Що таке платформа CrowdStrike Falcon

CrowdStrike містить різні модулі продукту, які підключаються до єдиного SaaS-середовища. Рішення для безпеки кінцевих точок впроваджуються на кінцевій точці одним агентом, відомим як CrowdStrike Falcon Sensor. Платформа Falcon поділяється на рішення для безпеки кінцевих точок, ІТ та операції з безпеки, аналіз загроз, хмарні рішення безпеки та рішення для захисту особистих даних. Більш детальна інформація про ці продукти наведена нижче:

Рішення для захисту кінцевих точок

• Falcon Insight - виявлення та реагування на кінцеві точки (EDR)
  • Випереджайте супротивника завдяки повній видимості того, що відбувається на ваших кінцевих точках, розширеній на всі ключові джерела даних за допомогою інтегрованого XDR. Переглядайте детальну інформацію навіть про найскладніші загрози з повним міждоменним контекстом, щоб швидко досліджувати загрози та інформувати про швидкі та впевнені дії.
• Falcon Prevent - антивірус нового покоління (NGAV)
  • Зупиніть атаки за допомогою передових технологій штучного інтелекту (AI) і машинного навчання (ML) – від шкідливого програмного забезпечення до безфайлових атак і атак нульового дня. Наша елітна розвідка загроз, перші в галузі індикатори атак, контроль сценаріїв і розширене сканування пам'яті виявляють і блокують зловмисну поведінку на ранніх стадіях ланцюжка аварійних відключень.
• CrowdStrike Falcon Device Control - Контроль USB-пристроїв
  • Покращуйте видимість використання та активності USB-пристроїв для моніторингу, проактивного пошуку та розслідування інцидентів втрати даних за допомогою всебічного контексту активності користувача, глибокої видимості файлів та автоматичної ідентифікації вихідного коду.
• Falcon Firewall Management - Управління брандмауером хоста
  • Захищайтеся від мережевих загроз і отримуйте миттєву видимість, щоб посилити захист та інформувати про дії.
• Falcon for Mobile - виявлення та реагування на мобільні кінцеві точки
  • Захистіть свій бізнес від мобільних загроз, поширивши EDR і XDR на пристрої Android та iOS.
• Falcon Forensics - Аналіз криміналістичних даних
  • Автоматизуйте збір криміналістичних даних за певний момент часу та за минулі періоди, одночасно доповнюючи досвід аналітиків за допомогою комплексних інформаційних панелей і повного контексту загроз для надійного аналізу криміналістичних інцидентів.

Безпека та ІТ-операції

• Знайомство з CrowdStrike Falcon
  • Надає уявлення про середовище кінцевих точок. Це дозволяє адміністраторам переглядати в режимі реального часу та історичну інформацію про інвентаризацію додатків та активів.
• CrowdStrike Falcon OverWatch
  • Забезпечує цілодобовий керований пошук загроз і сповіщення електронною поштою від команди Falcon OverWatch, сповіщаючи адміністраторів за лічені хвилини після індикатора про те, що існує нова загроза.
• CrowdStrike Falcon у центрі уваги
  • Пропонує керування вразливостями за допомогою датчика Falcon Sensor для надання інформації про виправлення корпорації Майкрософт або активних вразливостей для пристроїв із встановленим Falcon і для пристроїв поблизу в мережі.

Розвідка загроз

• Пошукова система CrowdStrike Falcon
  • CrowdStrike Falcon MalQuery — це передовий хмарний інструмент дослідження шкідливого програмного забезпечення, який дозволяє фахівцям з безпеки та дослідникам швидко шукати величезний набір даних зразків шкідливого програмного забезпечення, перевіряючи потенційні ризики та випереджаючи потенційних зловмисників. В основі Falcon MalQuery лежить багатопетабайтна колекція з понад 3,5 мільярдів файлів, проіндексованих за технологією, що очікує на патент.
• CrowdStrike Falcon Пісочниця
  • Дозволяє контролювати виконання зловмисного програмного забезпечення, щоб надавати детальні звіти про загрози, які були помічені у вашому середовищі, і збирати додаткові дані про зловмисників у всьому світі.
• CrowdStrike Falcon Intelligence
  • Автоматично розслідуйте інциденти та прискорюйте сортування та реагування на сповіщення. Вбудований в платформу Falcon, він працює за лічені секунди.

Хмарні рішення для безпеки

• Falcon Cloud Workload Protection - для AWS, Azure та GCP
  • Falcon Cloud Security забезпечує комплексний захист від злому робочих навантажень, контейнерів і Kubernetes, дозволяючи організаціям швидко та впевнено створювати, запускати та захищати хмарні додатки.
• Falcon Horizon - Управління хмарною безпекою (CSPM)
  • Falcon Cloud Security забезпечує безперервне безагентне виявлення та видимість хмарних активів від хоста до хмари, надаючи цінний контекст та інформацію про загальний стан безпеки та дії, необхідні для запобігання потенційним інцидентам безпеки.
• Безпека контейнерів
  • Контейнери змінили спосіб створення, тестування та використання програм, що дозволило миттєво розгортати та масштабувати програми в будь-якому середовищі. У міру того, як використання контейнерів зростає, вони з'являються як нова поверхня атаки, якій не вистачає видимості та наражає на небезпеку організації.

Рішення для захисту особистих даних

• Виявлення загрози ідентифікації Falcon (ITD)
  • CrowdStrike Falcon Identity Threat Detection - забезпечує глибоку видимість інцидентів та аномалій, пов'язаних з ідентифікацією, у складному гібридному ландшафті ідентифікації, порівнюючи трафік у реальному часі з базовими лініями поведінки та політиками для виявлення атак та бічного руху в режимі реального часу.
  • CrowdStrike Falcon Identity Threat Protection - Використовуючи єдиний датчик та уніфікований інтерфейс загроз із кореляцією атак між кінцевими точками, робочими навантаженнями та ідентифікацією, Falcon Identity Threat Protection зупиняє витоки на основі ідентифікації в режимі реального часу.

Dell і CrowdStrike можуть включати CrowdStrike при покупці вашого пристрою Dell, або ви можете придбати пакет volume flex. Для отримання додаткової інформації про те, які продукти CrowdStrike включені, зверніться до списку пакетів Volume Flex або пропозицій On-The-Box (OTB).

Пакети Volume Flex

• Сокіл Про
  • Сокіл Профілактика
  • Falcon Control and Respond
  • Стандартна підтримка CrowdStrike
• Підприємство «Сокіл»
  • Сокіл Профілактика
  • Falcon Insight XDR/EDR
  • Стандартна підтримка CrowdStrike
• Сокіл Еліт
  • Сокіл Профілактика
  • Falcon Insight XDR/EDR
  • Відкрийте для себе сокола
  • Захист особистості Falcon
  • Стандартна підтримка CrowdStrike
• Додаткові модулі або послуги Falcon
  • Соколиний інтелект
  • Управління пристроєм Falcon
  • Управління брандмауером Falcon
  • Сокіл OverWatch
  • Базова підтримка CrowdStrike

Пропозиції On-the-Box (OTB)

• Falcon Endpoint Protection Pro OTB
  • Сокіл Профілактика
  • Falcon Control and Respond
  • Управління пристроєм Falcon
  • Базова підтримка CrowdStrike
• Falcon Endpoint Protection Enterprise OTB
  • Сокіл Профілактика
  • Falcon Insight XDR/EDR
  • Управління пристроєм Falcon
  • Графік загроз Falcon
  • Базова підтримка CrowdStrike
• Falcon Endpoint Protection Pro та Dell Secured Component Verification on Cloud (SCV on Cloud) Endpoint Bundle OTB
  • Сокіл Профілактика
  • Falcon Control and Respond
  • Управління пристроєм Falcon
  • Базова підтримка CrowdStrike
  • Безпечна перевірка компонентів Dell у хмарі (SCV у хмарі)

• Додаткові модулі або послуги Falcon
  • Falcon Control and Respond
  • Соколиний інтелект
  • Falcon Insight XDR/EDR
  • Управління брандмауером Falcon
  • Сокіл OverWatch
  • Відкрийте для себе сокола
  • Захист особистості Falcon
  • Графік загроз Falcon

CrowdStrike – це агентний датчик, який можна встановити на операційні системи Windows, Mac або Linux для настільних або серверних платформ. Ці платформи покладаються на хмарне SaaS-рішення для управління політиками, контролю даних звітності, управління загрозами та реагування на них.

CrowdStrike може працювати офлайн або онлайн для аналізу файлів, коли вони намагаються запуститися на кінцевій точці. Робиться це за допомогою:

• Попередньо визначені хеші запобігання
• Поведінковий індикатор атак
• Відоме шкідливе програмне забезпечення
• Пом'якшення наслідків експлойтів

Виберіть відповідний метод, щоб дізнатися більше.

Попередньо визначені хеші запобігання

Попередньо визначені хеші запобігання — це списки хешів SHA256, які, як відомо, є хорошими чи поганими. Визначені хеші можуть бути позначені як «Ніколи не блокувати» або «Завжди блокувати».

Хеші SHA256, визначені як «Ніколи не блокувати», можуть бути списком елементів, отриманих із попереднього антивірусного рішення для внутрішніх бізнес-додатків. Імпорт списку попередньо визначених хешів запобігання для внутрішніх програм є найшвидшим способом додати до білого списку відомі хороші файли у вашому середовищі.

Хеші SHA256, визначені як «Завжди блокувати», можуть бути списком відомих шкідливих хешів, які ваше середовище бачило в минулому або які надаються вам довіреною третьою стороною.

Запобігати хешуванню не потрібно завантажувати пакетами, і можна встановити вручну визначені хеші SHA256. Коли надаються одиничні або кілька хешів, будь-яка детальна інформація про ці хеші запитується з бекенду CrowdStrike. Допоміжна інформація (наприклад, імена файлів, інформація про постачальника, номери версій файлу) для цих хешів (якщо вони присутні у вашому середовищі на будь-яких пристроях) заповнюється на основі інформації з вашого середовища.

Поведінковий індикатор атак

Будь-який елемент, визначений як атака (на основі його поведінки), зазвичай позначається як такий на основі значень машинного навчання. Це можна встановити як для датчика, так і для хмари. Платформа Falcon від CrowdStrike використовує двоетапний процес виявлення загроз за допомогою своєї моделі машинного навчання. Спочатку це робиться на локальній кінцевій точці для негайного реагування на потенційну загрозу на кінцевій точці. Потім ця загроза відправляється в хмару для вторинного аналізу. Виходячи з політик запобігання, визначених для пристрою, кінцева точка може вимагати додаткових дій, якщо хмарний аналіз відрізняється від аналізу загрози локальним датчиком.

У продукт постійно додається більше індикаторів, щоб посилити виявлення загроз і потенційно небажаних програм.

Відоме шкідливе програмне забезпечення

Централізована розвідка CrowdStrike пропонує широкий спектр інформації про загрози та суб'єктів загроз, які працюють по всьому світу. Цей список використовується для вбудовування захисту від загроз, які вже були виявлені.

Пом'якшення наслідків експлойтів

Різні вразливості можуть бути активні в середовищі в будь-який час. Якщо критичний патч ще не випущений для відомої вразливості, яка впливає на середовище, CrowdStrike відстежує експлойти проти цієї вразливості та запобігає та захищає від зловмисної поведінки з використанням цих експлойтів.

Запрошення від falcon@crowdstrike.com містить посилання для активації консолі CrowdStrike Falcon, яке діє протягом 72 годин. Через 72 години вам буде запропоновано повторно надіслати нове посилання для активації до вашого облікового запису банером у верхній частині сторінки:

Клієнти, які придбали CrowdStrike через Dell, можуть отримати підтримку, звернувшись до Dell Data Security ProSupport. Для отримання додаткової інформації перегляньте статтю Як отримати підтримку CrowdStrike.

CrowdStrike Falcon Console вимагає клієнта RFC 6238 Time-Based One-Time Password (TOTP) для доступу до двофакторної автентифікації (2FA).

Для отримання інформації про налаштування перегляньте статтю Як налаштувати двофакторну автентифікацію (2FA) для консолі CrowdStrike Falcon.

CrowdStrike підтримується на різних операційних системах Windows, Mac та Linux як на настільних, так і на серверних платформах. Всі пристрої будуть обмінюватися даними з консоллю CrowdStrike Falcon через HTTPS через порт 443.

Щоб отримати повний список вимог, зверніться до CrowdStrike Falcon Sensor System Requirements.

Покрокове керівництво по процесу завантаження можна знайти в статті Як завантажити датчик CrowdStrike Falcon.

Адміністратори можуть бути додані до консолі CrowdStrike Falcon за потреби. Для отримання додаткової інформації перегляньте статтю Як додати адміністраторів консолі CrowdStrike Falcon.

Маркер обслуговування може використовуватися для захисту програмного забезпечення від несанкціонованого видалення та фальсифікації. Для отримання додаткової інформації перегляньте статтю Як керувати токеном обслуговування датчика CrowdStrike Falcon.

Датчик CrowdStrike Falcon можна встановити на:

• Windows за інтерфейсом користувача (UI) або інтерфейсом командного рядка (CLI)
• Mac за терміналом
• Linux за допомогою терміналу

Покрокове керівництво щодо процесу встановлення наведено в статті Як встановити датчик CrowdStrike Falcon.

CrowdStrike використовує ідентифікацію клієнта (CID) для зв'язування датчика CrowdStrike Falcon з відповідною консоллю CrowdStrike Falcon під час встановлення.

CID знаходиться в консолі CrowdStrike Falcon (https://falcon.crowdstrike.com), вибравши Host setup and management , а потім Sensor Downloads.

Для отримання додаткової інформації перегляньте статтю Як отримати ідентифікацію клієнта CrowdStrike.

Версія CrowdStrike Falcon Sensor може знадобитися для:

• Перевірка системних вимог
• Визначте відомі проблеми
• Про зміни в процесах

Оскільки інтерфейс користувача продукту недоступний, його версію потрібно ідентифікувати за допомогою командного рядка (Windows) або терміналу (Mac і Linux).

Щоб ознайомитися з цими командами, перегляньте статтю Як визначити версію датчика CrowdStrike Falcon.

Безпечний алгоритм хешування (SHA)-256 може бути використаний у виключеннях CrowdStrike Falcon Sensor. Для отримання додаткової інформації перегляньте статтю Як визначити хеш файлу SHA-256 для програм безпеки.

Основні операційні журнали зберігаються в:

• Вікна
  • Програма Microsoft Event Viewer
    • Журнали додатків
    • Системні журнали
• Комп'ютер Mac
  • Системний журнал
• Лінукс
  • Залежить від дистрибутиву, зазвичай, вони присутні у первинному розташуванні «журналу» дистрибутива.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Для отримання додаткової інформації перегляньте статтю Як збирати журнали датчиків CrowdStrike Falcon.

Датчик CrowdStrike Falcon можна видалити на:

• Windows за інтерфейсом користувача (UI) або інтерфейсом командного рядка (CLI)
• Mac за терміналом
• Linux за допомогою терміналу

Для отримання додаткової інформації перегляньте статтю Як видалити датчик CrowdStrike Falcon.

CrowdStrike Falcon Sensor Uninstall Tool доступний для завантаження в консолі CrowdStrike Falcon. Для отримання додаткової інформації перегляньте статтю Як завантажити інструмент видалення Windows CrowdStrike Falcon Sensor.

Так! Незважаючи на те, що зазвичай не рекомендується запускати кілька антивірусних рішень, CrowdStrike протестована кількома постачальниками антивірусів і виявилася багатошаровою, не викликаючи проблем з кінцевим користувачем. Виключення, як правило, не є обов'язковими для CrowdStrike з додатковими антивірусними додатками.

Якщо виникнуть проблеми, виключення можна додати до консолі CrowdStrike Falcon (https://falcon.crowdstrike.com), вибравши Конфігурація , а потім Виключення файлів. Винятки для цих додаткових антивірусних програм надаються стороннім постачальником антивірусів.

Багато проблем сумісності з Windows, які спостерігаються з CrowdStrike та сторонніми додатками, можна вирішити, змінивши спосіб роботи CrowdStrike у режимі користувача.

1. Увійдіть у консоль CrowdStrike Falcon.
2. Клацніть пункт « Безпека кінцевих точок», а потім виберіть «Політики запобігання».

3. Натисніть значок Редагувати у відповідній групі правил.

4. Клацніть Sensor Visibility Enhanced Visibility (Видимість датчика) Enhanced Visibility (Видимість датчика) Enhanced Visibility (Видим

5. Вимкніть параметр «Додаткові дані режиму користувача».

6. Натисніть, щоб зберегти зміни в політиці.