¿Qué es la plataforma CrowdStrike Falcon?

CrowdStrike contiene varios módulos de productos que se conectan a un solo ambiente de SaaS. Las soluciones de seguridad de terminales se implementan en el terminal mediante un solo agente, conocido como CrowdStrike Falcon Sensor. La plataforma Falcon se divide en Soluciones de Seguridad de Endpoints, Seguridad de TI y Operaciones, Inteligencia de Amenazas, Soluciones de Seguridad en la Nube y Soluciones de Protección de Identidad. A continuación, encontrará más información sobre estos productos:

Soluciones de seguridad de terminales

• Falcon Insight: detección y respuesta de terminales (EDR)
  • Supere al adversario con visibilidad completa de lo que está sucediendo en sus terminales, extendida a todas las fuentes de datos clave a través de XDR integrado. Vea los detalles incluso de las amenazas más sofisticadas, con un contexto completo entre dominios para investigar rápidamente las amenazas e informar la acción rápida y segura.
• Falcon Prevent: antivirus de última generación (NGAV)
  • Detenga los ataques con el poder de la inteligencia artificial (IA) y el aprendizaje automático (ML) de vanguardia, desde malware genérico hasta ataques sin archivos y de día cero. Nuestra inteligencia de amenazas de élite, los primeros indicadores de ataque en la industria, el control de scripts y el escaneo avanzado de memoria detectan y bloquean comportamientos maliciosos en una etapa más temprana de la secuencia de eliminación.
• Control de dispositivos CrowdStrike Falcon: control de dispositivos USB
  • Mejore la visibilidad del uso y la actividad de los dispositivos USB para supervisar, buscar e investigar proactivamente los incidentes de pérdida de datos a través de un contexto completo de la actividad del usuario, una visibilidad profunda de los archivos y la identificación automática del código fuente.
• Administración de Falcon Firewall: control de firewall de host
  • Defiéndase de las amenazas de la red y obtenga visibilidad instantánea para mejorar la protección e informar las medidas.
• Falcon para dispositivos móviles: detección y respuesta de terminales móviles
  • Proteja su empresa contra las amenazas móviles extendiendo EDR y XDR a dispositivos Android e iOS.
• Falcon Forensics - Análisis de datos forenses
  • Automatice la recopilación de datos forenses históricos y de un punto en el tiempo, a la vez que aumenta la experiencia de los analistas con paneles completos y un contexto completo de amenazas para un análisis sólido de incidentes forenses.

Seguridad y operaciones de TI

• CrowdStrike Falcon Discover
  • Proporciona información sobre su entorno de terminales. Esto permite a los administradores ver información histórica y en tiempo real sobre el inventario de aplicaciones y recursos.
• CrowdStrike Falcon OverWatch
  • Proporciona una búsqueda de amenazas administrada permanente y una notificación por correo electrónico del equipo de Falcon OverWatch para advertir a los administradores en unos instantes sobre un indicador de que hay una amenaza emergente.
• CrowdStrike Falcon Spotlight
  • Ofrece administración de vulnerabilidades aprovechando Falcon Sensor para entregar información de parches de Microsoft o vulnerabilidades activas para dispositivos con Falcon instalado y para dispositivos cercanos en la red.

Inteligencia de amenazas

• Motor de búsqueda CrowdStrike Falcon
  • CrowdStrike Falcon MalQuery es una herramienta avanzada de investigación de malware nativa de la nube que permite a los profesionales de la seguridad y a los investigadores buscar rápidamente un conjunto de datos masivo de muestras de malware, lo que valida los riesgos potenciales y se adelanta a los posibles atacantes. En el núcleo de Falcon MalQuery se encuentra una colección de múltiples petabytes de más de 3.500 millones de archivos, indexados por tecnología pendiente de patente.
• CrowdStrike Falcon Sandbox
  • Permite la ejecución de malware controlado para proporcionar informes detallados de las amenazas que se han presentado en el entorno y recopilar datos adicionales sobre los actores de amenazas en todo el mundo.
• Inteligencia de CrowdStrike Falcon
  • Investigue automáticamente los incidentes y acelere el triage y la respuesta a las alertas. Integrado en la plataforma Falcon, está operativo en segundos.

Soluciones de seguridad en la nube

• Falcon Cloud Workload Protection: para AWS, Azure y GCP
  • Falcon Cloud Security ofrece protección integral contra vulneraciones para cargas de trabajo, contenedores y Kubernetes, lo que permite a las organizaciones crear, ejecutar y proteger aplicaciones nativas en la nube con velocidad y confianza.
• Falcon Horizon: administración de la postura de seguridad en la nube (CSPM)
  • Falcon Cloud Security ofrece descubrimiento y visibilidad continuos sin agentes de los activos nativos de la nube desde el host hasta la nube, lo que proporciona contexto e información valiosa sobre la postura de seguridad general y las acciones necesarias para prevenir posibles incidentes de seguridad.
• Seguridad de contenedores
  • Los contenedores han cambiado la forma en que se crean, prueban y utilizan las aplicaciones, lo que permite que las aplicaciones se implementen y escalen a cualquier entorno al instante. A medida que aumenta la adopción de contenedores, estos surgen como una nueva superficie de ataque que carece de visibilidad y expone a las empresas.

Soluciones de protección de identidad

• Detección de amenazas de identidad (ITD) de Falcon
  • CrowdStrike Falcon Identity Threat Detection : proporciona una visibilidad profunda de los incidentes y las anomalías basadas en la identidad en un panorama de identidad híbrido complejo, ya que compara el tráfico en vivo con las bases y las políticas de comportamiento para detectar ataques y movimientos laterales en tiempo real.
  • CrowdStrike Falcon Identity Threat Protection: mediante un sensor único y una interfaz unificada de amenazas con correlación de ataques en terminales, cargas de trabajo e identidad, Falcon Identity Threat Protection detiene las vulneraciones impulsadas por la identidad en tiempo real.

Dell y CrowdStrike pueden incluir CrowdStrike con la compra de su dispositivo Dell, o puede comprar un paquete flexible de volumen. Para obtener más información sobre los productos CrowdStrike incluidos, consulte la lista de paquetes flexibles de volúmenes u ofertas con la compra del producto (OTB).

Paquetes flexibles de volumen

• Falcon Pro
  • Falcon Prevent
  • Control y respuesta de los halcones
  • Soporte estándar de CrowdStrike
• Falcon Enterprise
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Soporte estándar de CrowdStrike
• Halcón de élite
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Descubrimiento de Falcon
  • Protección de identidad de Falcon
  • Soporte estándar de CrowdStrike
• Módulos o servicios Falcon opcionales
  • Inteligencia de Halcón
  • Control de dispositivos Falcon
  • Administración de Falcon Firewall
  • Falcon OverWatch
  • Soporte esencial de CrowdStrike

Ofertas con la compra del producto (OTB)

• Falcon Endpoint Protection Pro OTB
  • Falcon Prevent
  • Control y respuesta de los halcones
  • Control de dispositivos Falcon
  • Soporte esencial de CrowdStrike
• Falcon Endpoint Protection Enterprise OTB
  • Falcon Prevent
  • Falcon Insight XDR/EDR
  • Control de dispositivos Falcon
  • Gráfico de amenazas de Falcon
  • Soporte esencial de CrowdStrike
• Falcon Endpoint Protection Pro y Dell Secured Component Verification on Cloud (SCV on Cloud) Endpoint Bundle OTB
  • Falcon Prevent
  • Control y respuesta de los halcones
  • Control de dispositivos Falcon
  • Soporte esencial de CrowdStrike
  • Verificación segura de componentes de Dell en la nube (SCV on Cloud)

• Módulos o servicios Falcon opcionales
  • Control y respuesta de los halcones
  • Inteligencia de Halcón
  • Falcon Insight XDR/EDR
  • Administración de Falcon Firewall
  • Falcon OverWatch
  • Descubrimiento de Falcon
  • Protección de identidad de Falcon
  • Gráfico de amenazas de Falcon

CrowdStrike es un sensor basado en agente que se puede instalar en computadoras de escritorio o plataformas de servidores con sistemas operativos Windows, Mac o Linux. Estas plataformas dependen de una solución SaaS alojada en la nube para administrar políticas, controlar datos de informes, administrar amenazas y responder a ellas.

CrowdStrike puede trabajar sin conexión o en línea para analizar archivos que se intenten ejecutar en los terminales. Esto se realiza mediante los siguientes elementos:

• Hashes de prevención predefinidos
• Indicador de comportamiento de ataques
• Known Malware
• Mitigación de vulnerabilidades

Haga clic en el método correspondiente para obtener más información.

Hashes de prevención predefinidos

Los hashes de prevención definidos previamente son listas de hashes SHA256 conocidos por ser seguros o no seguros. Los hashes definidos se pueden marcar como “Nunca bloquear” o “Bloquear siempre”.

Los hashes de SHA256 definidos como “Nunca bloquear” pueden ser una lista de elementos que provienen de una solución de antivirus anterior para las aplicaciones internas de una línea de negocio. La importación de una lista de hashes de prevención predefinidos para aplicaciones internas es el método más rápido para colocar archivos seguros conocidos en la lista permitida del entorno.

Los hashes SHA256 definidos como “Bloquear siempre” pueden ser una lista de hashes maliciosos conocidos que el entorno ha presentado anteriormente o que un tercero de confianza le proporcionó.

No es obligatorio cargar los hashes de prevención en lotes y se pueden establecer hashes SHA256 definidos manualmente. Cuando se proporcionan hashes únicos o múltiples, se solicita cualquier detalle sobre esos hashes desde el back-end de CrowdStrike. La información auxiliar (como nombres de archivo, información del proveedor, números de versión de archivo) de esos hashes (si están en su entorno en cualquier dispositivo) se completará en función de la información de su entorno.

Indicador de comportamiento de ataques

Cualquier elemento definido como un ataque (según su comportamiento) normalmente se indica como tal de acuerdo con los valores de aprendizaje automático. Esto se puede configurar tanto para el sensor como para la nube. La plataforma Falcon de CrowdStrike aprovecha un proceso de dos pasos para identificar amenazas con su modelo de aprendizaje automático. Inicialmente, esto se hace en el punto de conexión local para obtener una respuesta inmediata ante una posible amenaza. Luego, esta amenaza se envía a la nube para realizar un análisis secundario. De acuerdo con las políticas de prevención definidas para el dispositivo, es posible se deban realizar acciones adicionales en el punto de conexión si el resultado del análisis en la nube de la amenaza es distinto al del análisis del sensor local.

Constantemente se agregan más indicadores al producto para mejorar la detección de amenazas y de posibles programas no deseados.

Known Malware

La inteligencia centralizada de CrowdStrike ofrece información muy variada sobre las amenazas y las entidades de amenazas que operan en todo el mundo. Esta lista se utiliza para desarrollar protecciones contra las amenazas previamente identificadas.

Mitigación de vulnerabilidades

Es posible que varias vulnerabilidades estén activas en un entorno en cualquier momento. Si todavía no se ha publicado un parche crítico para protegerse ante una vulnerabilidad conocida que afecte un entorno, CrowdStrike buscará prevenir esa vulnerabilidad y protegerá el entorno de estos comportamientos maliciosos.

Una invitación de falcon@crowdstrike.com contiene un enlace de activación de CrowdStrike Falcon Console que funciona durante 72 horas. Después de 72 horas, se le solicitará volver a enviar un nuevo enlace de activación a su cuenta mediante un banner en la parte superior de la página:

Los clientes que adquirieron CrowdStrike a través de Dell pueden obtener soporte si se comunican con Dell Data Security ProSupport. Para obtener más información, consulte Cómo obtener soporte para CrowdStrike.

CrowdStrike Falcon Console requiere un cliente RFC 6238 con contraseña de un solo uso basada en tiempo (TOTP) para el acceso de autenticación de dos factores (2FA).

Para obtener más información sobre la configuración, consulte Cómo configurar una autenticación de dos factores (2FA) para CrowdStrike Falcon Console.

CrowdStrike es compatible con varios sistemas operativos Windows, Mac y Linux en plataformas de servidores y computadoras de escritorio. Todos los dispositivos se comunicarán con CrowdStrike Falcon Console mediante HTTPS a través del puerto 443.

Para obtener una lista completa de requisitos, consulte Requisitos del sistema para CrowdStrike Falcon Sensor.

Para obtener un tutorial sobre el proceso de descarga, consulte Cómo descargar CrowdStrike Falcon Sensor.

Se pueden agregar administradores a CrowdStrike Falcon Console según sea necesario. Para obtener más información, consulte Cómo agregar administradores a CrowdStrike Falcon Console.

Un token de mantenimiento se puede utilizar para proteger el software de la extracción y manipulación no autorizadas. Para obtener más información, consulte How to Manage the CrowdStrike Falcon Sensor Maintenance Token (Cómo administrar el token de mantenimiento de CrowdStrike Falcon Sensor).

CrowdStrike Falcon Sensor se puede instalar en los siguientes sistemas operativos:

• Windows mediante la interfaz de usuario (IU) o la interfaz de línea de comandos (CLI)
• Mac, a través de Terminal
• Linux, a través de Terminal

Para obtener un tutorial sobre el proceso de instalación, consulte Cómo instalar CrowdStrike Falcon Sensor.

CrowdStrike utiliza la identificación del cliente (CID) para asociar CrowdStrike Falcon Sensor con la consola CrowdStrike Falcon Console correspondiente durante la instalación.

El CID se encuentra dentro de CrowdStrike Falcon Console (https://falcon.crowdstrike.com) seleccionando Host setup and management y, luego, Sensor Downloads.

Para obtener más información, consulte Cómo obtener la identificación de cliente de CrowdStrike.

Es posible que la versión de CrowdStrike Falcon Sensor se requiera para lo siguiente:

• Validar los requisitos del sistema
• Identificar problemas conocidos
• Comprender los cambios del proceso

Debido a que no hay una UI de producto disponible, se debe identificar la versión a través de la línea de comandos (Windows) o de Terminal (Mac/Linux).

Para obtener un tutorial sobre estos comandos, consulte Cómo identificar la versión de CrowdStrike Falcon Sensor.

Se puede usar un algoritmo de hash seguro (SHA)-256 en las exclusiones de CrowdStrike Falcon Sensor. Para obtener más información, consulte Cómo identificar el hash SHA-256 de un archivo para aplicaciones de seguridad.

Los registros operativos básicos se almacenan en las siguientes ubicaciones:

• Windows
  • La aplicación Visor de eventos de Microsoft
    • Registros de aplicaciones
    • Registros del sistema
• Mac
  • Registro del sistema
• Linux
  • Varía según la distribución; por lo general, estos se encuentran en la ubicación de “registro” principal de la distribución.
    • /var/log/messages
    • /var/log/syslog
    • /var/log/rsyslog
    • /var/log/daemon

Para obtener más información, consulte Cómo recopilar los registros de CrowdStrike Falcon Sensor.

CrowdStrike Falcon Sensor se puede eliminar en los siguientes sistemas operativos:

• Windows mediante la interfaz de usuario (IU) o la interfaz de línea de comandos (CLI)
• Mac, a través de Terminal
• Linux, a través de Terminal

Para obtener más información, consulte Cómo desinstalar CrowdStrike Falcon Sensor.

La herramienta de desinstalación de CrowdStrike Falcon Sensor está disponible para descargar dentro de CrowdStrike Falcon Console. Para obtener más información, consulte Cómo descargar la herramienta de desinstalación de CrowdStrike Falcon Sensor para Windows.

Sí. Aunque normalmente no se recomienda ejecutar varias soluciones de antivirus, CrowdStrike se probó con varios proveedores de antivirus y se descubrió que funciona sin ocasionar problemas al usuario final. Por lo general, CrowdStrike no requiere exclusiones si funciona con aplicaciones de antivirus adicionales.

Si surge un problema, se pueden agregar exclusiones a CrowdStrike Falcon Console (https://falcon.crowdstrike.com ) seleccionando Configuration y, luego, File Exclusions. Las exclusiones de estas aplicaciones de antivirus adicionales las brindará el proveedor de antivirus de otros fabricantes.

Se pueden solucionar muchos problemas de compatibilidad de Windows que presenta CrowdStrike y las aplicaciones de terceros modificando la manera en que CrowdStrike funciona en el modo de usuario.

1. Inicie sesión en CrowdStrike Falcon Console.
2. Haga clic en Endpoint Security y, a continuación, seleccione Prevention Policies.

3. Haga clic en el icono Edit en el grupo de políticas correspondiente.

4. Haga clic en Visibilidad del sensor Visibilidad mejorada.

5. Desactive Additional User Mode Data (Datos de modo de usuario adicionales).

6. Haga clic para guardar los cambios en la política.