Che cos è la piattaforma CrowdStrike Falcon

CrowdStrike dispone di vari moduli di prodotto che si connettono a un unico ambiente SaaS. Le soluzioni Endpoint Security vengono implementate sull'endpoint da un singolo agent, noto come CrowdStrike Falcon Sensor. La piattaforma Falcon è suddivisa in Endpoint Security Solutions, Security IT & Operations, Threat Intelligence, Cloud Security Solutions e Identity Protection Solutions. Ulteriori informazioni su questi prodotti sono disponibili di seguito:

Soluzioni per la sicurezza degli endpoint

• Falcon Insight - Endpoint Detection and Response (EDR)
  • Sconfiggi gli avversari con una visibilità completa su ciò che accade sugli endpoint, estesa a tutte le principali origini dati tramite XDR integrato. Visualizza i dettagli anche delle minacce più sofisticate, con un contesto cross-domain completo per indagare rapidamente sulle minacce e informare un'azione rapida e sicura.
• Falcon Prevent - Antivirus di nuova generazione (NGAV)
  • Blocca gli attacchi con la potenza dell'intelligenza artificiale (AI) e dell'apprendimento automatico (ML) all'avanguardia, dal malware di uso comune agli attacchi senza file e zero-day. La nostra esclusiva Threat Intelligence, gli indicatori di attacco leader del settore, il controllo degli script e la scansione avanzata della memoria rilevano e bloccano i comportamenti malevoli nelle prime fasi della kill chain.
• CrowdStrike Falcon Device Control - USB Device Control
  • Migliora la visibilità dell'uso e dell'attività dei dispositivi USB per monitorare, ricercare e indagare in modo proattivo sui casi di perdita di dati attraverso un contesto completo delle attività degli utenti, una visibilità approfondita dei file e l'identificazione automatica del codice sorgente.
• Falcon Firewall Management - Controllo Host Firewall
  • Difenditi dalle minacce della rete e ottieni visibilità immediata per migliorare la protezione e intervenire in modo mirato.
• Falcon per dispositivi mobili - Mobile Endpoint Detection and Response
  • Difendi il tuo business dalle minacce mobili estendendo EDR e XDR ai dispositivi Android e iOS.
• Falcon Forensics - Analisi dei dati forensi
  • Automatizza la data collection forense point-in-time e cronologica, aumentando al contempo le competenze degli analisti con dashboard completi e contesto completo delle minacce per una solida analisi forense degli incidenti.

Sicurezza e operazioni IT

• CrowdStrike Falcon Discover
  • Fornisce informazioni dettagliate sull'ambiente degli endpoint. Ciò consente agli amministratori di visualizzare le informazioni cronologiche e in tempo reale relative all'inventario degli asset e delle applicazioni.
• CrowdStrike Falcon OverWatch
  • Fornisce funzionalità continue di threat hunting gestito e notifica tramite e-mail da parte del team Falcon OverWatch, per avvisare in pochi istanti gli amministratori in caso di un indicatore di possibile minaccia emergente.
• CrowdStrike Falcon Spotlight
  • Offre gestione delle vulnerabilità sfruttando il sensore Falcon per fornire informazioni sulle patch di Microsoft o sulle vulnerabilità attive per i dispositivi in cui è installato Falcon e per i dispositivi in prossimità sulla rete.

Funzionalità di intelligence contro le minacce

• Motore di ricerca CrowdStrike Falcon
  • CrowdStrike Falcon MalQuery è uno strumento di ricerca malware avanzato e nativo per il cloud che consente ai professionisti della sicurezza e ai ricercatori di cercare rapidamente in un enorme dataset di campioni di malware, convalidando i potenziali rischi e anticipando i potenziali autori di attacchi. Al centro di Falcon MalQuery c'è una raccolta multi-petabyte di oltre 3,5 miliardi di file, indicizzati da una tecnologia in attesa di brevetto.
• CrowdStrike Falcon Sandbox
  • Consente l'esecuzione di malware controllato per fornire report dettagliati sulle minacce individuate all'interno dell'ambiente e raccogliere dati aggiuntivi sugli attori delle minacce in tutto il mondo.
• CrowdStrike Falcon Intelligence
  • Analizza automaticamente gli incidenti e accelera la valutazione e la risposta agli avvisi. Integrato nella piattaforma Falcon, è operativo in pochi secondi.

Soluzioni per la sicurezza del cloud

• Protezione dei carichi di lavoro Falcon Cloud - per AWS, Azure e GCP
  • Falcon Cloud Security offre una protezione completa dalle violazioni per carichi di lavoro, container e Kubernetes, consentendo alle organizzazioni di creare, eseguire e proteggere le applicazioni native per il cloud in modo rapido e sicuro.
• Falcon Horizon - Cloud Security Posture Management (CSPM)
  • Falcon Cloud Security offre rilevamento e visibilità continui senza agenti delle risorse native per il cloud dall'host al cloud, fornendo contesto e informazioni preziose sul livello di sicurezza complessivo e sulle azioni necessarie per prevenire potenziali incidenti di sicurezza.
• Sicurezza dei container
  • I container hanno cambiato il modo in cui le applicazioni vengono create, testate e utilizzate, consentendo il deployment e la scalabilità istantanee delle applicazioni in qualsiasi ambiente. Con l'aumento dell'adozione dei container, questi emergono come una nuova superficie di attacco che manca di visibilità ed espone le organizzazioni.

Soluzioni di protezione dell'identità

• ITD (Identity Threat Detection) Falcon
  • CrowdStrike Falcon Identity Threat Detection : fornisce una visibilità approfondita sugli incidenti e sulle anomalie basati sull'identità in un complesso panorama di identità ibride, confrontando il traffico in tempo reale con le baseline e le policy del comportamento per rilevare gli attacchi e il movimento laterale in tempo reale.
  • CrowdStrike Falcon Identity Threat Protection: grazie all'utilizzo di un singolo sensore e di un'interfaccia unificata per la correlazione degli attacchi tra endpoint, carichi di lavoro e identità, Falcon Identity Threat Protection blocca le violazioni basate sulle identità in tempo reale.

Dell e CrowdStrike possono includere CrowdStrike con l'acquisto del dispositivo Dell oppure è possibile acquistare un pacchetto Volume Flex. Per ulteriori informazioni sui prodotti CrowdStrike inclusi, consultare l'elenco dei pacchetti Volume Flex o delle offerte On-The-Box (OTB).

Pacchetti Volume Flex

• Falcon Pro
  • Prevenzione dei falchi
  • Controllo e risposta Falcon
  • Supporto standard CrowdStrike
• Falcon Enterprise
  • Prevenzione dei falchi
  • Falcon Insight XDR/EDR
  • Supporto standard CrowdStrike
• Falcon d'élite
  • Prevenzione dei falchi
  • Falcon Insight XDR/EDR
  • Scoperta del falco
  • Protezione dell'identità Falcon
  • Supporto standard CrowdStrike
• Moduli o servizi Falcon opzionali
  • Intelligenza Falcon
  • Controllo dispositivi Falcon
  • Gestione del firewall Falcon
  • Sorveglia del falco
  • Supporto di CrowdStrike Essential

Offerte on-the-box (OTB)

• Falcon Endpoint Protection Pro OTB
  • Prevenzione dei falchi
  • Controllo e risposta Falcon
  • Controllo dispositivi Falcon
  • Supporto di CrowdStrike Essential
• Falcon Endpoint Protection Enterprise OTB
  • Prevenzione dei falchi
  • Falcon Insight XDR/EDR
  • Controllo dispositivi Falcon
  • Grafico delle minacce Falcon
  • Supporto di CrowdStrike Essential
• Falcon Endpoint Protection Pro e Dell Secured Component Verification on Cloud (SCV on Cloud) Endpoint Bundle, OTB
  • Prevenzione dei falchi
  • Controllo e risposta Falcon
  • Controllo dispositivi Falcon
  • Supporto di CrowdStrike Essential
  • Verifica dei componenti protetti Dell sul cloud (SCV on Cloud)

• Moduli o servizi Falcon opzionali
  • Controllo e risposta Falcon
  • Intelligenza Falcon
  • Falcon Insight XDR/EDR
  • Gestione del firewall Falcon
  • Sorveglia del falco
  • Scoperta del falco
  • Protezione dell'identità Falcon
  • Grafico delle minacce Falcon

CrowdStrike è un sensore basato su agent che può essere installato sui sistemi operativi Windows, Mac o Linux per piattaforme desktop o server. Queste piattaforme si avvalgono di una soluzione SaaS in hosting su cloud per gestire le policy, controllare i dati di reporting, gestire e contrastare le minacce.

CrowdStrike può operare offline e online, in modo da analizzare i file nel momento in cui ne viene tentata l'esecuzione sull'endpoint. Questa operazione viene eseguita utilizzando:

• Hash di prevenzione predefiniti
• Indicatore comportamentale di attacchi
• Known Malware
• Mitigazione degli exploit

Per maggiori informazioni, cliccare sul metodo appropriato.

Hash di prevenzione predefiniti

Gli hash di prevenzione predefiniti sono elenchi di hash SHA256 notoriamente sicuri o non sicuri. Gli hash definiti possono essere contrassegnati con Never Block o Always Block.

Gli hash SHA256 definiti con Never Block possono essere un elenco di elementi derivati da una soluzione antivirus precedente per le applicazioni interne della linea aziendale. L'importazione di un elenco di hash di prevenzione predefiniti per le applicazioni interne rappresenta il metodo più rapido per creare una allowlist dei file notoriamente sicuri nel proprio ambiente.

Gli hash SHA256 definiti con Always Block possono essere un elenco di hash notoriamente malevoli individuati in passato nel proprio ambiente o forniti da una terza parte affidabile.

Gli hash di prevenzione non devono essere caricati in batch ed è possibile impostare hash SHA256 definiti manualmente. Quando vengono forniti uno o più hash, i dettagli dell'hash vengono richiesti al back-end di CrowdStrike. Sulla base delle informazioni ricevute dal proprio ambiente, verranno fornite informazioni ausiliarie (nomi dei file, informazioni sul fornitore, numeri di versione dei file) relative agli hash (se presenti nell'ambiente su qualsiasi dispositivo).

Indicatore comportamentale di attacchi

Qualsiasi elemento definito come attacco (in base al suo comportamento) è in genere indicato come tale sulla base dei valori di apprendimento automatico. Questo comportamento può essere impostata per il sensore o per il cloud. La piattaforma CrowdStrike Falcon si avvale di un processo in due fasi per identificare le minacce mediante il proprio modello di apprendimento automatico. Questa operazione avviene in primo luogo sull'endpoint locale per dare risposta immediata a una potenziale minaccia sull'endpoint. Questa minaccia viene quindi inviata al cloud per un'analisi secondaria. In base alle policy di prevenzione definite per il dispositivo, potrebbe essere richiesta un'ulteriore azione da parte dell'endpoint nel caso in cui l'analisi del cloud differisca da quella eseguita dal sensore locale.

Ulteriori indicatori vengono costantemente aggiunti al prodotto per rafforzare il rilevamento delle minacce e dei programmi potenzialmente indesiderati.

Known Malware

L'intelligence centralizzata di CrowdStrike offre un'ampia gamma di informazioni sulle minacce e sugli attori delle minacce che operano in tutto il mondo. Questo elenco viene utilizzato per realizzare strumenti di protezione contro le minacce già identificate.

Mitigazione degli exploit

In un ambiente possono essere attive più vulnerabilità contemporaneamente. Se per una vulnerabilità nota che influisce su un ambiente non è stata ancora rilasciata una patch critica, CrowdStrike monitora l'ambiente per verificare la presenza di eventuali exploit di tale vulnerabilità, offrendo prevenzione e protezione contro i comportamenti malevoli che utilizzano tali exploit.

L'invito inviato da falcon@crowdstrike.com contiene un link per l'attivazione di CrowdStrike Falcon Console valido 72 ore. Allo scadere delle 72 ore, verrà visualizzata la richiesta per l'invio di un nuovo link di attivazione al proprio account tramite un banner nella parte superiore della pagina:

Per ottenere il supporto, i clienti che hanno acquistato CrowdStrike tramite Dell possono contattare Dell Data Security ProSupport. Per ulteriori informazioni, fare riferimento a Come ottenere il supporto per CrowdStrike.

CrowdStrike Falcon Console richiede un client RFC 6238 TOTP (Time-Based One-Time Password) per l'accesso tramite 2FA (autenticazione a due fattori).

Per informazioni sull'installazione, consultare Come configurare l'autenticazione a due fattori per CrowdStrike Falcon Console.

CrowdStrike è supportato su vari sistemi operativi Windows, Mac e Linux su piattaforme desktop e server. Tutti i dispositivi comunicheranno con CrowdStrike Falcon Console tramite HTTPS sulla porta 443.

Per un elenco completo dei requisiti, consultare Requisiti di sistema di CrowdStrike Falcon Sensor (in inglese).

Per la procedura dettagliata sul processo di download, consultare Come scaricare il sensore CrowdStrike Falco.

È possibile aggiungere amministratori a CrowdStrike Falcon Console in base alle esigenze. Per ulteriori informazioni, fare riferimento a Come aggiungere amministratori a CrowdStrike Falcon Console (in inglese).

Per proteggere il software da rimozione e manomissioni non autorizzate, è possibile utilizzare un token di manutenzione. Per ulteriori informazioni, consultare Come gestire il token di manutenzione di CrowdStrike Falcon Sensor (in inglese).

Falcon CrowdStrike Sensor può essere installato in:

• Windows tramite l'interfaccia utente (UI) o l'interfaccia della riga di comando (CLI)
• Mac tramite Terminale
• Linux tramite Terminale

Per la procedura dettagliata sul processo di installazione, consultare Come installare CrowdStrike Falcon Sensor.

CrowdStrike utilizza il CID (Customer Identification) per associare CrowdStrike Falcon Sensor a CrowdStrike Falcon Console corretta durante l'installazione.

Il CID si trova all'interno di CrowdStrike Falcon Console (https://falcon.crowdstrike.com) selezionando Host setup and management e quindi Sensor Downloads.

Per ulteriori informazioni, consultare Come ottenere l'identificazione del cliente CrowdStrike.

La versione di CrowdStrike Falcon Sensor potrebbe essere necessaria per:

• Convalidare i requisiti di sistema
• Identificare i problemi noti
• Comprendere le modifiche dei processi

Poiché non è disponibile alcuna interfaccia utente del prodotto, la versione deve essere identificata tramite riga di comando (Windows) o Terminale (Mac e Linux).

Per informazioni dettagliate su questi comandi, consultare Come identificare la versione del sensore CrowdStrike Falcon.

È possibile utilizzare un algoritmo Secure Hash Algorithm (SHA)-256 nelle esclusioni di CrowdStrike Falcon Sensor. Per ulteriori informazioni, consultare Come identificare l'hash SHA-256 di un file per le applicazioni di sicurezza.

I registri operativi di base vengono memorizzati come segue:

• Windows
  • Applicazione Visualizzatore eventi di Microsoft
    • Registri delle applicazioni
    • Registri di sistema
• Mac
  • Registro di sistema
• Linux
  • Varia a seconda della distribuzione. Generalmente, i registri si trovano nel percorso "log" principale della distribuzione.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Per ulteriori informazioni, consultare Come raccogliere i registri di CrowdStrike Falcon Sensor.

CrowdStrike Falcon Sensor può essere rimosso da:

• Windows tramite l'interfaccia utente (UI) o l'interfaccia della riga di comando (CLI)
• Mac tramite Terminale
• Linux tramite Terminale

Per ulteriori informazioni, consultare Come disinstallare CrowdStrike Falcon Sensor.

Lo strumento di disinstallazione di CrowdStrike Falcon Sensor è disponibile per il download all'interno di CrowdStrike Falcon Console. Per ulteriori informazioni, fare riferimento a Come scaricare lo strumento di disinstallazione di CrowdStrike Falcon Sensor per Windows.

Sì. Anche se non è in genere consigliabile eseguire più soluzioni antivirus, CrowdStrike è testato con gli antivirus di più fornitori dimostrando di non causare problemi agli utenti finali. Non sono in genere necessarie esclusioni quando si utilizza CrowdStrike con altre applicazioni antivirus.

In caso di problemi, è possibile aggiungere esclusioni in CrowdStrike Falcon Console (https://falcon.crowdstrike.com) selezionando Configuration e quindi File Exclusions. Le esclusioni per queste ulteriori applicazioni antivirus provengono solitamente dai fornitori terzi di antivirus.

Molti problemi di compatibilità di Windows osservati con CrowdStrike e applicazioni di terze parti possono essere risolti modificando il funzionamento di CrowdStrike in modalità utente.

1. Accedere a CrowdStrike Falcon Console.
2. Cliccare su Endpoint Security e selezionare Prevention Policies.

3. Cliccare sull'icona Edit relativa al gruppo di policy appropriato.

4. Cliccare su Sensor Visibility Visibilità migliorata.

5. Disattivare Additional User Mode Data.

6. Cliccare su Save the policy changes.