Co je platforma CrowdStrike Falcon

Software CrowdStrike obsahuje různé moduly produktů, které se připojují k jedinému prostředí SaaS. Řešení zabezpečení koncového bodu jsou na koncovém bodě provozována jediným agentem, známým jako CrowdStrike Falcon Sensor. Platforma Falcon je rozdělena na řešení zabezpečení koncových bodů, zabezpečení IT a provozu, zpravodajství o hrozbách, řešení pro zabezpečení cloudu a řešení pro ochranu identity. Více informací o těchto produktech naleznete níže:

Řešení zabezpečení koncových bodů

• Falcon Insight – Endpoint Detection and Response (EDR)
  • Předběhněte protivníka díky komplexnímu přehledu o tom, co se děje na vašich koncových bodech, rozšířeném na všechny klíčové zdroje dat prostřednictvím integrovaného XDR. Získejte podrobné informace i o nejsofistikovanějších hrozbách s kompletním kontextem napříč doménami, abyste mohli hrozby rychle prozkoumat a přijímat informace pro rychlou a spolehlivou akci.
• Falcon Prevent – antivirus nové generace (NGAV)
  • Zastavte útoky pomocí výkonu špičkové umělé inteligence (AI) a strojového učení (ML) – od běžného malwaru až po útoky bez souborů a zero-day. Naše elitní informace o hrozbách, první indikátory útoku, řízení skriptů a pokročilé skenování paměti detekují a blokují škodlivé chování v rané fázi dezaktivačního řetězce.
• CrowdStrike Falcon Device Control – ovládání zařízení USB
  • Vylepšete přehled o používání a aktivitě zařízení USB za účelem monitorování, proaktivního vyhledávání a vyšetřování incidentů ztráty dat prostřednictvím komplexního kontextu aktivity uživatelů, hluboké viditelnosti souborů a automatické identifikace zdrojového kódu.
• Falcon Firewall Management – Ovládání hostitelského firewallu
  • Braňte se síťovým hrozbám a získejte okamžitý přehled, který vám umožní zlepšit ochranu a informované akce.
• Falcon for Mobile – Mobile Endpoint Detection and Response
  • Ochraňte svou firmu před mobilními hrozbami rozšířením EDR a XDR na zařízení Android a iOS.
• Falcon Forensics - Forenzní analýza dat
  • Automatizujte sběr forenzních dat v určitých bodech i historických dat a současně rozšiřte odborné znalosti analytiků pomocí komplexních řídicích panelů a úplného kontextu hrozeb pro robustní forenzní analýzu incidentů.

Zabezpečení a provoz IT

• CrowdStrike Falcon Discover
  • Poskytuje přehled o vašem prostředí koncového bodu. Správci tak mohou v reálném čase prohlížet informace o inventáři aplikací a aktiv v reálném čase.
• CrowdStrike Falcon OverWatch
  • Poskytuje řízený odchyt hrozeb nonstop a e-mailová upozornění od týmu Falcon OverWatch, která během několika okamžiků upozorní správce na známky nové hrozby.
• CrowdStrike Falcon Spotlight
  • Nabízí správu chyb zabezpečení pomocí aplikace Falcon Sensor k doručování informací o opravách společnosti Microsoft nebo aktivních chyb zabezpečení pro zařízení s nainstalovaným Falconem a pro okolní zařízení v síti.

Informace o hrozbách

• Vyhledávač CrowdStrike Falcon
  • CrowdStrike Falcon MalQuery je pokročilý, cloudově nativní nástroj pro výzkum malwaru, který umožňuje bezpečnostním profesionálům a výzkumníkům rychle prohledávat rozsáhlé datové sady vzorků malwaru, ověřovat potenciální rizika a udržet si náskok před potenciálními útočníky. Jádrem Falcon MalQuery je multipetabajtová sbírka více než 3,5 miliardy souborů, indexovaných patentovanou technologií.
• CrowdStrike Falcon Sandbox
  • Umožňuje řízené spouštění malwaru poskytující podrobné zprávy o hrozbách, které se vyskytly ve vašem prostředí, a shromáždit další data o původcích hrozeb po celém světě.
• CrowdStrike Falcon Intelligence
  • Automaticky vyšetřujte incidenty a urychlete třídění výstrah a odezvu. Je zabudován do platformy Falcon a je funkční během několika sekund.

Řešení zabezpečení cloudu

• Ochrana pracovních úloh Falcon Cloud – pro AWS, Azure a GCP
  • Řešení Falcon Cloud Security poskytuje komplexní ochranu proti narušení pracovních úloh, kontejnerů a platformy Kubernetes a umožňuje organizacím rychle a bez obav vytvářet, spouštět a zabezpečit nativní cloudové aplikace.
• Falcon Horizon – správa stavu zabezpečení cloudu (CSPM)
  • Falcon Cloud Security zajišťuje nepřetržité zjišťování a viditelnost nativně cloudových aktiv bez agentů od hostitele až po cloud, čímž poskytuje cenný kontext a přehled o celkovém stavu zabezpečení a akcích potřebných k prevenci potenciálních bezpečnostních incidentů.
• Zabezpečení kontejnerů
  • Kontejnery změnily způsob, jakým jsou aplikace vytvářeny, testovány a používány, což umožňuje okamžité nasazení a škálování aplikací do libovolného prostředí. S rostoucím přijetím kontejnerů se objevují jako nový prostor pro útoky, který postrádá viditelnost a odhaluje organizace.

Řešení ochrany identity

• Falcon Identity Threat Detection (ITD)
  • CrowdStrike Falcon Identity Threat Detection – poskytuje podrobný přehled o incidentech a anomáliích založených na identitách v rámci komplexního prostředí hybridních identit a porovnává živý provoz se směrným plánem chování a zásadami za účelem detekce útoků a laterálního pohybu v reálném čase.
  • CrowdStrike Falcon Identity Threat Protection – pomocí jediného snímače a sjednoceného rozhraní hrozeb s korelací útoků napříč koncovými body, úlohami a identitami zabraňuje Falcon Identity Threat Protection v reálném čase průnikům na základě identity.

Společnosti Dell a CrowdStrike mohou zahrnout řešení CrowdStrike do nákupu zařízení Dell, případně můžete zakoupit balíček Volume Flex Bundle. Další informace o zahrnutých produktech CrowdStrike naleznete v seznamu balíčků Volume Flex Bundle nebo nabídek On-The-Box (OTB).

Svazky Volume Flex

• Falcon Pro
  • Falcon Prevent
  • Falcon Control and Response (Ovládání a reakce sokola)
  • Standardní podpora CrowdStrike
• Falcon Enterprise
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Standardní podpora CrowdStrike
• Falcon Elite
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Sokol Discover
  • Falcon Identity Protection
  • Standardní podpora CrowdStrike
• Volitelné moduly nebo služby Falcon
  • Sokolí inteligence
  • Ovládání zařízení Falcon
  • Správa brány Falcon Firewall
  • Falcon OverWatch
  • Základní podpora CrowdStrike

Nabídky On-the-Box (OTB)

• Falcon Endpoint Protection Pro OTB
  • Falcon Prevent
  • Falcon Control and Response (Ovládání a reakce sokola)
  • Ovládání zařízení Falcon
  • Základní podpora CrowdStrike
• Falcon Endpoint Protection Enterprise OTB
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Ovládání zařízení Falcon
  • Graf hrozeb Falcon
  • Základní podpora CrowdStrike
• Falcon Endpoint Protection Pro a Dell Secured Component Verification on Cloud (SCV on Cloud), balíček koncových bodů OTB
  • Falcon Prevent
  • Falcon Control and Response (Ovládání a reakce sokola)
  • Ovládání zařízení Falcon
  • Základní podpora CrowdStrike
  • Ověřování zabezpečených komponent Dell v cloudu (SCV v cloudu)

• Volitelné moduly nebo služby Falcon
  • Falcon Control and Response (Ovládání a reakce sokola)
  • Sokolí inteligence
  • Falcon Insight XDR/EDR
  • Správa brány Falcon Firewall
  • Falcon OverWatch
  • Sokol Discover
  • Falcon Identity Protection
  • Graf hrozeb Falcon

CrowdStrike je snímač na bázi agenta, který je možné nainstalovat na operační systémy Windows, Mac nebo Linux pro počítačové nebo serverové platformy. Tyto platformy spoléhají při správě zásad, řízení hlášení dat či správě hrozeb a reakci na tyto hrozby na řešení SaaS hostované v cloudu.

Aplikace CrowdStrike může při analýze souborů, které se pokoušejí spustit na koncovém bodě, fungovat offline či online. To se provádí pomocí následujících metod:

• Předdefinované hashe prevence
• Behaviorální ukazatele útoků
• Known Malware
• Omezení slabin

Další informace získáte po kliknutí na příslušnou metodu.

Předdefinované hashe prevence

Předdefinované hashe prevence jsou seznamy kódů hash SHA256, o nichž je známo, jestli jsou dobré nebo špatné. Definované kódy hash mohou být označeny jako „Never Block“ (nikdy neblokovat) nebo „Always Block“ (vždycky blokovat).

Kódy hash SHA256 definované jako „Never Block“ představovat seznam položek, které pocházejí z předchozího antivirového řešení pro interní aplikace řady. Import seznamu předdefinovaných kódů hash prevence pro interní aplikace je nejrychlejší metoda, jak vytvořit seznam povolených známých dobrých souborů ve vašem prostředí.

Kódy hash SHA256 definované jako „Always Block“ mohou představovat seznam známých škodlivých kódů hash, které se ve vašem prostředí ocitly v minulosti nebo které vám poskytla důvěryhodná třetí strana.

Preventivní kódy hash není třeba nahrávat v dávkách a je možné nastavit ručně definované kódy hash SHA256. Při poskytnutí jednotlivých či několikanásobných kódů hash jsou z back-endu společnosti CrowdStrike vyžádány podrobnosti o těchto kódech hash. Doplňkové informace (například názvy souborů, informace o poskytovateli, čísla verze souborů) pro tyto kódy hash, jestliže se nacházejí na některém zařízení ve vašem prostředí, se vyplní na základě informací z vašeho prostředí.

Behaviorální ukazatele útoků

Všechny položky definované jako útok na základě jejich chování se jako takové označí většinou na základě hodnot strojového učení. Toto nastavení lze nastavit pro senzor nebo pro cloud. Platforma Falcon společnosti CrowdStrike využívá pomocí svého modelu strojového učení dvoufázový proces identifikace hrozeb. Na začátku se tak děje na místním koncovém bodě, aby na něm došlo k okamžité reakci na potenciální hrozbu. Tato hrozba se poté odešle do cloudu na sekundární analýzu. Jestliže se analýza cloudu liší od analýzy hrozby místního snímače, může být podle toho, jaké jsou pro zařízení nadefinované preventivní zásady, na koncovém bodu potřeba provést další úkon.

Do produktu se neustále doplňují další ukazatele, aby se posílilo rozpoznávání hrozeb a potenciálně nežádoucích programů.

Known Malware

Centralizované zpravodajství společnosti CrowdStrike nabízí širokou škálu informací o hrozbách a původcích hrozeb, které fungují celosvětově. Tento seznam se používá k vytváření ochran proti hrozbám, které již byly identifikované.

Omezení slabin

V rámci prostředí mohou být v libovolném okamžiku aktivní různá zranitelná místa. Jestliže zatím pro známou chybu zabezpečení nebyla vydána kritická oprava, bude společnost CrowdStrike sledovat zneužití této chyby zabezpečení a škodlivému chování využívajícímu tyto slabiny zabrání nebo vás před ním ochrání jiným způsobem.

Pozvánka z adresy falcon@crowdstrike.com obsahuje aktivační odkaz pro aplikaci CrowdStrike Falcon Console, který bude platný 72 hodin. Po 72 hodinách budete vyzváni k opětovnému odeslání aktivačního odkazu na váš účet prostřednictvím banneru v horní části stránky:

Zákazníci, kteří si zakoupili aplikaci CrowdStrike přes společnost Dell, se mohou pro podporu obrátit na Dell Data Security ProSupport. Další informace najdete v článku Jak získat podporu pro aplikaci CrowdStrike.

Aplikace CrowdStrike Falcon Console vyžaduje klienta RFC 6238 s algoritmem Time-Based One-Time Password (TOTP) pro přístup k dvoufaktorovému ověřování (2FA).

Informace o konfiguraci najdete v článku Jak nakonfigurovat dvoufaktorové ověřování (2FA) pro aplikaci CrowdStrike Falcon Console.

Sada CrowdStrike je podporována na různých operačních systémech Windows, Mac a Linux na počítačových i serverových platformách. Všechna zařízení budou komunikovat s aplikací CrowdStrike Falcon Console prostřednictvím protokolu HTTPS přes port 443.

Kompletní seznam požadavků viz článek Systémové požadavky aplikace CrowdStrike Falcon Sensor.

Postup stažení najdete v článku Jak stáhnout aplikaci CrowdStrike Falcon Sensor.

Správci mohou být přidáni do aplikace CrowdStrike Falcon Console podle potřeby. Další informace naleznete v článku Jak přidat správce aplikace CrowdStrike Falcon Console.

K ochraně softwaru před neoprávněným odstraněním a neoprávněnou manipulací lze použít token údržby. Další informace naleznete v článku Jak spravovat token údržby aplikace CrowdStrike Falcon Sensor.

Aplikaci CrowdStrike Falcon Sensor lze nainstalovat na systémy:

• Windows pomocí uživatelského rozhraní (UI) nebo rozhraní příkazového řádku (CLI)
• Mac prostřednictvím Terminálu
• Linux prostřednictvím terminálu

Postup instalace viz článek Jak nainstalovat aplikaci CrowdStrike Falcon Sensor.

Řešení CrowdStrike používá při instalaci CID (ID zákazníka) k přiřazení aplikace CrowdStrike Falcon Sensor ke správné aplikaci CrowdStrike Falcon Console.

Identifikátor CID se nachází v aplikaci CrowdStrike Falcon Console (https://falcon.crowdstrike.com) výběrem možnosti Host setup and management a poté v části Sensor Downloads.

Další informace najdete v článku Jak získat identifikaci zákazníka pomocí řešení CrowdStrike.

Verze aplikace CrowdStrike Falcon Sensor může být potřeba při těchto příležitostech:

• Ověření systémových požadavků
• identifikovat známé problémy,
• porozumět změnám procesů,

Protože není dostupné žádné uživatelské rozhraní produktu, je třeba verzi identifikovat pomocí příkazového řádku (Windows) nebo terminálu (Mac a Linux).

Podrobné informace o těchto příkazech viz článek Jak rozpoznat verzi aplikace CrowdStrike Falcon Sensor

Algoritmus SHA-256 (Secure Hash Algorithm) je v aplikaci CrowdStrike Falcon Sensor možné zařadit do výjimek. Další informace najdete v článku Jak určit hodnotu hash SHA-256 souboru pro bezpečnostní aplikace.

Základní provozní protokoly jsou uloženy v umístění:

• Windows
  • Aplikace Prohlížeč událostí společnosti Microsoft
    • Protokoly aplikací
    • Systémové protokoly
• Mac
  • Systémový protokol
• Linux
  • Liší se podle distribuce, většinou se nacházejí v primárním umístění „log“ dané distribuce.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Více informací najdete v článku Jak shromažďovat protokoly aplikace CrowdStrike Falcon Sensor.

Aplikaci CrowdStrike Falcon Sensor lze odebrat na systémech:

• Windows pomocí uživatelského rozhraní (UI) nebo rozhraní příkazového řádku (CLI)
• Mac prostřednictvím Terminálu
• Linux prostřednictvím terminálu

Více informací najdete v článku Jak odinstalovat aplikaci CrowdStrike Falcon Sensor.

Nástroj pro odinstalaci aplikace CrowdStrike Falcon Sensor je k dispozici ke stažení v aplikaci CrowdStrike Falcon Console. Další informace naleznete v článku Jak stáhnout nástroj pro odinstalaci aplikace CrowdStrike Falcon Sensor pro systém Windows.

Ano! Ačkoliv se většinou nedoporučuje mít spuštěných více antivirových řešení, sada CrowdStrike byla testována spolu s několika jinými dodavateli antivirů a zjistilo se, že tato vrstva nezpůsobuje koncovým uživatelům problémy. U jiných antivirových aplikací obvykle není třeba zavádět výjimky pro řešení CrowdStrike.

Pokud dojde k problémům, lze do aplikace CrowdStrike Falcon Console (https://falcon.crowdstrike.com) přidat výjimky výběrem možnosti Configuration a poté File Exclusions. Výjimky pro tyto další antivirové aplikace poskytuje výrobce antiviru třetí strany.

Mnoho problémů s kompatibilitou systému Windows, ke kterým dochází u řešení CrowdStrike a aplikací třetích stran, je možné vyřešit úpravou toho, jak řešení CrowdStrike pracuje v režimu User Mode.

1. Přihlaste se do aplikace CrowdStrike Falcon Console.
2. Klikněte na položku Endpoint Security a vyberte možnost Prevention Policies.

3. Klikněte na ikonu Edit na požadované skupině zásad.

4. Klikněte na možnost Zlepšená viditelnost snímače.

5. Vypněte možnost Additional User Mode Data.

6. Kliknutím uložte změny zásad.