什么是 CrowdStrike Falcon 平台

CrowdStrike 包含连接到单一 SaaS 环境的各种产品模块。端点安全解决方案由单个代理（称为 CrowdStrike Falcon Sensor）在端点上实施。Falcon平台分为端点安全解决方案、安全IT和运营、威胁情报、云安全解决方案和身份保护解决方案。有关这些产品的更多信息如下：

端点安全性解决方案

• Falcon Insight — 端点检测和响应 （EDR）
  • 通过集成的 XDR 全面了解端点上发生的情况（涵盖所有关键数据源），从而超越对手。通过完整的跨域上下文，即使是最复杂的威胁也能看到详细信息，从而快速调查威胁并提供信息，以便快速、自信地采取行动。
• Falcon Prevent — 下一代防病毒 （NGAV）
  • 借助尖端人工智能 （AI） 和机器学习 （ML） 的强大功能阻止攻击 — 从商品恶意软件到无文件攻击和零日攻击无文件攻击皆有。我们的精英威胁情报、业界卓越的攻击指标、脚本控制和高级内存扫描可在杀伤链的早期检测和阻止恶意行为。
• CrowdStrike Falcon 设备控制 — USB 设备控制
  • 通过全面的用户活动上下文、深层文件可见性和自动源代码识别，增强 USB 设备使用情况和活动的可见性，以监控、主动搜寻和调查数据丢失事件。
• Falcon 防火墙管理 — 主机防火墙控制
  • 抵御网络威胁并获得即时可见性，以增强保护并为行动提供信息。
• Falcon for Mobile — 移动端点检测和响应
  • 通过将 EDR 和 XDR 扩展到 Android 和 iOS 设备，保护您的企业免受移动威胁。
• Falcon Forensics — 取证数据分析
  • 自动执行时间点和历史取证数据收集，同时通过全面的控制面板和完整的威胁上下文增强分析师的专业知识，进行可靠的取证事件分析。

安全与IT运营

• CrowdStrike Falcon Discover
  • 提供您的端点环境的深入信息。这使管理员能够查看应用程序和资产的实时和历史资源清册信息。
• CrowdStrike Falcon OverWatch
  • 提供来自 Falcon OverWatch 团队的全天候管理的威胁搜索和电子邮件通知，在出现新威胁的迹象时，立即提醒管理员。
• CrowdStrike Falcon Spotlight
  • 通过利用 Falcon Sensor 为安装了 Falcon 的设备以及网络上的附近设备提供 Microsoft 补丁程序信息或活动漏洞，从而提供漏洞管理。

威胁情报

• CrowdStrike Falcon 搜索引擎
  • CrowdStrike Falcon MalQuery 是一种先进的云原生恶意软件研究工具，使安全专业人员和研究人员能够快速搜索海量恶意软件样本数据集，验证潜在风险并领先于潜在的攻击者。Falcon MalQuery 的核心是包含超过 35 亿个文件的数 PB 集合，并通过正在申请专利的技术编制索引。
• CrowdStrike Falcon Sandbox
  • 允许受控制的恶意软件执行，以提供在您的环境中发现的威胁的详细报告，并在全球收集有关威胁行动者的其他数据。
• CrowdStrike Falcon Intelligence
  • 自动调查事件并加快警报分类和响应速度。它内置在 Falcon 平台中，可在几秒钟内运行。

云安全解决方案

• Falcon Cloud 工作负载保护 — 适用于 AWS、Azure 和 GCP
  • Falcon Cloud Security 为工作负载、容器和 Kubernetes 提供全面的漏洞保护，使组织能够快速、自信地构建、运行和保护云原生应用程序。
• Falcon Horizon — 云安全态势管理 （CSPM）
  • Falcon Cloud Security 提供从主机到云端的云原生资产的持续无代理发现和可见性，提供对整体安全态势以及防止潜在安全事件所需操作的宝贵上下文和见解。
• 容器安全
  • 容器改变了应用程序的构建、测试和使用方式，使应用程序能够即时部署到任何环境中。随着容器采用率的提高，它们成为新的攻击面，缺乏可见性并暴露在组织的风险中。

身份保护解决方案

• Falcon Identity Threat Detection （ITD）
  • CrowdStrike Falcon Identity Threat Detection — 提供对复杂的混合身份环境中基于身份的事件和异常的深入可见性，将实时流量与行为基线和策略进行比较，以实时检测攻击和横向移动。
  • CrowdStrike Falcon Identity Threat Protection — Falcon Identity Threat Protection 使用单一传感器和统一威胁接口，跨端点、工作负载和身份进行攻击关联，实时阻止身份驱动的违规行为。

戴尔和 CrowdStrike 可能会在购买您的戴尔设备时包含 CrowdStrike，或者您可以购买 Volume Flex 捆绑包。有关包含哪些 CrowdStrike 产品的更多信息，请参阅 批量弹性套装 或 开箱即用 （OTB） 产品列表。

卷 Flex 捆绑包

• Falcon Pro
  • Falcon Prevent
  • 猎鹰控制和响应
  • CrowdStrike 标准支持
• Falcon Enterprise
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • CrowdStrike 标准支持
• 猎鹰精英
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falcon Discover
  • Falcon 身份保护
  • CrowdStrike 标准支持
• 可选的 Falcon 模块或服务
  • 猎鹰情报
  • Falcon 设备控制
  • Falcon 防火墙管理
  • 猎鹰守望先锋
  • CrowdStrike 基本支持

开箱即用 （OTB） 产品

• Falcon Endpoint Protection Pro OTB
  • Falcon Prevent
  • 猎鹰控制和响应
  • Falcon 设备控制
  • CrowdStrike 基本支持
• Falcon Endpoint Protection Enterprise OTB
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Falcon 设备控制
  • Falcon Threat Graph
  • CrowdStrike 基本支持
• Falcon Endpoint Protection Pro 和 Dell Secured Component Verification on Cloud （SCV on Cloud） 端点捆绑包 OTB
  • Falcon Prevent
  • 猎鹰控制和响应
  • Falcon 设备控制
  • CrowdStrike 基本支持
  • 云中的戴尔安全组件验证（云上的 SCV）

• 可选的 Falcon 模块或服务
  • 猎鹰控制和响应
  • 猎鹰情报
  • Falcon Insight XDR/EDR
  • Falcon 防火墙管理
  • 猎鹰守望先锋
  • Falcon Discover
  • Falcon 身份保护
  • Falcon Threat Graph

CrowdStrike 是一种基于代理程序的传感器，可以安装在 Windows、Mac 或 Linux 操作系统上，适用于台式机或服务器平台。这些平台依赖云托管 SaaS 解决方案来管理策略、控制报告数据、管理和应对威胁。

CrowdStrike 可以离线或联机工作，在文件试图在端点上运行时对文件进行分析。这可使用以下方法来完成：

• 预定义的预防哈希
• 攻击行为指标
• 已知的恶意软件
• 减少漏洞遭到利用的情况

单击相应方法以了解更多信息。

预定义的预防哈希

预定义的预防哈希是已知好坏的 SHA256 哈希的列表。定义的哈希可以标记为“从不阻止”或“始终阻止”。

定义为“从不阻止”的 SHA256 哈希可能是以前针对内部业务线应用程序的防病毒解决方案遗留的项目列表。导入内部应用程序的预定义预防哈希列表是将环境中已知正常文件列入允许列表的最快方法。

定义为“始终阻止”的 SHA256 哈希可能是您所在环境过去发现的，或由可信第三方提供的已知恶意哈希的列表。

预防哈希不必成批上传，并且您可以对手动定义的 SHA256 哈希进行设置。提供单个或多个哈希时，CrowdStrike 后端会请求有关这些哈希的详细信息。如果您环境中的任何设备上存在这些哈希，这些哈希的辅助信息（如文件名、供应商信息、文件版本号）将根据您的环境中的信息进行填充。

攻击行为指标

任何基于其行为被定义为攻击的项目通常根据机器学习值表明。可以为 Sensor 或 Cloud 设置这一方法。CrowdStrike 的 Falcon 平台利用一个分为两步进行的流程，借助其机器学习模型确定威胁。这首先在本地端点上完成，以便对端点上的潜在威胁做出即时响应。此威胁随后被发送到云以进行二次分析。根据为设备定义的预防策略，如果云分析与本地传感器对威胁的分析不同，则端点可能需要采取其他措施。

为了加强对威胁和可能不需要的程序的检测，我们正在不断地向产品添加更多指标。

已知的恶意软件

CrowdStrike 的集中情报提供了关于全球的威胁和威胁参与者的各种信息。此列表被用于构建对已确定的威胁的防护。

减少漏洞遭到利用的情况

环境中的各种漏洞可能会在任何一个时间处于活动状态。如果针对会影响环境的已知漏洞的关键修补程序尚未发布，则 CrowdStrike 将监控该漏洞的利用情况，并防止和防范使用这些漏洞的恶意行为。

来自 falcon@crowdstrike.com 的邀请函包含有效期为 72 小时的 CrowdStrike Falcon 控制台激活链接。在 72 小时后，页面顶部的横幅将提示您将新的激活链接重新发送到您的账户：

通过戴尔购买 CrowdStrike 的客户可以联系 Dell Data Security ProSupport 以获得支持。有关详细信息，请参阅如何获得对 CrowdStrike 的支持。

CrowdStrike Falcon 控制台要求 RFC 6238 基于时间的一次性密码 (TOTP) 客户端进行双重身份验证 (2FA) 访问。

有关设置的信息，请参阅如何为 CrowdStrike Falcon 控制台配置双重身份验证 (2FA)。

CrowdStrike 在台式机和服务器平台的各种 Windows、Mac 和 Linux 操作系统中都受到支持。所有设备都将通过 HTTPS 端口 443 与 CrowdStrike Falcon 控制台通信。

有关完整的要求列表，请参阅 CrowdStrike Falcon Sensor 系统要求。

有关下载过程的完整操作指导，请参阅如何下载 CrowdStrike Falcon Sensor。

您可以根据需要将管理员添加到 CrowdStrike Falcon 控制台。有关更多信息，请参阅如何添加 CrowdStrike Falcon 控制台管理员。

维护令牌可用于保护软件免遭未经授权的删除和篡改。有关详情，请参阅如何管理 CrowdStrike Falcon Sensor 维护令牌。

CrowdStrike Falcon Sensor 可以安装在：

• Windows，通过用户界面 (UI) 或命令行界面 (CLI)
• Mac，通过终端
• Linux，通过终端

有关安装过程的完整操作指导，请参阅如何安装 CrowdStrike Falcon Sensor。

在安装期间，CrowdStrike 使用客户标识 (CID) 将 CrowdStrike Falcon Sensor 与适当的 CrowdStrike Falcon 控制台相关联。

在 CrowdStrike Falcon 控制台 （https://falcon.crowdstrike.com） 中，依次选择 Host setup and management 和 Sensor Downloads，可以找到 CID。

有关更多信息，请参阅 如何获取 CrowdStrike 客户标识。

可能需要CrowdStrike Falcon Sensor版本来执行下列操作：

• 验证系统要求
• 识别已知问题
• 了解过程变更

由于没有产品 UI 可用，因此必须通过命令行 (Windows) 或终端（Mac 和 Linux）来确定版本。

有关这些命令的使用指导，请参阅如何确定 CrowdStrike Falcon Sensor 版本。

Secure Hash Algorithm (SHA)-256 可用于 CrowdStrike Falcon Sensor 排除项。有关更多信息，请参阅 如何为安全应用程序确定文件的 SHA-256 哈希。

基本操作日志存储在：

• Windows
  • Microsoft 的事件查看器应用程序
    • 应用程序日志
    • 系统日志
• Mac
  • 系统日志
• Linux
  • 因发行版本而异，通常这些日志位于发行版本的主“日志”位置。
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

有关更多信息，请参阅如何收集 CrowdStrike Falcon Sensor 日志。

CrowdStrike Falcon Sensor 的卸载方法如下：

• Windows，通过用户界面 (UI) 或命令行界面 (CLI)
• Mac，通过终端
• Linux，通过终端

有关更多信息，请参阅如何卸载 CrowdStrike Falcon Sensor。

CrowdStrike Falcon Sensor 卸载工具可在 CrowdStrike Falcon 控制台中下载。有关更多信息，请参阅如何下载 CrowdStrike Falcon Sensor Windows 卸载工具。

是的！虽然我们通常不建议运行多个防病毒解决方案，但 CrowdStrike 经过多个防病毒供应商测试，可以分层放置，而不会导致终端用户问题。在具有其他防病毒应用程序的情况下，对于 CrowdStrike 来说，通常并不一定需要排除项。

如果出现问题，可以通过依次选择 Configuration 和 File Exclusions，将排除项添加到 CrowdStrike Falcon 控制台 (https://falcon.crowdstrike.com)。这些其他防病毒应用程序的排除项来自第三方防病毒供应商。

通过修改 CrowdStrike 在用户模式下的运行方式，可以解决 CrowdStrike 和第三方应用程序中出现的许多 Windows 兼容性问题。

1. 登录到 CrowdStrike Falcon 控制台。
2. 单击 Endpoint Security，然后选择 Prevention Policies。

3. 单击相应策略组上的 Edit 图标。

4. 单击 Sensor VisibilityEnhanced Visibility。

5. 关闭 Additional User Mode Data。

6. 单击以 保存 策略更改。