Was ist die CrowdStrike Falcon-Plattform?

CrowdStrike enthält verschiedene Produktmodule, die eine Verbindung zu einer einzigen SaaS-Umgebung herstellen. Endpoint Security-Lösungen werden auf dem Endpunkt von einem einzigen Agent ausgeführt, der als CrowdStrike Falcon Sensor bezeichnet wird. Die Falcon-Plattform ist unterteilt in Endpoint Security Solutions, Security IT & Operations, Threat Intelligence, Cloud Security Solutions und Identity Protection Solutions. Weitere Informationen zu diesen Produkten finden Sie unten:

Endpoint Security-Lösungen

• Falcon Insight – Endpunkterkennung und -reaktion (EDR)
  • Mit umfassenden Einblicken in die Vorgänge an Ihren Endpunkten und durch integriertes XDR über alle wichtigen Datenquellen hinweg sind Sie dem Gegner einen Schritt voraus. Erkennen Sie die Details selbst der raffiniertesten Bedrohungen mit vollständigem bereichsübergreifendem Kontext, um Bedrohungen schnell zu untersuchen und schnelle, sichere Maßnahmen zu ergreifen.
• Falcon Prevent – Virenschutz der nächsten Generation (NGAV)
  • Stoppen Sie Angriffe mit der Leistungsfähigkeit modernster KI (künstlicher Intelligenz) und ML (maschinellem Lernen) – von handelsüblicher Malware bis hin zu dateilosen und Zero-Day-Angriffen. Unsere erstklassige Threat Intelligence, die branchenweit ersten Angriffsindikatoren, die Skriptkontrolle und das erweiterte Scannen des Arbeitsspeichers erkennen und blockieren bösartige Verhaltensweisen früher in der Angriffskette.
• CrowdStrike Falcon Device Control – USB-Gerätesteuerung
  • Verbessern Sie die Sichtbarkeit der Nutzung und Aktivität von USB-Geräten, um Datenverlustvorfälle durch umfassenden Nutzeraktivitätskontext, umfassende Dateitransparenz und automatische Quellcode-Identifizierung zu überwachen, proaktiv aufzuspüren und zu untersuchen.
• Falcon Firewall Management – Host-Firewall-Steuerung
  • Wehren Sie Netzwerkbedrohungen ab und gewinnen Sie sofortige Einblicke, um den Schutz zu verbessern und Maßnahmen zu planen.
• Falcon for Mobile – Mobile Endpunkterkennung und -reaktion
  • Schützen Sie Ihr Unternehmen vor mobilen Bedrohungen, indem Sie EDR und XDR auf Android- und iOS-Geräte erweitern.
• Falcon Forensics – Forensische Datenanalyse
  • Automatisieren Sie die Erfassung von Point-in-Time- und historischen forensischen Daten und ergänzen Sie das Fachwissen Ihrer AnalystInnen mit umfassenden Dashboards und vollständigem Bedrohungskontext für robuste forensische Incident-Analysen.

Sicherheit und IT-Betrieb

• Crowdstrike Falcon Discover
  • Bietet Einblicke in Ihre Endpunktumgebung. Auf diese Weise können Administratoren Echtzeit- und historische Anwendungs- und Ressourcenbestandsinformationen anzeigen.
• CrowdStrike Falcon OverWatch
  • Bietet eine rund um die Uhr verwaltete Bedrohungssuche und E-Mail-Benachrichtigung des Falcon OverWatch-Teams, die Administratoren innerhalb von Sekunden auf einen Indikator aufmerksam macht, der auf eine aufkommende Bedrohung hinweist.
• Crowdstrike Falcon Spotlight
  • Bietet Sicherheitslückenmanagement durch die Nutzung des Falcon Sensors, um Microsoft-Patchinformationen oder aktive Sicherheitslücken für Geräte mit installiertem Falcon und für Geräte in der Nähe im Netzwerk bereitzustellen.

Threat Intelligence

• CrowdStrike Falcon-Suchmaschine
  • CrowdStrike Falcon MalQuery ist ein erweitertes, Cloud-natives Malware-Forschungstool, das es Sicherheitsexperten und Forschern ermöglicht, schnell einen riesigen Datensatz von Malware-Samples zu durchsuchen, potenzielle Risiken zu validieren und potenziellen Angreifern einen Schritt voraus zu sein. Das Herzstück von Falcon MalQuery ist eine Multi-Petabyte-Sammlung von über 3,5 Milliarden Dateien, die durch zum Patent angemeldete Technologie indiziert sind.
• Crowdstrike Falcon Sandbox
  • Ermöglicht die kontrollierte Ausführung von Malware, um detaillierte Berichte über Bedrohungen bereitzustellen, die in Ihrer Umgebung beobachtet wurden, und um zusätzliche Daten zu Threat Actors/Hackern weltweit zu erfassen.
• CrowdStrike Falcon-Intelligenz
  • Untersuchen Sie Incidents automatisch und beschleunigen Sie die Triage und Reaktion auf Warnmeldungen. Es ist in die Falcon-Plattform integriert und in Sekundenschnelle einsatzbereit.

Cloud-Sicherheitslösungen

• Falcon Cloud Workload Protection – für AWS, Azure und GCP
  • Falcon Cloud Security bietet umfassenden Schutz vor Sicherheitsverletzungen für Workloads, Container und Kubernetes und ermöglicht es Unternehmen, Cloud-native Anwendungen schnell und zuverlässig zu erstellen, auszuführen und zu sichern.
• Falcon Horizon – Cloud Security Posture Management (CSPM)
  • Falcon Cloud Security bietet eine kontinuierliche agentenlose Erkennung und Sichtbarkeit von Cloud-nativen Ressourcen vom Host bis zur Cloud und liefert wertvollen Kontext und Einblicke in die allgemeine Sicherheitslage und die Maßnahmen, die erforderlich sind, um potenzielle Sicherheitsvorfälle zu verhindern.
• Containersicherheit
  • Container haben die Art und Weise verändert, wie Anwendungen erstellt, getestet und genutzt werden, sodass Anwendungen sofort bereitgestellt und auf jede Umgebung skaliert werden können. Mit zunehmender Akzeptanz von Containern stellen sie eine neue Angriffsfläche dar, der es an Transparenz mangelt und die Unternehmen entlarvt.

Lösungen für Identitätsschutz

• Falcon Identity Threat Detection (ITD)
  • CrowdStrike Falcon Identity Threat Detection – Bietet umfassende Einblicke in identitätsbasierte Vorfälle und Anomalien in einer komplexen hybriden Identitätslandschaft und vergleicht Live-Datenverkehr mit Verhaltensbaselines und -richtlinien, um Angriffe und laterale Bewegungen in Echtzeit zu erkennen.
  • CrowdStrike Falcon Identity Threat Protection – Mit einem einzigen Sensor und einer einheitlichen Bedrohungsschnittstelle mit Angriffskorrelation über Endpunkte, Workloads und Identitäten hinweg stoppt Falcon Identity Threat Protection identitätsgesteuerte Sicherheitsverletzungen in Echtzeit.

Dell und CrowdStrike können CrowdStrike beim Kauf Ihres Dell Geräts einschließen oder Sie können ein Volume Flex Bundle erwerben. Weitere Informationen darüber, welche CrowdStrike-Produkte enthalten sind, finden Sie in der Liste der Volume Flex Bundles oder OTB-Angebote (On-The-Box).

Volume-Flex-Bundles

• Falcon Pro
  • Falcon Prevent
  • Steuerung und Reaktion von Falcon
  • Standardsupport für CrowdStrike
• Falcon Enterprise
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Standardsupport für CrowdStrike
• Falcon Elite
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falcon Discover
  • Falcon Identitätsschutz
  • Standardsupport für CrowdStrike
• Optionale Falcon-Module oder -Services
  • Falcon Intelligence
  • Falcon-Gerätesteuerung
  • Falcon Firewall-Management
  • Falcon OverWatch
  • Grundlegender Support für CrowdStrike

On-the-Box-Angebote (OTB)

• Falcon Endpoint Protection Pro OTB
  • Falcon Prevent
  • Steuerung und Reaktion von Falcon
  • Falcon-Gerätesteuerung
  • Grundlegender Support für CrowdStrike
• Falcon Endpoint Protection Enterprise OTB
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falcon-Gerätesteuerung
  • Falcon-Bedrohungsdiagramm
  • Grundlegender Support für CrowdStrike
• Falcon Endpoint Protection Pro und Dell Secured Component Verification on Cloud (SCV on Cloud) Endpunkt-Bundle OTB
  • Falcon Prevent
  • Steuerung und Reaktion von Falcon
  • Falcon-Gerätesteuerung
  • Grundlegender Support für CrowdStrike
  • Dell Secured Component Verification in der Cloud (SCV in der Cloud)

• Optionale Falcon-Module oder -Services
  • Steuerung und Reaktion von Falcon
  • Falcon Intelligence
  • Falcon Insight XDR/EDR
  • Falcon Firewall-Management
  • Falcon OverWatch
  • Falcon Discover
  • Falcon Identitätsschutz
  • Falcon-Bedrohungsdiagramm

CrowdStrike ist ein agentenbasierter Sensor, der unter Windows, Mac oder Linux für Desktop- oder Serverplattformen installiert werden kann. Diese Plattformen basieren auf einer in der Cloud gehosteten SaaS-Lösung, über die Richtlinien gemanagt, Berichtsdaten gesteuert, Bedrohungen gemanagt und auf Bedrohungen reagiert wird.

CrowdStrike kann offline oder online arbeiten, um Dateien zu analysieren, während sie auf dem Endpunkt ausgeführt werden. Dies geschieht mithilfe von:

• Vordefinierte Prevention-Hashes
• Funktionsindikator für Angriffe
• Bekannte Malware
• Exploit Mitigation

Klicken Sie auf die entsprechende Methode für weitere Informationen.

Vordefinierte Prevention-Hashes

Vordefinierte Prevention-Hashes sind Listen von SHA256-Hashes, von denen bekannt ist, dass sie unschädliche oder schädlich sind. Die definierten Hashwerte können als „Never Block“ oder „Always Block“ markiert werden.

SHA256-Hashes, die als „Never Block“ definiert sind, können eine Liste von Elementen sein, die von einer früheren Anti-Virus-Lösung für interne Geschäftsanwendungen stammen. Der Import einer Liste mit vordefinierten Prevention-Hashes für interne Anwendungen ist die schnellste Methode, um zweifelsfrei funktionierende Dateien in Ihrer Umgebung zuzulassen.

SHA256-Hashes, die als „Always block“ definiert sind, können eine Liste bekannter schädlicher Hashes sein, die in Ihrer Umgebung in der Vergangenheit vorgefunden wurden, oder eine Liste, die Sie von einem vertrauenswürdigen Dritten erhalten haben.

Prevent-Hashes müssen nicht stapelweise hochgeladen werden und manuell definierte SHA256-Hashes können festgelegt werden. Wenn einzelne oder mehrere Hashes bereitgestellt werden, werden alle Details zu diesen Hashes vom CrowdStrike-Back-End angefragt. Zusatzinformationen (z. B. Dateinamen, Lieferanteninformationen, Dateiversionsnummern) für diese Hashes (wenn sie in Ihrer Umgebung auf Geräten vorhanden sind) werden basierend auf Informationen aus Ihrer Umgebung aufgefüllt.

Funktionsindikator für Angriffe

Jedes Element, das als Angriff definiert ist (basierend auf seinem Verhalten), wird in der Regel auf der Grundlage der Werte des maschinellen Lernens als solcher angezeigt. Dies kann entweder für den Sensor oder für die Cloud festgelegt werden. Die Falcon-Plattform von CrowdStrike nutzt einen zweistufigen Prozess zur Erkennung von Bedrohungen mit ihrem Machine Learning-Modell. Dies erfolgt zunächst am lokalen Endpunkt, um sofort auf eine potenzielle Bedrohung des Endpunkts zu reagieren. Diese Bedrohung wird zur sekundären Analyse in die Cloud gesendet. Basierend auf den für das Gerät definierten Präventionsrichtlinien kann der Endpunkt zusätzliche Maßnahmen erfordern, wenn die Cloud-Analyse von der Analyse der Bedrohung durch den lokalen Sensor abweicht.

Dem Produkt werden ständig zusätzliche Indikatoren hinzugefügt, um die Erkennung von Bedrohungen und potenziell unerwünschten Programmen zu verbessern.

Bekannte Malware

Die zentrale Intelligence von CrowdStrike bietet ein breites Spektrum an Informationen zu Bedrohungen und Threat Actors/Hackern, die weltweit gültig sind. Diese Liste wird genutzt, um Schutz vor bereits identifizierten Bedrohungen zu erhalten.

Exploit Mitigation

In einer Umgebung können gleichzeitig verschiedene Sicherheitsrisiken vorliegen. Wenn noch kein kritischer Patch für ein bekanntes Sicherheitsrisiko einer Umgebung veröffentlicht wurde, überwacht CrowdStrike die Umgebung in Bezug auf Angriffe über diesen Exploit und verhindert bösartiges Verhalten, das diesen Exploit nutzt.

Eine Einladung von falcon@crowdstrike.com enthält einen Aktivierungslink für die CrowdStrike Falcon Console, der 72 Stunden lang gültig ist. Nach 72 Stunden werden Sie aufgefordert, einen neuen Aktivierungslink über ein Banner oben auf der Seite erneut an Ihr Konto zu senden:

Kunden, die CrowdStrike über Dell erworben haben, erhalten möglicherweise Support, indem sie sich an den Dell Data Security ProSupport wenden. Weitere Informationen finden Sie in Support für CrowdStrike erhalten.

CrowdStrike Falcon-Konsole erfordert einen RFC 6238 TOTP-Client (Time-Based One-Time Password) für den Zugriff mit Zwei-Faktor-Authentifizierung (2FA).

Weitere Informationen zur Einrichtung finden Sie unter 2FA (Zwei-Faktor-Authentifizierung) für die CrowdStrike Falcon-Konsole konfigurieren.

CrowdStrike wird auf verschiedenen Windows-, Mac- und Linux-Betriebssystemen sowohl auf Desktop- als auch auf Server-Plattformen unterstützt. Alle Geräte kommunizieren mit der CrowdStrike Falcon Console per HTTPS über Port 443.

Eine vollständige Liste der Anforderungen finden Sie unter CrowdStrike Falcon Sensor System Requirements (Systemanforderungen für CrowdStrike Falcon Sensor).

Eine Anleitung zum Herunterladen finden Sie unter Anleitung zum Herunterladen des CrowdStrike Falcon Sensors.

Administratoren können bei Bedarf zur CrowdStrike Falcon-Konsole hinzugefügt werden. Weitere Informationen finden Sie unter CrowdStrike Falcon-Konsole-Administrator hinzufügen.

Mit einem Wartungs-Token kann Software davor geschützt werden, unbefugt entfernt oder manipuliert zu werden. Weitere Informationen finden Sie unter How to Manage the CrowdStrike Falcon Sensor Maintenance Token (Verwalten des CrowdStrike Falcon Sensor-Wartungs-Tokens).

CrowdStrike Falcon Sensor kann installiert werden auf:

• Windows über die Benutzeroberfläche (UI) oder die Befehlszeilenschnittstelle (CLI)
• Mac über das Terminal
• Linux über das Terminal

Einen Überblick über den Installationsprozess finden Sie unter How to Install CrowdStrike Falcon Sensor (Anleitung zur Installation von CrowdStrike Falcon Sensor).

CrowdStrike verwendet die CID (Kundenidentifikation), um CrowdStrike Falcon Sensor während der Installation der richtigen CrowdStrike Falcon-Konsole zuzuordnen.

Die CID befindet sich in der CrowdStrike Falcon Console (https://falcon.crowdstrike.com). Wählen Sie dazu Host setup and management und dann Sensor Downloads aus.

Weitere Informationen finden Sie unter So erhalten Sie die CrowdStrike-Kundenidentifikation.

Die CrowdStrike Falcon Sensor-Version kann erforderlich sein, um:

• Systemanforderungen überprüfen
• bekannte Probleme zu ermitteln
• Prozessänderungen zu verstehen

Da keine Produktbenutzeroberfläche verfügbar ist, muss die Version über die Befehlszeile (Windows) oder das Terminal (Mac und Linux) identifiziert werden.

Eine Anleitung zu diesen Befehlen finden Sie unter So identifizieren Sie die Version von CrowdStrike Falcon Sensor.

In CrowdStrike Falcon Sensor-Ausschlüssen kann ein sicherer Hash-Algorithmus (SHA)-256 verwendet werden. Weitere Informationen finden Sie unter Identifizieren des SHA-256-Hash einer Datei für Sicherheitsanwendungen.

Grundlegende Betriebsprotokolle werden gespeichert unter:

• Windows
  • Ereignisanzeigeanwendung von Microsoft
    • Anwendungsprotokolle
    • Systemprotokolle
• Mac
  • Systemprotokoll
• Linux
  • Abhängig von der Distribution, normalerweise liegen diese am primären „Protokoll-“Speicherort der Distribution.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Weitere Informationen finden Sie unter How to Collect CrowdStrike Falcon Sensor Logs (Anleitung zum Erfassen der Protokolle von CrowdStrike Falcon Sensor).

CrowdStrike Falcon Sensor kann durch Folgendes entfernt werden:

• Windows über die Benutzeroberfläche (UI) oder die Befehlszeilenschnittstelle (CLI)
• Mac über das Terminal
• Linux über das Terminal

Weitere Informationen finden Sie unter How to Uninstall CrowdStrike Falcon Sensor (Deinstallieren von CrowdStrike Falcon Sensor).

Sie können das Deinstallations-Tool des CrowdStrike Falcon-Sensors in der CrowdStrike Falcon-Konsole herunterladen. Weitere Informationen finden Sie unter So laden Sie das Deinstallations-Tool des CrowdStrike Falcon Sensors für Windows herunter.

Ja. Obwohl es normalerweise nicht empfohlen wird, mehrere Antiviren-Lösungen gleichzeitig auszuführen, wurde CrowdStrike problemlos mit mehreren Antiviren-Anbietern getestet. Für CrowdStrike mit zusätzlichen Antivirus-Anwendungen sind normalerweise keine Ausnahmen erforderlich.

Wenn Probleme auftreten, können in der CrowdStrike Falcon-Konsole (https://falcon.crowdstrike.com ) Ausnahmen hinzugefügt werden, indem Sie Configuration und dann File Exclusions wählen. Ausnahmen für diese zusätzlichen Virenschutzanwendungen erhalten Sie vom Drittanbieter des Virenschutzprogramms.

Viele Windows Kompatibilitätsprobleme, die bei CrowdStrike und Drittanbieteranwendungen auftreten, können durch Ändern der Funktionsweise von CrowdStrike im „User Mode“ behoben werden.

1. Melden Sie sich an der CrowdStrike Falcon-Konsole an.
2. Klicken Sie auf Endpoint Security und wählen Sie dann Prevention Policies aus.

3. Klicken Sie in der entsprechenden Richtliniengruppe auf das Symbol Edit.

4. Klicken Sie auf Sensorsichtbarkeit Verbesserte Sichtbarkeit.

5. Deaktivieren Sie Additional User Mode Data (zusätzliche Benutzermodusdaten).

6. Klicken Sie auf, um die Policy-Änderungen zu speichern .