Hvad er CrowdStrike Falcon-platformen

CrowdStrike indeholder forskellige produktmoduler, som opretter forbindelse til et enkelt SaaS-miljø. Slutpunktssikkerhedsløsninger udføres på slutpunktet af en enkelt agent, kendt som CrowdStrike Falcon-sensoren. Falcon-platformen er opdelt i Endpoint Security Solutions, Security IT & Operations, Threat Intelligence, Cloud Security Solutions og Identity Protection Solutions. Du kan finde flere oplysninger om disse produkter nedenfor:

Sikkerhedsløsninger til slutpunkter

• Falcon Insight – Slutpunktsregistrering og -respons (EDR)
  • Overhale modstanderen med omfattende synlighed i, hvad der sker på dine slutpunkter, udvidet på tværs af alle vigtige datakilder gennem integreret XDR. Se detaljerne om selv de mest sofistikerede trusler med komplet kontekst på tværs af domæner, så du hurtigt kan undersøge trusler og informere om hurtige, sikre handlinger.
• Falcon Prevent - Næste generations antivirus (NGAV)
  • Stop angreb med styrken ved banebrydende kunstig intelligens (AI) og maskinlæring (ML) – fra råvaremalware til filløse angreb og zero-day-angreb. Vores elitetrusselsintelligens, branchens første indikatorer for angreb, scriptkontrol og avanceret hukommelsesscanning registrerer og blokerer ondsindet adfærd tidligere i drabskæden.
• CrowdStrike Falcon Device Control – USB-enhedsstyring
  • Forbedr synligheden af brug og aktivitet af USB-enheder for at overvåge, proaktivt jage og undersøge datatabshændelser gennem omfattende brugeraktivitetskontekst, dyb filsynlighed og automatisk kildekodeidentifikation.
• Falcon Firewall-administration – Værtsfirewall-kontrol
  • Forsvar mod netværkstrusler, og få øjeblikkelig synlighed for at forbedre beskyttelsen og informere om handling.
• Falcon for Mobile – mobil slutpunktsregistrering og -reaktion
  • Beskyt din virksomhed mod mobile trusler ved at udvide EDR og XDR til Android- og iOS-enheder.
• Falcon Forensics - Retsmedicinsk dataanalyse
  • Automatiser tidsbestemt og historisk kriminalteknisk dataindsamling, og øg analytikernes ekspertise med omfattende dashboards og fuld trusselskontekst til robust analyse af kriminaltekniske hændelser.

Sikkerhed og IT-drift

• Crowdstrike Falcon Discover
  • Giver indsigt i dit slutpunktsmiljø. Dette giver administratorer mulighed for at se realtids- og historiske applikations- og aktivbeholdningsoplysninger.
• CrowdStrike Falcon OverWatch
  • Forestår en 24-timers, administreret jagt på trusler og sender e-mailmeddelelser fra Falcon OverWatch-teamet, som på få øjeblikke advarer administratorer om en indikator af en voksende trussel.
• Crowdstrike Falcon Spotlight
  • Tilbyder sårbarhedsstyring ved at udnytte Falcon-sensoren til at levere Microsoft-patchoplysninger eller aktive sårbarheder for enheder med Falcon installeret og for enheder i nærheden på netværket.

Trusselsintelligens

• CrowdStrike Falcon søgemaskine
  • CrowdStrike Falcon MalQuery er et avanceret, cloud-native malware-forskningsværktøj, der gør det muligt for sikkerhedsprofessionelle og forskere hurtigt at søge i et massivt datasæt af malware-prøver, validere potentielle risici og være på forkant med potentielle angribere. Kernen i Falcon MalQuery er en multi-petabyte samling af over 3,5 milliarder filer, indekseret af patentanmeldt teknologi.
• Crowdstrike Falcon Sandbox
  • Giver mulighed for kontrolleret malwareudførelse, så der kan udarbejdes rapporter om de trusler, der er observeret i miljøet, og samles yderligere data om trusselsaktører overalt i verden.
• CrowdStrike Falcon-intelligens
  • Undersøg automatisk hændelser, og fremskynd prioritering af advarsler og respons. Indbygget i Falcon-platformen er den operationel på få sekunder.

Cloud-sikkerhedsløsninger

• Falcon Cloud Workload Protection – til AWS, Azure og GCP
  • Falcon Cloud Security leverer omfattende beskyttelse mod brud på workloads, containere og Kubernetes, så organisationer hurtigt og sikkert kan bygge, køre og sikre cloudbaserede programmer.
• Falcon Horizon – Cloud Security Posture Management (CSPM)
  • Falcon Cloud Security leverer kontinuerlig agentfri registrering og synlighed af cloudbaserede aktiver fra værten til clouden, hvilket giver værdifuld kontekst og indsigt i den overordnede sikkerhedstilstand og de handlinger, der kræves for at forhindre potentielle sikkerhedshændelser.
• Sikkerhed i forbindelse med containere
  • Objektbeholdere har ændret, hvordan programmer bygges, testes og anvendes, hvilket gør det muligt at implementere og skalere programmer til ethvert miljø med det samme. Efterhånden som udbredelsen af containere stiger, fremstår de som en ny angrebsflade, der mangler synlighed og udsætter organisationer.

Løsninger til identitetsbeskyttelse

• Falcon Registrering af identitetstrusler (ITD)
  • CrowdStrike Falcon Identity Threat Detection - Giver dyb synlighed i identitetsbaserede hændelser og anomalier på tværs af et komplekst hybrididentitetslandskab og sammenligner live trafik med adfærdsbasislinjer og politikker for at opdage angreb og lateral bevægelse i realtid.
  • CrowdStrike Falcon Identity Threat Protection - Ved hjælp af en enkelt sensor og samlet trusselsgrænseflade med angrebskorrelation på tværs af slutpunkter, arbejdsbelastninger og identitet stopper Falcon Identity Threat Protection identitetsdrevne brud i realtid.

Dell og CrowdStrike kan inkludere CrowdStrike i købet af din Dell-enhed, eller du kan købe en volumenflexpakke. Du kan finde flere oplysninger om, hvilke CrowdStrike-produkter der er inkluderet, på listen over Volume Flex-pakker eller OTB-tilbud (On-The-Box).

Volume Flex-pakker

• Falcon Pro
  • Falcon Forhindre
  • Falcon kontrollerer og reagerer
  • CrowdStrike-standardsupport
• Falcon Virksomhed
  • Falcon Forhindre
  • Falcon Insight XDR/EDR
  • CrowdStrike-standardsupport
• Falcon Elite
  • Falcon Forhindre
  • Falcon Insight XDR/EDR
  • Falcon Discover
  • Falcon Identity Protection
  • CrowdStrike-standardsupport
• Valgfri Falcon-moduler eller -tjenester
  • Falcon intelligens
  • Falcon Device Control
  • Falcon Firewall-administration
  • Falcon OverWatch
  • Vigtig support til CrowdStrike

On-The-Box (OTB) tilbud

• Falcon Endpoint Protection Pro OTB
  • Falcon Forhindre
  • Falcon kontrollerer og reagerer
  • Falcon Device Control
  • Vigtig support til CrowdStrike
• Falcon Endpoint Protection Enterprise OTB
  • Falcon Forhindre
  • Falcon Insight XDR/EDR
  • Falcon Device Control
  • Falcon Trussel Graf
  • Vigtig support til CrowdStrike
• Falcon Endpoint Protection Pro og Dell Secured Component Verification on Cloud (SCV on Cloud) Endpoint Bundle OTB
  • Falcon Forhindre
  • Falcon kontrollerer og reagerer
  • Falcon Device Control
  • Vigtig support til CrowdStrike
  • Dell Secured Component Verification i cloud (SCV på cloud)

• Valgfri Falcon-moduler eller -tjenester
  • Falcon kontrollerer og reagerer
  • Falcon intelligens
  • Falcon Insight XDR/EDR
  • Falcon Firewall-administration
  • Falcon OverWatch
  • Falcon Discover
  • Falcon Identity Protection
  • Falcon Trussel Graf

CrowdStrike er en agentbaseret sensor, der kan installeres på Windows-, Mac- eller Linux-operativsystemer til stationære pc- eller serverplatforme. Disse platforme er afhængige af en værtsbaseret SaaS-cloudløsning til at styre politikker, styre rapporteringsdata, administrere og reagere på trusler.

CrowdStrike kan arbejde offline eller online og analysere filer, når de forsøger at blive kørt på slutpunktet. Dette gøres ved brug af:

• Foruddefinerede forebyggelseshashes
• Adfærdsmæssig indikator på angreb
• Kendt malware
• Afbødning af trusler

Klik på den relevante metode for at få flere oplysninger.

Foruddefinerede forebyggelseshashes

Foruddefinerede beskyttelseshashes er lister over SHA256-hashes, der er kendte for at være gode eller onde. De hashes, der er defineret, kan være markeret som Bloker aldrig eller Bloker altid.

SHA256-hashes defineret som Bloker aldrig kan være en liste over elementer, der er kommet fra en tidligere antivirusløsning til interne programmer for forretningsområdet. Import af en liste over foruddefinerede forebyggelseshashes til interne programmer er den hurtigste metode til at sætte kendte fungerende filer i dit miljø på godkendt-listen.

Sha256-hashes defineret som Bloker altid kan være en liste over kendte skadelige hashes, som miljøet har set tidligere, eller som er videregivet til dig af en betroet tredjepart.

Beskyttelseshashes behøver ikke at blive overført i batches, og manuelt definerede SHA256-hashes kan angives. Når der leveres ental eller flere hashes, anmodes der om detaljer om disse hashes fra CrowdStrike-back-end. Yderligere oplysninger (f.eks. filnavne, leverandøroplysninger, filversionsnumre) for disse hashværdier (hvis de findes i dit miljø på enheder) udfyldes baseret på oplysninger fra dit miljø.

Adfærdsmæssig indikator på angreb

Ethvert element defineret som et angreb (baseret på funktionsmåden) angives typisk som en sådan baseret på maskinlæringsværdierne. Dette kan indstilles for enten sensoren eller clouden. CrowdStrikes Falcon-platform anvender en totrinsproces til at identificere trusler med dens maskinindlæringsmetode. Dette gøres i første omgang på det lokale slutpunkt som øjeblikkelig reaktion på en potentiel trussel mod slutpunktet. Denne trussel sendes til clouden med henblik på en sekundær analyse. Baseret på de beskyttelsespolitikker, der er defineret for enheden, kan yderligere handling være påkrævet ved slutpunktet, hvis cloudanalysen adskiller sig fra den lokale sensors analyse af truslen.

Flere indikatorer føjes løbende til produktet for at styrke afsløringen af trusler og potentielt uønskede programmer.

Kendt malware

CrowdStrikes centraliserede efterretninger indeholder en lang række oplysninger om trusler og trusselsaktører, som opererer globalt. Denne liste benyttes til at indbygge beskyttelse mod trusler, der allerede er identificeret.

Afbødning af trusler

Forskellige sikkerhedsrisici kan når som helst være aktive i et miljø. Hvis der endnu ikke er udgivet en kritisk programrettelse til en kendt sårbarhed, der påvirker et miljø, overvåger CrowdStrike udnyttelser i forhold til denne sårbarhed og forhindrer og beskytter mod skadelig adfærd ved hjælp af disse udnyttelser.

En invitation fra falcon@crowdstrike.com indeholder et aktiveringslink til CrowdStrike Falcon-konsollen, der er god i 72 timer. Efter 72 timer bliver du bedt om at gensende et nyt aktiveringslink til din konto via et banner øverst på siden:

Kunder, der har købt CrowdStrike gennem Dell, kan få support ved at kontakte Dell Data Security ProSupport. Du kan finde flere oplysninger i Sådan får du support til CrowdStrike.

CrowdStrike Falcon Console kræver en RFC 6238 Time-Based One-Time Password (TOTP)-klient for adgang til tofaktorautentificering (2FA).

Du kan finde flere oplysninger om installation i Sådan konfigureres tofaktorgodkendelse (2FA) til CrowdStrike Falcon Console.

CrowdStrike understøttes af forskellige Windows-, Mac- og Linux-operativsystemer på både stationære pc- og serverplatforme. Alle enheder kommunikerer til CrowdStrike Falcon-konsollen via HTTPS via port 443.

Du finder en komplet liste over kravene her CrowdStrike Falcon Sensor System Requirements.

Du finder en gennemgang af downloadprocessen her Sådan downloader du CrowdStrike Falcon Sensor.

Administratorer kan føjes til CrowdStrike Falcon Console efter behov. Du kan finde flere oplysninger i Sådan tilføjer du CrowdStrike Falcon Sensor-administratorer.

Et vedligeholdelsestoken kan bruges til at beskytte software mod uautoriseret fjernelse og manipulation. Du kan finde flere oplysninger i Sådan administrerer du vedligeholdelses-tokenet til CrowdStrike Falcon Sensor.

CrowdStrike Falcon Sensor kan installeres på:

• Windows via brugergrænseflade (UI) eller kommandolinjegrænseflade (CLI)
• Mac via Terminal
• Linux via Terminal

Du finder en gennemgang af installationsprocessen her How to Install CrowdStrike Falcon Sensor.

CrowdStrike anvender kundeidentifikationen (CID) til at knytte CrowdStrike Falcon Sensor til den korrekte CrowdStrike Falcon Console under installation.

CID er placeret i CrowdStrike Falcon Console (https://falcon.crowdstrike.com) ved at vælge Værtsopsætning og -administration og derefter Sensordownloads.

Du kan finde flere oplysninger i Sådan indhenter du CrowdStrike-kundeidentifikationen.

CrowdStrike Falcon Sensor-version skal eventuelt bruges til at:

• Godkende systemkrav
• Identificere kendte problemer
• Forstå procesændringer

Da produktet ikke har en brugergrænseflade, skal versionen identificeres via kommandolinjen (Windows) eller Terminal (Mac og Linux).

Du finder en gennemgang af disse kommandoer i Sådan identificerer du CrowdStrike Falcon Sensor-versionen.

En Secure Hash Algorithm (SHA)-256 kan bruges i Crowdstrike Falcon Sensor-udelukkelser. Du finder flere oplysninger under Sådan identificerer du en fils SHA-256-hash for sikkerhedsprogrammer.

Grundlæggende operationelle logfiler gemmes i:

• Windows
  • Microsofts logbogsprogram
    • Programlogfiler
    • Systemlogfiler
• Mac
  • Systemlogfil
• Linux
  • Varierer afhængigt af distribution, generelt er disse til stede inden for distroens primære "log" -placering.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Du finder flere oplysninger her How to Collect CrowdStrike Falcon Sensor Logs.

CrowdStrike Falcon Sensor kan fjernes fra:

• Windows via brugergrænseflade (UI) eller kommandolinjegrænseflade (CLI)
• Mac via Terminal
• Linux via Terminal

Du finder flere oplysninger her How to Uninstall CrowdStrike Falcon Sensor.

CrowdStrike Falcon Sensor-afinstallationsværktøjet kan downloades i CrowdStrike Falcon Console. Du kan finde flere oplysninger i Sådan downloader du Windows-afinstallationsværktøjet til CrowdStrike Falcon Sensor.

Ja! Selvom det normalt ikke anbefales at køre flere antivirusløsninger, er CrowdStrike testet sammen med flere antivirusleverandører og fungerer således uden at give slutbrugerproblemer. Udeladelser er typisk ikke nødvendige for at køre CrowdStrike med ekstra antivirusprogrammer.

Hvis der opstår problemer, kan udelukkelser føjes til CrowdStrike Falcon Console (https://falcon.crowdstrike.com) ved at vælge Konfiguration og derefter Filudelukkelser. Undtagelser for disse yderligere antivirusprogrammer kommer fra tredjepartsleverandøren af antivirusprogrammer.

Mange af de Windows-kompatibilitetsproblemer, der ses i forbindelse med CrowdStrike og tredjepartsprogrammer, kan afhjælpes ved at ændre, hvordan CrowdStrike kører i Brugertilstand.

1. Log ind på CrowdStrike Falcon-konsollen.
2. Klik på Slutpunktssikkerhed, og vælg derefter Forebyggelsespolitikker.

3. Klik på ikonet Rediger på den pågældende politikgruppe.

4. Kliksensorsynlighed Forbedret synlighed.

5. Slå Yderligere brugertilstandsdata fra.

6. Klik for at gemme politikændringerne.