Mikä on CrowdStrike Falcon -alusta

CrowdStrike sisältää useita tuotemoduuleja, jotka ovat yhteydessä samaan SaaS-ympäristöön. Päätepisteiden suojausratkaisut toteuttaa päätepisteessä yksi agentti, joka tunnetaan nimellä CrowdStrike Falcon Sensor. Falcon-alusta on jaettu päätepisteiden tietoturvaratkaisuihin, tietoturva-, IT- ja operaatioihin, uhkatietoihin, pilviturvallisuusratkaisuihin ja henkilöllisyyden suojausratkaisuihin. Lisätietoja näistä tuotteista on alla:

Päätepisteiden suojausratkaisut

• Falcon Insight - päätepisteiden tunnistus ja reagointi (EDR)
  • Päihitä vastustajasi kattavalla näkyvyydellä siihen, mitä päätepisteissäsi tapahtuu, ja integroidun XDR:n avulla se ulottuu kaikkiin tärkeisiin tietolähteisiin. Näe kehittyneimpienkin uhkien tiedot ja täydellinen toimialueiden välinen konteksti, jonka avulla voit tutkia uhkia nopeasti ja saada aikaan nopeita ja varmoja toimia.
• Falcon Prevent - Uuden sukupolven virustorjunta (NGAV)
  • Pysäytä hyökkäykset huippuluokan tekoälyn (AI) ja koneoppimisen (ML) avulla – hyödykehaittaohjelmista tiedostottomiin hyökkäyksiin ja nollapäivähyökkäyksiin. Eliittitason uhkatietomme, alan ensimmäiset hyökkäysindikaattorit, komentosarjojen hallinta ja kehittynyt muistin tarkistus havaitsevat ja estävät haitallisen toiminnan tappoketjun varhaisemmassa vaiheessa.
• CrowdStrike Falcon -laiteohjaus - USB-laiteohjaus
  • Paranna USB-laitteen käytön ja toiminnan näkyvyyttä tietojen menetystapausten valvomiseksi, etsimiseksi ja tutkimiseksi kattavan käyttäjätoiminnan, tiedostojen syvällisen näkyvyyden ja automaattisen lähdekoodin tunnistuksen avulla.
• Falcon-palomuurin hallinta - isäntäpalomuurin hallinta
  • Suojaudu verkkouhkia vastaan ja hanki välitön näkyvyys suojauksen parantamiseksi ja toiminnan ohjaamiseksi.
• Falcon mobiililaitteille - mobiilipäätepisteiden tunnistus ja reagointi
  • Suojaa liiketoimintaasi mobiiliuhkilta laajentamalla EDR ja XDR Android- ja iOS-laitteisiin.
• Falcon Forensics - rikostekninen data-analyysi
  • Automatisoi ajankohdan tietojen ja historiatietojen kerääminen ja täydennä analyytikkojen asiantuntemusta kattavilla koontinäytöillä ja täydellisellä uhkakontekstilla vankkaa rikosteknisten tapahtumien analysointia varten.

Tietoturva ja IT-toiminnot

• CrowdStrike Falcon Discover
  • Antaa merkityksellisiä tietoja päätepisteympäristöstäsi. Näin järjestelmänvalvojat voivat tarkastella reaaliaikaisia ja historiallisia sovellus- ja omaisuusluettelotietoja.
• CrowdStrike Falcon OverWatch
  • Tarjoaa ympärivuorokautisen uhkien tarkkailun ja sähköposti-ilmoitukset Falcon OverWatch -tiimiltä. Järjestelmänvalvojat saavat hetkessä tiedon merkeistä, jotka viittaavat uhkaavaan vaaraan.
• CrowdStrike Falcon Spotlight
  • Tarjoaa haavoittuvuuksien hallintaa hyödyntämällä Falcon-anturia Microsoftin korjaustietojen tai aktiivisten haavoittuvuuksien toimittamiseen laitteille, joihin on asennettu Falcon, ja lähellä oleville verkon laitteille.

Uhkatiedot

• CrowdStrike Falcon -hakukone
  • CrowdStrike Falcon MalQuery on edistynyt, pilvinatiivi haittaohjelmien tutkimustyökalu, jonka avulla tietoturva-ammattilaiset ja tutkijat voivat nopeasti etsiä valtavaa haittaohjelmanäytteiden tietojoukkoa, validoida mahdolliset riskit ja pysyä mahdollisten hyökkääjien edellä. Ytimessä Falcon MalQuery on monen petatavun kokoelma yli 3.5 miljardia tiedostoa, jotka on indeksoitu patenttia odottavalla tekniikalla.
• CrowdStrike Falcon Sandbox
  • Mahdollistaa hallitun haittaohjelmien suorituksen, jonka avulla saadaan tarkat raportit ympäristössä havaituista uhista ja voidaan kerätä lisätietoja maailmanlaajuisista uhkatekijöistä.
• CrowdStrike Falcon -älykkyys
  • Tutki tapaukset automaattisesti ja nopeuta hälytysten luokittelua ja reagointia. Rakennettu Falcon alusta, se toimii sekunneissa.

Pilven tietoturvaratkaisut

• Falcon Cloud Workload Protection – AWS, Azure ja GCP
  • Falcon Cloud Security tarjoaa kattavan murtosuojauksen työkuormille, säilöille ja Kubernetesille, jotta organisaatiot voivat rakentaa, käyttää ja suojata pilvinatiiveja sovelluksia nopeasti ja luottavaisin mielin.
• Falcon Horizon - Cloud Security Posture Management (CSPM)
  • Falcon Cloud Security tarjoaa jatkuvan agentittoman pilvipohjaisten resurssien löytämisen ja näkyvyyden isännästä pilveen, mikä tarjoaa arvokasta kontekstia ja näkemyksiä yleisestä tietoturvatilanteesta ja mahdollisten tietoturvatapahtumien estämiseksi tarvittavista toimista.
• Konttien turvallisuus
  • Säilöt ovat muuttaneet sovellusten rakennetta, testausta ja käyttöä. Niiden ansiosta sovellukset voidaan ottaa käyttöön ja skaalata mihin tahansa ympäristöön välittömästi. Kun säilöjen käyttöönotto lisääntyy, ne nousevat esiin uutena hyökkäyspintana, jolla ei ole näkyvyyttä ja joka altistaa organisaatiot.

Identiteetinsuojausratkaisut

• Falcon Identity Threat Detection (ITD)
  • CrowdStrike Falcon Identity Threat Detection - Tarjoaa syvän näkyvyyden identiteettipohjaisiin tapahtumiin ja poikkeavuuksiin monimutkaisessa hybridi-identiteettiympäristössä vertaamalla reaaliaikaista liikennettä käyttäytymisen perustasoihin ja käytäntöihin hyökkäysten ja sivuttaisliikkeen havaitsemiseksi reaaliajassa.
  • CrowdStrike Falcon Identity Threat Protection - Käyttämällä yhtä anturia ja yhtenäistä uhkarajapintaa, jossa hyökkäyskorrelaatio päätepisteiden, työkuormien ja identiteettien välillä, Falcon Identity Threat Protection pysäyttää identiteettiin perustuvat rikkomukset reaaliajassa.

Dell ja CrowdStrike voivat sisällyttää CrowdStriken Dell-laitteesi ostoon tai voit ostaa volume flex -paketin. Lisätietoja CrowdStrike-tuotteista on Volume Flex -pakettien tai OTB (On-The-Box) -tarjousten luettelossa.

Volume Flex -paketit

• Falcon Pro
  • Falcon estää
  • Falconin hallinta ja reagointi
  • CrowdStrike-vakiotuki
• Falcon Enterprise
  • Falcon estää
  • Falcon Insight XDR/EDR
  • CrowdStrike-vakiotuki
• Falcon eliitti
  • Falcon estää
  • Falcon Insight XDR/EDR
  • Falcon Löydä
  • Falcon-henkilöllisyyden suojaus
  • CrowdStrike-vakiotuki
• Valinnaiset Falcon-moduulit tai -palvelut
  • Falcon-älykkyys
  • Falcon-laitteen ohjaus
  • Falconin palomuurin hallinta
  • Falcon OverWatch
  • CrowdStriken perustuki

On-the-Box (OTB) -tarjoukset

• Falcon Endpoint Protection Pro OTB
  • Falcon estää
  • Falconin hallinta ja reagointi
  • Falcon-laitteen ohjaus
  • CrowdStriken perustuki
• Falcon Endpoint Protection Enterprise OTB
  • Falcon estää
  • Falcon Insight XDR/EDR
  • Falcon-laitteen ohjaus
  • Falcon-uhkakaavio
  • CrowdStriken perustuki
• Falcon Endpoint Protection Pro ja Dell Secured Component Verification on Cloud (SCV on Cloud) Endpoint Bundle OTB
  • Falcon estää
  • Falconin hallinta ja reagointi
  • Falcon-laitteen ohjaus
  • CrowdStriken perustuki
  • Dell Secured Component Verification on Cloud (SCV on Cloud)

• Valinnaiset Falcon-moduulit tai -palvelut
  • Falconin hallinta ja reagointi
  • Falcon-älykkyys
  • Falcon Insight XDR/EDR
  • Falconin palomuurin hallinta
  • Falcon OverWatch
  • Falcon Löydä
  • Falcon-henkilöllisyyden suojaus
  • Falcon-uhkakaavio

CrowdStrike on agenttipohjainen anturi, joka voidaan asentaa Windows-, Mac- ja Linux-käyttöjärjestelmiin pöytätietokoneissa tai palvelinympäristöissä. Nämä ympäristöt pohjautuvat pilvipohjaiseen SaaS-ratkaisuun ja hallitsevat käytäntöjä, valvovat raporttien tietoja, hallitsevat uhkia ja reagoivat niihin.

CrowdStrike voi analysoida päätepisteessä suoritettavia tiedostoja offline- tai online-tilassa. Tähän käytetään seuraavia:

• Ennalta määritetyt estohajautukset
• Hyökkäyksistä kertova toimintailmaisin
• Tunnettu haittaohjelma
• Hyväksikäytön minimointi

Katso lisätietoja valitsemalla asianmukainen tapa.

Ennalta määritetyt estohajautukset

Ennalta määritetyt estohajautukset ovat luetteloita SHA256-hajautuksista, joiden tiedetään olevan hyviä tai haitallisia. Määritetyillä hajautuksilla voi olla merkintä Never Block tai Always Block.

SHA256-hajautukset, joissa on merkintä Never Block, voivat olla luettelo kohteita, jotka ovat peräisin aiemmasta virustorjuntaratkaisusta tai sisäisistä liiketoimialan sovelluksista. Nopein tapa merkitä hyviksi tunnetut tiedostot hyväksytyiksi ympäristössäsi on tuoda luettelo ennalta määritettyjä estohajautuksia.

SHA256-hajautukset, joissa on merkintä Always Block, voivat olla haitallisiksi tiedettyjä hajautuksia, jotka on aiemmin havaittu ympäristössäsi tai jotka on toimittanut luotettava kolmas osapuoli.

Estohajautuksia ei tarvitse ladata erissä, ja SHA256-hajautuksia voi määrittää myös manuaalisesti. Kun yksittäisiä tai useita hasheja tarjotaan, kaikki yksityiskohdat näistä hasheista pyydetään CrowdStrike-taustajärjestelmästä. Näiden hajautusarvojen lisätiedot (kuten tiedostonimet, toimittajatiedot, tiedostojen versionumerot) (jos ne ovat ympäristössäsi millä tahansa laitteella) täytetään ympäristöstäsi saatujen tietojen perusteella.

Hyökkäyksistä kertova toimintailmaisin

Toimintansa perusteella hyökkäykseksi määritellyt kohteet merkitään yleensä sellaisiksi koneoppimisen arvojen mukaan. Tämä voidaan määrittää Sensor- tai Cloud-palvelussa. CrowdStriken Falcon-ympäristö tunnistaa uhat koneoppimismallin kautta kaksivaiheisessa prosessissa. Tämä tehdään ensin paikallisessa päätepisteessä, jolloin mahdolliseen uhkaan voidaan reagoida välittömästi. Tämän jälkeen uhka lähetetään pilveen toissijaista analyysia varten. Laitteeseen määritettyjen estokäytäntöjen mukaan lisätoimenpiteitä päätepisteessä saatetaan edellyttää, jos pilvianalyysi poikkeaa paikallisen anturin uhka-analyysista.

Tuotteeseen lisätään jatkuvasti ilmaisimia, jotka tehostavat uhkien ja mahdollisten ei-toivottujen ohjelmien tunnistusta.

Tunnettu haittaohjelma

CrowdStriken keskitetty älyominaisuus tarjoaa kattavasti tietoja globaaleista uhista ja uhkatekijöistä. Luettelon avulla muodostetaan suojauksia jo tunnistettuja uhkia vastaan.

Hyväksikäytön minimointi

Ympäristössä voi esiintyä useita haavoittuvuuksia milloin tahansa. Jos kriittistä korjaustiedostoa ei ole vielä julkaistu tunnetulle haavoittuvuudelle, joka vaikuttaa ympäristöön, CrowdStrike seuraa kyseisen haavoittuvuuden hyväksikäyttöä ja estää haitallisen toiminnan ja suojaa sitä vastaan.

falcon@crowdstrike.com kutsu sisältää aktivointilinkin CrowdStrike Falcon -konsolille, joka on voimassa 72 tuntia. 72 tunnin kuluttua sivun ylälaitaan ilmestyy kehote lähettää uusi aktivointilinkki:

Asiakkaat, jotka ovat ostaneet CrowdStriken Dellin kautta, voivat saada tukea ottamalla yhteyttä Dell Data Security ProSupport -tukeen. Lisätietoja on artikkelissa CrowdStrike-tuen saaminen.

CrowdStrike Falcon -konsoli vaatii RFC 6238 Time-Based One-Time Password (TOTP) -asiakkaan kaksivaiheisen todennuksen (2FA) käyttöä varten.

Lisätietoja määrityksestä on artikkelissa CrowdStrike Falcon -konsolin kahden tekijän tunnistuksen (2FA) määrittäminen.

CrowdStrike-järjestelmää tuetaan useissa Windows-, Mac- ja Linux-käyttöjärjestelmissä sekä työpöytä- että palvelinympäristöissä. Kaikki laitteet kommunikoivat CrowdStrike Falcon -konsoliin HTTPS: n kautta portin 443 kautta.

Täydellinen luettelo vaatimuksista on kohdassa CrowdStrike Falcon Sensor -järjestelmävaatimukset.

Tarkat lataamisohjeet ovat artikkelissa CrowdStrike Falcon Sensorin lataaminen.

Järjestelmänvalvojat voidaan tarvittaessa lisätä CrowdStrike Falcon -konsoliin. Lisätietoja on artikkelissa Järjestelmänvalvojien lisääminen CrowdStrike Falcon -konsoliin (englanninkielinen).

Ohjelmistoa voidaan suojata luvattomalta poistamiselta ja muuttamiselta ylläpitotunnuksella. Lisätietoja on artikkelissa CrowdStrike Falcon Sensorin ylläpitotunnuksen hallinta (englanninkielinen).

CrowdStrike Falcon Sensorin voi asentaa seuraavasti:

• Windowsiin käyttöliittymän (UI) tai komentoriviliittymän (CLI) kautta
• Maciin päätteen kautta
• Linuxiin päätteen kautta

Tarkat asennusohjeet ovat artikkelissa CrowdStrike Falcon Sensorin asentaminen.

CrowdStrike käyttää asiakastunnusta (CID) CrowdStrike Falcon Sensorin yhdistämiseen oikeaan CrowdStrike Falcon -konsoliin asennuksen aikana.

CID sijaitsee CrowdStrike Falcon -konsolissa (https://falcon.crowdstrike.com) valitsemalla Isännän asetukset ja hallinta ja sitten Anturilataukset.

Lisätietoja on artikkelissa CrowdStrike-asiakastunnistuksen hankkiminen.

CrowdStrike Falcon Sensor -version avulla voidaan:

• tarkistaa järjestelmävaatimukset
• tunnistaa tunnetut ongelmat
• tiedostaa prosessin muutokset.

Tuotteella ei ole käyttöliittymää, joten versio tunnistetaan komentorivin (Windows) tai päätteen (Mac ja Linux) kautta.

Tarkat tiedot näistä komennoista ovat artikkelissa CrowdStrike Falcon Sensor -version tunnistaminen.

CrowdStrike Falcon Sensorin poikkeuksissa saatetaan käyttää suojattua hajautusalgoritmia SHA-256:ta. Lisätietoja on artikkelissa Tiedoston SHA-256-hajautusarvon tunnistaminen tietoturvasovelluksia varten.

Perustoimintalokien tallennuspaikat:

• Windows
  • Microsoftin tapahtumienvalvontasovellus
    • Sovelluslokit
    • Järjestelmälokit
• Mac
  • Järjestelmäloki
• Linux
  • Vaihtelee jakelun mukaan, yleensä nämä ovat distron ensisijaisessa "loki" -paikassa.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Lisätietoja: CrowdStrike Falcon Sensor -lokien kerääminen.

CrowdStrike Falcon Sensorin voi poistaa seuraavilla tavoilla:

• Windowsiin käyttöliittymän (UI) tai komentoriviliittymän (CLI) kautta
• Maciin päätteen kautta
• Linuxiin päätteen kautta

Lisätietoja: CrowdStrike Falcon Sensorin asennuksen poistaminen.

CrowdStrike Falcon Sensorin asennuksen poistotyökalu voidaan ladata CrowdStrike Falcon -konsolista. Lisätietoja on artikkelissa CrowdStrike Falcon Sensorin asennuksen poistotyökalun lataaminen Windowsiin.

Kyllä. Useiden virustorjuntaratkaisujen käyttöä ei yleisesti suositella, mutta CrowdStrike on testattu useiden valmistajien virustorjunnan kanssa eikä sen ole havaittu aiheuttavan ongelmia loppukäyttäjälle. CrowdStriken käyttö muiden virustorjuntasovellusten kanssa ei yleensä edellytä poikkeuksia.

Jos ongelmia ilmenee, poikkeuksia voidaan lisätä CrowdStrike Falcon Consoleen (https://falcon.crowdstrike.com) valitsemalla Configuration ja sitten File Exclusions. Näitä muita virustorjuntasovelluksia koskevat poikkeukset tulevat kolmannen osapuolen virustorjuntatoimittajalta.

Useat Windows-yhteensopivuusongelmat CrowdStriken ja kolmannen osapuolen sovellusten välillä voidaan ratkaista muokkaamalla CrowdStriken toimintaa käyttäjätilassa.

1. Kirjaudu sisään CrowdStrike Falcon -konsoliin.
2. Valitse Endpoint Security ja sitten Prevention Policies.

3. Valitse asianmukaisen käytäntöryhmän Edit-kuvake.

4. Napsauta Anturin näkyvyys Parempi näkyvyys.

5. Poista Additional User Mode Data (Käyttäjätilan lisätiedot) käytöstä.

6. Tallenna käytäntömuutokset napsauttamalla.