取組態，然後選取檔案排除，將排除項目新增至 CrowdStrike Falcon 主控台 (https://falcon.crowdstrike.com)。這類其他防毒應用程式的排除項目來自第三方的防毒廠商。

您可以修改 CrowdStrike 在使用者模式下的運作方式，藉此解決與 CrowdStrike 和第三方應用程式發生的許多 Windows 相容性問題。

1. 登入 CrowdStrike Falcon 主控台。
2. 按一下 端點安全性，然後選取 預防原則。

3. 在適當的政策群組上按一下編輯圖示。

4. 按一下 感應器可見度 增強可見度。

5. 關閉其他使用者模式資料。

6. 按一下以 儲存 原則變更。