Che cos è la piattaforma CrowdStrike Falcon
Resumen: Scopri come la piattaforma CrowdStrike Falcon è appositamente progettata per bloccare le violazioni della sicurezza utilizzando un set unificato di tecnologie fornite dal cloud.
Instrucciones
CrowdStrike sfrutta le applicazioni e le tecniche avanzate di rilevamento e risposta agli endpoint (EDR) per fornire un'offerta antivirus di nuova generazione (NGAV) leader del settore, basata sull'apprendimento automatico, per garantire che le violazioni vengano bloccate prima che si verifichino. Questa guida fornisce una breve descrizione delle funzioni e delle caratteristiche di CrowdStrike.
Prodotti interessati:
- CrowdStrike
Sistemi operativi interessati:
- Windows
- Mac
- Linux
Di seguito vengono riportate le domande frequenti su CrowdStrike:
Quali prodotti fanno parte della piattaforma CrowdStrike Falcon?
CrowdStrike dispone di vari moduli di prodotto che si connettono a un unico ambiente SaaS. Le soluzioni Endpoint Security vengono implementate sull'endpoint da un singolo agent, noto come CrowdStrike Falcon Sensor. La piattaforma Falcon è suddivisa in soluzioni di sicurezza degli endpoint, sicurezza IT e operazioni, Threat Intelligence, soluzioni di sicurezza del cloud e soluzioni di protezione delle identità. Ulteriori informazioni su questi prodotti sono disponibili di seguito:
Soluzioni per la sicurezza degli endpoint
- Falcon Insight - Endpoint Detection and Response (EDR)
- Sconfiggi gli avversari con una visibilità completa su ciò che accade sugli endpoint, estesa a tutte le principali origini dati tramite XDR integrato. Visualizza i dettagli anche delle minacce più sofisticate, con un contesto completo tra domini per indagare rapidamente le minacce e informare un'azione rapida e sicura.
- Falcon Prevent - Antivirus di nuova generazione (NGAV)
- Blocca gli attacchi con la potenza dell'intelligenza artificiale (AI) e dell'apprendimento automatico (ML) all'avanguardia, dal malware di uso comune agli attacchi fileless e zero-day. La nostra Threat Intelligence di alto livello, gli indicatori di attacco leader del settore, il controllo degli script e la scansione avanzata della memoria rilevano e bloccano i comportamenti malevoli nelle prime fasi della kill chain.
- CrowdStrike Falcon Device Control - USB Device Control
- Migliora la visibilità dell'uso e dell'attività dei dispositivi USB per monitorare, ricercare e analizzare in modo proattivo gli incidenti di perdita di dati attraverso un contesto completo delle attività degli utenti, una visibilità approfondita dei file e l'identificazione automatica del codice sorgente.
- Falcon Firewall Management - Controllo Host Firewall
- Difenditi dalle minacce della rete e ottieni visibilità immediata per migliorare la protezione e intervenire in modo mirato.
- Falcon per dispositivi mobili - Rilevamento e risposta per endpoint mobili
- Difendi la tua azienda dalle minacce mobili estendendo EDR e XDR ai dispositivi Android e iOS.
- Falcon Forensics - Analisi dei dati forensi
- Automatizza la data collection forense point-in-time e cronologica, aumentando al contempo le competenze degli analisti con dashboard completi e contesto completo delle minacce per un'analisi affidabile degli incidenti forensi.
Sicurezza e operazioni IT
- CrowdStrike Falcon Discover
- Fornisce informazioni dettagliate sull'ambiente degli endpoint. Ciò consente agli amministratori di visualizzare le informazioni cronologiche e in tempo reale sull'inventario delle applicazioni e degli asset.
- CrowdStrike Falcon OverWatch
- Fornisce funzionalità continue di threat hunting gestito e notifica tramite e-mail da parte del team Falcon OverWatch, per avvisare in pochi istanti gli amministratori in caso di un indicatore di possibile minaccia emergente.
- CrowdStrike Falcon Spotlight
- Offre gestione delle vulnerabilità sfruttando il sensore Falcon per fornire informazioni sulle patch Microsoft o sulle vulnerabilità attive per i dispositivi con Falcon installato e per i dispositivi vicini sulla rete.
Funzionalità di intelligence contro le minacce
- Motore di ricerca CrowdStrike Falcon
- CrowdStrike Falcon MalQuery è un avanzato strumento di ricerca di malware nativo per il cloud che consente ai professionisti della sicurezza e ai ricercatori di cercare rapidamente un enorme set di dati di campioni di malware, convalidando i potenziali rischi e anticipando i potenziali aggressori. Al centro di Falcon MalQuery c'è una raccolta multi-petabyte di oltre 3,5 miliardi di file, indicizzati da una tecnologia in attesa di brevetto.
- CrowdStrike Falcon Sandbox
- Consente l'esecuzione di malware controllato per fornire report dettagliati sulle minacce individuate all'interno dell'ambiente e raccogliere dati aggiuntivi sugli attori delle minacce in tutto il mondo.
- CrowdStrike Falcon Intelligence
- Analizza automaticamente gli incidenti e accelera la valutazione e la risposta agli avvisi. Integrato nella piattaforma Falcon, è operativo in pochi secondi.
Soluzioni per la sicurezza del cloud
- Protezione dei carichi di lavoro Falcon Cloud: per AWS, Azure e GCP
- Falcon Cloud Security offre una protezione completa dalle violazioni per carichi di lavoro, container e Kubernetes, consentendo alle organizzazioni di creare, eseguire e proteggere applicazioni native per il cloud con velocità e sicurezza.
- Falcon Horizon - Cloud Security Posture Management (CSPM)
- Falcon Cloud Security offre rilevamento continuo senza agent e visibilità degli asset nativi per il cloud dall'host al cloud, fornendo contesto e informazioni preziose sul livello di sicurezza complessivo e sulle azioni necessarie per prevenire potenziali incidenti di sicurezza.
- Sicurezza dei container
- I container hanno cambiato il modo in cui le applicazioni vengono create, testate e utilizzate, consentendo il deployment e la scalabilità istantanee delle stesse in qualsiasi ambiente. Con l'aumento dell'adozione dei container, emergono come una nuova superficie di attacco che manca di visibilità ed espone le organizzazioni.
Soluzioni di protezione dell'identità
- Rilevamento delle minacce all'identità (ITD) Falcon
- CrowdStrike Falcon Identity Threat Detection : fornisce una visibilità approfondita su incidenti e anomalie basati sull'identità in un complesso panorama di identità ibride, confrontando il traffico in tempo reale con le baseline e le policy del comportamento per rilevare gli attacchi e il movimento laterale in tempo reale.
- CrowdStrike Falcon Identity Threat Protection : utilizzando un singolo sensore e un'interfaccia unificata per le minacce, con correlazione degli attacchi tra endpoint, carichi di lavoro e identità, Falcon Identity Threat Protection blocca le violazioni basate sulle identità in tempo reale.
Come faccio a sapere quali prodotti sono inclusi nel mio pacchetto di CrowdStrike?
Dell e CrowdStrike possono includere CrowdStrike con l'acquisto del dispositivo Dell oppure è possibile acquistare un pacchetto Volume Flex. Per ulteriori informazioni sui prodotti CrowdStrike inclusi, consultare l'elenco dei pacchetti Volume Flex o delle offerte OTB (On-The-Box).
Pacchetti Volume Flex
- Falco Pro
- Falcon Prevent
- Controllo e risposta Falcon
- Supporto CrowdStrike Standard
- Falcon Enterprise
- Falcon Prevent
- Falcon Insight XDR/EDR
- Supporto CrowdStrike Standard
- Falco d'élite
- Falcon Prevent
- Falcon Insight XDR/EDR
- Falcon Discover
- Protezione dell'identità Falcon
- Supporto CrowdStrike Standard
- Moduli o servizi Falcon opzionali
- Intelligenza Falcon
- Controllo dispositivi Falcon
- Gestione del firewall Falcon
- Falco OverWatch
- Supporto CrowdStrike Essential
Offerte on-the-box (OTB)
- Falcon Endpoint Protection Pro OTB
- Falcon Prevent
- Controllo e risposta Falcon
- Controllo dispositivi Falcon
- Supporto CrowdStrike Essential
- Falcon Endpoint Protection Enterprise OTB
- Falcon Prevent
- Falcon Insight XDR/EDR
- Controllo dispositivi Falcon
- Grafico delle minacce Falcon
- Supporto CrowdStrike Essential
- Falcon Endpoint Protection Pro e Dell Secured Component Verification on Cloud (SCV on Cloud) Endpoint Bundle, OTB
- Falcon Prevent
- Controllo e risposta Falcon
- Controllo dispositivi Falcon
- Supporto CrowdStrike Essential
- Verifica dei componenti protetti Dell su cloud (SCV on Cloud)
- Dell Secured Component Verification on Cloud è una tecnologia supportata da Dell. Per ulteriori informazioni e su come ottenere supporto, fare riferimento a Che cos'è la verifica dei componenti protetti di Dell Trusted Device?
- Per informazioni su come ottenere supporto per i prodotti CrowdStrike, consultare Come ottenere supporto per CrowdStrike.
- Moduli o servizi Falcon opzionali
- Controllo e risposta Falcon
- Intelligenza Falcon
- Falcon Insight XDR/EDR
- Gestione del firewall Falcon
- Falco OverWatch
- Falcon Discover
- Protezione dell'identità Falcon
- Grafico delle minacce Falcon
Come funziona CrowdStrike?
CrowdStrike è un sensore basato su agent che può essere installato sui sistemi operativi Windows, Mac o Linux per piattaforme desktop o server. Queste piattaforme si avvalgono di una soluzione SaaS in hosting su cloud per gestire le policy, controllare i dati di reporting, gestire e contrastare le minacce.
CrowdStrike può operare offline e online, in modo da analizzare i file nel momento in cui ne viene tentata l'esecuzione sull'endpoint. Questa operazione viene eseguita utilizzando:
- Hash di prevenzione predefiniti
- Indicatore comportamentale di attacchi
- Known Malware
- Mitigazione degli exploit
Per maggiori informazioni, cliccare sul metodo appropriato.
Hash di prevenzione predefiniti
Gli hash di prevenzione predefiniti sono elenchi di hash SHA256 notoriamente sicuri o non sicuri. Gli hash definiti possono essere contrassegnati con Never Block o Always Block.
Gli hash SHA256 definiti come Never Block possono essere un elenco di elementi provenienti da una soluzione antivirus precedente per applicazioni line of business interne. L'importazione di un elenco di hash di prevenzione predefiniti per le applicazioni interne rappresenta il metodo più rapido per creare una allowlist dei file notoriamente sicuri nel proprio ambiente.
Gli hash SHA256 definiti con Always Block possono essere un elenco di hash notoriamente malevoli individuati in passato nel proprio ambiente o forniti da una terza parte affidabile.
Non è necessario caricare gli hash di prevenzione in batch ed è possibile impostare hash SHA256 definiti manualmente. Quando vengono forniti hash singoli o multipli, qualsiasi dettaglio su tali hash viene richiesto al back-end di CrowdStrike. Sulla base delle informazioni ricevute dal proprio ambiente, verranno fornite informazioni ausiliarie (nomi dei file, informazioni sul fornitore, numeri di versione dei file) relative agli hash (se presenti nell'ambiente su qualsiasi dispositivo).
Indicatore comportamentale di attacchi
Qualsiasi elemento definito come attacco (in base al suo comportamento) è in genere indicato come tale sulla base dei valori di apprendimento automatico. Questa opzione può essere impostata sia per il sensore che per il cloud. La piattaforma CrowdStrike Falcon si avvale di un processo in due fasi per identificare le minacce mediante il proprio modello di apprendimento automatico. Questa operazione avviene in primo luogo sull'endpoint locale per dare risposta immediata a una potenziale minaccia sull'endpoint. Questa minaccia viene quindi inviata al cloud per un'analisi secondaria. In base alle policy di prevenzione definite per il dispositivo, potrebbe essere richiesta un'ulteriore azione da parte dell'endpoint nel caso in cui l'analisi del cloud differisca da quella eseguita dal sensore locale.
Ulteriori indicatori vengono costantemente aggiunti al prodotto per rafforzare il rilevamento delle minacce e dei programmi potenzialmente indesiderati.
Known Malware
L'intelligence centralizzata di CrowdStrike offre un'ampia gamma di informazioni sulle minacce e sugli attori delle minacce che operano in tutto il mondo. Questo elenco viene utilizzato per realizzare strumenti di protezione contro le minacce già identificate.
Mitigazione degli exploit
In un ambiente possono essere attive più vulnerabilità contemporaneamente. Se per una vulnerabilità nota che influisce su un ambiente non è stata ancora rilasciata una patch critica, CrowdStrike monitora l'ambiente per verificare la presenza di eventuali exploit di tale vulnerabilità, offrendo prevenzione e protezione contro i comportamenti malevoli che utilizzano tali exploit.
Che cosa succede se l'invito per CrowdStrike scade?
L'invito inviato da falcon@crowdstrike.com contiene un link per l'attivazione di CrowdStrike Falcon Console valido 72 ore. Allo scadere delle 72 ore, verrà visualizzata la richiesta per l'invio di un nuovo link di attivazione al proprio account tramite un banner nella parte superiore della pagina:
Come si ottiene supporto per CrowdStrike?
Per ottenere il supporto, i clienti che hanno acquistato CrowdStrike tramite Dell possono contattare Dell Data Security ProSupport. Per ulteriori informazioni, fare riferimento a Come ottenere il supporto per CrowdStrike.
Come si configura 2FA per CrowdStrike Falcon Console?
CrowdStrike Falcon Console richiede un client RFC 6238 TOTP (Time-Based One-Time Password) per l'accesso tramite 2FA (autenticazione a due fattori).
Per informazioni sull'installazione, consultare Come configurare l'autenticazione a due fattori per CrowdStrike Falcon Console.
Quali sono i requisiti di sistema per CrowdStrike Falcon Sensor?
CrowdStrike è supportato su vari sistemi operativi Windows, Mac e Linux su piattaforme desktop e server. Tutti i dispositivi comunicheranno con la console CrowdStrike Falcon tramite HTTPS sulla porta 443.
Per un elenco completo dei requisiti, consultare Requisiti di sistema di CrowdStrike Falcon Sensor (in inglese).
Come si scarica CrowdStrike Falcon Sensor?
Per la procedura dettagliata sul processo di download, consultare Come scaricare il sensore CrowdStrike Falco.
Come si aggiunge un amministratore a CrowdStrike Falcon Console?
È possibile aggiungere amministratori a CrowdStrike Falcon Console in base alle esigenze. Per ulteriori informazioni, fare riferimento a Come aggiungere amministratori a CrowdStrike Falcon Console (in inglese).
Come si gestisce il token di manutenzione di Falcon CrowdStrike Sensor?
Per proteggere il software da rimozione e manomissioni non autorizzate, è possibile utilizzare un token di manutenzione. Per ulteriori informazioni, consultare Come gestire il token di manutenzione di CrowdStrike Falcon Sensor (in inglese).
Come si installa CrowdStrike Falcon Sensor?
Falcon CrowdStrike Sensor può essere installato in:
- Windows tramite l'interfaccia utente (UI) o l'interfaccia della riga di comando (CLI)
- Mac tramite Terminale
- Linux tramite Terminale
Per la procedura dettagliata sul processo di installazione, consultare Come installare CrowdStrike Falcon Sensor.
Come si ottiene il CID (Customer Identification) di CrowdStrike?
CrowdStrike utilizza il CID (Customer Identification) per associare CrowdStrike Falcon Sensor a CrowdStrike Falcon Console corretta durante l'installazione.
Il CID si trova all'interno di CrowdStrike Falcon Console
Per ulteriori informazioni, consultare Come ottenere l'identificazione del cliente CrowdStrike.
Come si identifica la versione di CrowdStrike Falcon Sensor?
La versione di CrowdStrike Falcon Sensor potrebbe essere necessaria per:
- Convalidare i requisiti di sistema
- Identificare i problemi noti
- Comprendere le modifiche dei processi
Poiché non è disponibile alcuna interfaccia utente del prodotto, la versione deve essere identificata tramite riga di comando (Windows) o Terminale (Mac e Linux).
Per informazioni dettagliate su questi comandi, consultare Come identificare la versione del sensore CrowdStrike Falcon.
In che modo è possibile identificare l'algoritmo SHA-256 di un file per le esclusioni?
È possibile utilizzare un algoritmo Secure Hash Algorithm (SHA)-256 nelle esclusioni di CrowdStrike Falcon Sensor. Per ulteriori informazioni, consultare Come identificare l'hash SHA-256 di un file per le applicazioni di sicurezza.
Come si trovano i registri di CrowdStrike Falcon Sensor?
I registri operativi di base vengono memorizzati come segue:
- Windows
- Applicazione Visualizzatore eventi di Microsoft
- Registri delle applicazioni
- Registri di sistema
- Applicazione Visualizzatore eventi di Microsoft
- Mac
- Registro di sistema
- Linux
- Varia a seconda della distribuzione. Generalmente, i registri si trovano nel percorso "log" principale della distribuzione.
/var/log/messages/var/log/syslog/var/log/rsyslog/var/log/daemon
- Varia a seconda della distribuzione. Generalmente, i registri si trovano nel percorso "log" principale della distribuzione.
Per ulteriori informazioni, consultare Come raccogliere i registri di CrowdStrike Falcon Sensor.
Come si disinstalla CrowdStrike Falcon Sensor?
CrowdStrike Falcon Sensor può essere rimosso da:
- Windows tramite l'interfaccia utente (UI) o l'interfaccia della riga di comando (CLI)
- Mac tramite Terminale
- Linux tramite Terminale
Per ulteriori informazioni, consultare Come disinstallare CrowdStrike Falcon Sensor.
Come si Scarica lo strumento di disinstallazione di CrowdStrike Falcon Sensor per Windows?
Lo strumento di disinstallazione di CrowdStrike Falcon Sensor è disponibile per il download all'interno di CrowdStrike Falcon Console. Per ulteriori informazioni, fare riferimento a Come scaricare lo strumento di disinstallazione di CrowdStrike Falcon Sensor per Windows.
CrowdStrike può coesistere con un'altra soluzione antivirus?
Sì. Sebbene in genere non sia consigliabile eseguire più soluzioni antivirus, CrowdStrike è testato con più fornitori di antivirus e si è verificato senza causare problemi agli utenti finali. Le esclusioni non sono in genere necessarie per CrowdStrike con applicazioni antivirus aggiuntive.
Se si verificano problemi, è possibile aggiungere esclusioni a CrowdStrike Falcon Console
Come si possono risolvere eventuali problemi di compatibilità di applicazioni di terze parti con CrowdStrike?
Molti problemi di compatibilità di Windows osservati con CrowdStrike e applicazioni di terze parti possono essere risolti modificando il funzionamento di CrowdStrike in modalità utente.
- Effettuare l'accesso a CrowdStrike Falcon Console.
- Cliccare su Endpoint Security e selezionare Prevention Policies.
- Cliccare sull'icona Edit relativa al gruppo di policy appropriato.
- Cliccare su Sensor Visibility Visibilità migliorata.
- Disattivare Additional User Mode Data.
- Cliccare su Save the policy changes.
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.