Vad är CrowdStrike Falcon-plattformen?

CrowdStrike innehåller olika produktmoduler som ansluts till en och samma SaaS-miljö. Lösningar för slutpunktssäkerhet utförs på slutpunkten av en enda agent, som kallas CrowdStrike Falcon-sensor. Falcon-plattformen är uppdelad i Endpoint Security Solutions, Security IT & Operations, Threat Intelligence, Cloud Security Solutions och Identity Protection Solutions. Mer information om dessa produkter finns nedan:

Säkerhetslösningar för slutpunkter

• Falcon Insight – slutpunktsdetektering och hantering (EDR)
  • Överträffa angriparen med omfattande insyn i vad som händer på dina slutpunkter, utökat till alla viktiga datakällor genom integrerad XDR. Se information om även de mest sofistikerade hoten, med fullständig kontext över flera domäner för att snabbt undersöka hot och informera om snabba, säkra åtgärder.
• Falcon Prevent - Nästa generations antivirus (NGAV)
  • Stoppa attacker med kraften i banbrytande artificiell intelligens (AI) och maskininlärning (ML) – från vanliga skadliga program till fillösa attacker och nolldagsattacker. Vår elithotinformation, branschens främsta attackindikatorer, skriptkontroll och avancerade minnesskanning upptäcker och blockerar skadliga beteenden tidigare i händelsekedjan.
• CrowdStrike Falcon Device Control – USB-enhetskontroll
  • Förbättra synligheten för användning och aktivitet av USB-enheter för att övervaka, proaktivt jaga och undersöka dataförlustincidenter genom omfattande användaraktivitetskontext, djup filsynlighet och automatisk källkodsidentifiering.
• Falcon-brandväggshantering – värdbrandväggskontroll
  • Försvara dig mot nätverkshot och få omedelbar synlighet för att förbättra skyddet och informera om åtgärder.
• Falcon för mobila enheter – mobil slutpunktsdetektering och respons
  • Skydda ditt företag mot mobila hot genom att utöka EDR och XDR till Android- och iOS-enheter.
• Falcon Forensics - Forensisk dataanalys
  • Automatisera insamling av kriminaltekniska data vid en viss tidpunkt och historisk data, samtidigt som du förstärker analytikernas expertis med omfattande instrumentpaneler och fullständig hotkontext för robust kriminalteknisk incidentanalys.

Säkerhets- och IT-drift

• CrowdStrike Falcon Discover
  • Ger insikt i din slutpunktsmiljö. Detta gör det möjligt för administratörer att visa program- och tillgångsinventeringsinformation i realtid och historisk information om program- och tillgångsinventarieförteckningar.
• CrowdStrike Falcon Overwatch
  • Innehåller funktioner för hothantering och e-postaviseringar dygnet runt från Falcon OverWatch-teamet så att du varnas inom några sekunder när det finns information om nya hot.
• CrowdStrike Falcon Spotlight
  • Erbjuder sårbarhetshantering genom att använda Falcon-sensorn för att leverera Microsoft-korrigeringsinformation eller aktiva sårbarheter för enheter med Falcon installerat och för närliggande enheter i nätverket.

Hotinformation

• CrowdStrike Falcon sökmotor
  • CrowdStrike Falcon MalQuery är ett avancerat, molnbaserat forskningsverktyg för skadlig programvara som gör det möjligt för säkerhetspersonal och forskare att snabbt söka i en enorm datauppsättning av prover på skadlig programvara, validera potentiella risker och ligga steget före potentiella angripare. Kärnan i Falcon MalQuery är en samling på flera petabyte med över 3,5 miljarder filer, indexerade av patentsökt teknik.
• CrowdStrike Falcon Sandbox
  • Möjliggör kontrollerad körning av skadlig programvara för att få detaljerade rapporter om hot som påträffats i din miljö samt insamling av ytterligare data om hotaktörer över hela världen.
• CrowdStrike Falcon-intelligens
  • Undersök incidenter automatiskt och accelerera varningshantering och svar. Den är inbyggd i Falcon-plattformen och är i drift på några sekunder.

Molnsäkerhetslösningar

• Falcon Cloud Workload Protection – för AWS, Azure och GCP
  • Falcon Cloud Security ger ett omfattande intrångsskydd för arbetsbelastningar, containrar och Kubernetes, vilket gör det möjligt för organisationer att bygga, köra och skydda molnbaserade applikationer snabbt och tryggt.
• Falcon Horizon – hantering av molnsäkerhetsställning (CSPM)
  • Falcon Cloud Security ger kontinuerlig agentlös upptäckt och synlighet av molnbaserade tillgångar från värden till molnet, vilket ger värdefull kontext och insikter om den övergripande säkerhetsställningen och de åtgärder som krävs för att förhindra potentiella säkerhetsincidenter.
• Behållarsäkerhet
  • Behållare har ändrat hur program byggs, testas och används, vilket gör att program kan distribueras och skalas till vilken miljö som helst direkt. I takt med att behållaranvändningen ökar uppstår de som en ny angreppsyta som saknar synlighet och exponerar organisationer.

Lösningar för identitetsskydd

• Hotidentifiering med Falcon-identitet (ITD)
  • CrowdStrike Falcon Identity Threat Detection – Ger djup insyn i identitetsbaserade incidenter och avvikelser i ett komplext hybrididentitetslandskap, jämför livetrafik med beteendebaslinjer och principer för att identifiera attacker och lateral förflyttning i realtid.
  • CrowdStrike Falcon Identity Threat Protection – Med hjälp av en enda sensor och ett enhetligt hotgränssnitt med attackkorrelation mellan slutpunkter, arbetsbelastningar och identiteter stoppar Falcon Identity Threat Protection identitetsdrivna intrång i realtid.

Dell och CrowdStrike kan inkludera CrowdStrike när du köper din Dell-enhet, eller så kan du köpa ett volymflexpaket. Mer information om vilka CrowdStrike-produkter som ingår finns i listan med Volume Flex-paket eller On-The-Box-erbjudanden (OTB).

Volym Flex-paket

• Falcon Pro
  • Falcon Prevent
  • Falcon kontrollerar och svarar
  • Standardsupport för CrowdStrike
• Falcon Enterprise
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Standardsupport för CrowdStrike
• Falcon Elite
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falk Upptäck
  • Falcon identitetsskydd
  • Standardsupport för CrowdStrike
• Valfria Falcon-moduler eller -tjänster
  • Falcon intelligens
  • Falcon-enhetskontroll
  • Falcon-brandväggshantering
  • Falcon OverWatch
  • Grundläggande support för CrowdStrike

On-The-Box-erbjudanden (OTB)

• Falcon slutpunktsskydd Pro OTB
  • Falcon Prevent
  • Falcon kontrollerar och svarar
  • Falcon-enhetskontroll
  • Grundläggande support för CrowdStrike
• Falcon Endpoint Protection OTB för företag
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falcon-enhetskontroll
  • Hotgraf för Falcon
  • Grundläggande support för CrowdStrike
• Falcon Endpoint Protection Pro och Dell Secured Component Verification on Cloud (SCV on Cloud), OTB-paket
  • Falcon Prevent
  • Falcon kontrollerar och svarar
  • Falcon-enhetskontroll
  • Grundläggande support för CrowdStrike
  • Dell säker komponentverifiering i molnet (SCV i molnet)

• Valfria Falcon-moduler eller -tjänster
  • Falcon kontrollerar och svarar
  • Falcon intelligens
  • Falcon Insight XDR/EDR
  • Falcon-brandväggshantering
  • Falcon OverWatch
  • Falk Upptäck
  • Falcon identitetsskydd
  • Hotgraf för Falcon

CrowdStrike är en agentbaserad sensor som kan installeras på operativsystemen Windows, Mac eller Linux för stationära datorer och serverplattformar. Plattformarna förlitar sig på en molnbaserad SaaS-lösning för att hantera principer, kontrollera rapportinformation samt hantera och åtgärda hot.

CrowdStrike kan analysera filer både offline och online vid försök att köra dem på slutpunkten. Det görs med hjälp av:

• Fördefinierade förebyggande hashvärden
• Beteendeindikatorer för attacker
• Kända skadliga program
• Riskhantering av trojaner och sårbarheter

Klicka på metoderna nedan om du vill ha mer information om dem.

Fördefinierade förebyggande hashvärden

Fördefinierade förebyggande hashvärden är listor med SHA256-hashvärden som är känt bra eller skadliga. De värden som definieras kan vara märkta som ”Blockera aldrig” eller ”Blockera alltid”.

SHA256-hashvärden som är definierade som ”Blockera aldrig” kan vara en lista över objekt från en tidigare antiviruslösning för interna branschspecifika program. Att importera en lista med fördefinierade hashvärden för interna program är den snabbaste metoden för att få tillgång till tillåtna filer i din miljö.

SHA256-hashvärden som är definierade som ”Blockera alltid” kan vara en lista över kända skadliga hashvärden som har funnits i din miljö tidigare eller som en betrodd tredje part tillhandahåller dig.

Förebyggande hashvärden måste inte laddas upp batchvis, och det går att ange manuellt definierade SHA256-hashvärden. När singular eller flera hashvärden tillhandahålls begärs information om dessa hashvärden från CrowdStrikes backend. Tilläggsinformation (t.ex. filnamn, leverantörsinformation, filversionsnummer) för dessa hashvärden (om de finns i din miljö på några enheter) fylls i baserat på information från din miljö.

Beteendeindikatorer för attacker

Alla objekt som definieras som en attack (baserat på dess beteende) indikeras normalt som sådana baserat på maskininlärningsvärdena. Det här kan ställas in för antingen sensorn eller molnet. CrowdStrikes Falcon-plattform använder en tvåstegsprocess för att identifiera hot med sin maskininlärningsmodell. Detta görs initialt på den lokala slutpunkten för omedelbar respons på ett potentiellt hot på slutpunkten. Hotet skickas sedan till molnet för en sekundär analys. Baserat på de förebyggande principer som definierats för enheten kan ytterligare åtgärder krävas på slutpunkten om molnanalysen skiljer sig från hotanalysen på den lokala sensorn.

Ytterligare indikatorer läggs ständigt till i produkten för att ge en säkrare identifiering av hot och oönskade program.

Kända skadliga program

CrowdStrikes centraliserade information ger brett spektrum av information om globala hot och hotaktörer. Listan används för att bygga in skydd mot olika säkerhetsrisker som redan har identifierats.

Riskhantering av trojaner och sårbarheter

Det kan finnas olika aktiva säkerhetsrisker i en miljö vid ett och samma tillfälle. Om en kritisk korrigeringsfil ännu inte har släppts för ett känt säkerhetsproblem som påverkar en miljö, övervakar CrowdStrike om det finns sårbarheter som utnyttjar sårbarheten och förhindrar och skyddar mot skadliga beteenden med hjälp av dessa sårbarheter.

En inbjudan från falcon@crowdstrike.com innehåller en aktiveringslänk för CrowdStrike Falcon-konsolen som gäller i 72 timmar. Efter 72 timmar uppmanas du att skicka en ny aktiveringslänk till ditt konto via en banderoll högst upp på sidan:

Kunder som har köpt CrowdStrike via Dell kan få support genom att kontakta Dell Data Security ProSupport. Mer information finns i Så får du support för CrowdStrike.

CrowdStrike Falcon Console kräver en RFC 6238 tidsbaserad engångslösenordsklient (TOTP) för åtkomst till tvåfaktorsautentisering (2FA).

Mer information finns i Konfigurera tvåfaktorsautentisering (2FA) för CrowdStrike Falcon Console.

CrowdStrike kan användas på olika Windows-, Mac- och Linux-operativsystem på serverplattformar och plattformar med stationära datorer. Alla enheter kommer att kommunicera till CrowdStrike Falcon-konsolen via HTTPS via port 443.

En fullständig kravlista finns i Systemkrav för CrowdStrike Falcon Sensor.

En genomgång av nerladdningsprocessen finns i Ladda ner CrowdStrike Falcon Sensor.

Administratörer kan läggas till i CrowdStrike Falcon-konsolen vid behov. Mer information finns i Identifiera CrowdStrike Falcon Sensor-version.

En underhållstoken kan användas för att skydda programvaran från obehörig borttagning och manipulering. Mer information finns i Hantera CrowdStrike Falcon Sensor underhållstoken.

CrowdStrike Falcon Sensor kan installeras på:

• Windows med hjälp av användargränssnittet (UI) eller kommandoradsgränssnitt (CLI)
• Mac via Terminal
• Linux via Terminal

En genomgång av installationsprocessen finns i Installera CrowdStrike Falcon Sensor.

I CrowdStrike används kund-ID (CID) för att koppla CrowdStrike Falcon Sensor till rätt CrowdStrike Falcon Console vid installationen.

CID finns i CrowdStrike Falcon Console (https://falcon.crowdstrike.com) genom att välja Värdkonfiguration och hantering och sedan Sensornedladdningar.

Mer information finns i Så här skaffar du CrowdStrike-kundidentifiering.

Du kan behöva CrowdStrike Falcon Sensor-versionen för att kunna:

• utvärdera systemkrav
• upptäcka kända problem
• förstå processändringar

Eftersom det inte finns något produktgränssnitt måste versionen identifieras via kommandoradsgränssnittet (Windows) eller Terminal (Mac/Linux).

En genomgång av kommandona finns i Hur hittar jag CrowdStrike Falcon Sensor-versionen?

En säker hash-algoritm (SHA)-256 kan användas i undantag för CrowdStrike Falcon Sensor. Mer information finns i Identifiera en fils SHA-256-hash för säkerhetsprogram.

Grundläggande driftloggar finns i:

• Windows
  • Microsofts Event Viewer-program
    • Programloggar
    • Systemloggar
• Mac
  • Systemloggen
• Linux
  • Varierar beroende på distribution, vanligtvis finns dessa på distributionens primära "loggplats".
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Mer information finns i Samla in CrowdStrike Falcon Sensor-loggar.

CrowdStrike Falcon Sensor kan avinstalleras i:

• Windows med hjälp av användargränssnittet (UI) eller kommandoradsgränssnitt (CLI)
• Mac via Terminal
• Linux via Terminal

Mer information finns i Avinstallera CrowdStrike Falcon Sensor.

CrowdStrike Falcon Sensor Uninstall Tool finns för nedladdning i CrowdStrike Falcon Console. Mer information finns i Ladda ner avinstallationsverktyget för CrowdStrike Falcon Sensor för Windows.

Ja! Även om det inte brukar rekommenderas att köra flera antiviruslösningar samtidigt har CrowdStrike testats med flera olika antivirusleverantörer och visat sig fungera utan att orsaka problem för användaren. Vanligtvis krävs inga undantag för CrowdStrike i de andra antivirusprogrammen.

Om det uppstår problem kan undantag läggas till i CrowdStrike Falcon Console (https://falcon.crowdstrike.com) genom att välja Configuration och sedan File Exclusions. Undantag för dessa ytterligare antivirusprogram kommer från antivirusleverantören från tredje part.

Många kompatibilitetsproblem i Windows med CrowdStrike och program från tredje part kan lösas genom att du ändrar hur CrowdStrike ska fungera i användarläge.

1. Logga in på CrowdStrike Falcon-konsolen.
2. Klicka på Endpoint Security och välj sedan Prevention Policies.

3. Klicka på ikonen Edit i önskad principgrupp.

4. Klicka på Sensorsynlighet Förbättrad synlighet.

5. Stäng av Additional User Mode Data (ytterligare data i användarläge).

6. Klicka här om du vill spara principändringarna.