Inicialização e Ampliação _ Segurança de terminais _ Documentação _ Suporte e recursos _ Falcão

Prévia do material em texto

<p>27/04/2023, 13:20 Inicialização e Ampliação | Segurança de terminais | Documentação | Suporte e recursos | Falcão</p><p>https://falcon.crowdstrike.com/documentation/28/start-up-and-scale-up 1/5</p><p>Iniciar e escalar</p><p>Ultima atualização: 12 de março de 2023</p><p>Sobre a plataforma Falcon</p><p>O que é Falcão?</p><p>O CrowdStrike Falcon é uma solução de proteção de endpoint de próxima geração baseada em SaaS que fornece recursos avançados de detecção, prevenção,</p><p>monitoramento e pesquisa, permitindo que os analistas se defendam contra ameaças e adversários sofisticados.</p><p>O Falcon oferece visibilidade remota de endpoints em um ambiente, permitindo acesso instantâneo a "quem, o quê, quando, onde e como" de um ataque. Coletamos e</p><p>analisamos mais de 80 bilhões de eventos de endpoint todos os dias de milhões de sensores implantados em 176 países. A Falcon pode ajudá-lo a proteger seus</p><p>endpoints, quer você tenha apenas alguns ou centenas de milhares.</p><p>Como o Falcão funciona?</p><p>O Falcon consiste em dois componentes: o sensor e a nuvem.</p><p>Primeiro, um sensor leve é implantado em cada terminal, onde reúne os eventos de sistema apropriados de cada host e realiza ações proativas de detecção e</p><p>prevenção. O sensor Falcon detecta e defende contra ataques que ocorrem no disco e na memória. A plataforma monitora continuamente processos, eventos e</p><p>atividades suspeitas, onde quer que residam. O Falcon também fornece recursos avançados de prevenção, como permissão e bloqueio personalizados, bloqueio de</p><p>malware, bloqueio de exploração e prevenção baseada em IOA (Indicadores de ataque).</p><p>Os dados coletados pelo sensor são então transmitidos continuamente do sensor para a nuvem avançada de inteligência de ameaças da CrowdStrike, onde a</p><p>CrowdStrike analisa e traça links entre eventos em toda a comunidade de sensores Falcon. Esses padrões comportamentais são detectados em tempo real usando o</p><p>modelo de dados Threat Graph da CrowdStrike, permitindo que os analistas detectem novos ataques, independentemente de os ataques usarem malware ou não.</p><p>A CrowdStrike fornece a você um conjunto de poderosas ferramentas de investigação, prevenção, detecção e monitoramento de sensores na interface web do Falcon</p><p>- seu centro de comando para tudo relacionado ao Falcon. Consulte o Guia do usuário do Falcon Console para obter uma explicação passo a passo de cada aplicativo.</p><p>Quais recursos de detecção o Falcon possui?</p><p>Para ameaças conhecidas, o Falcon fornece antivírus baseado em nuvem (Cloud AV) e recursos de detecção de indicadores de comprometimento (IOC). Para</p><p>ameaças desconhecidas e de dia zero, o Falcon aplica a detecção de IOA, usando técnicas de aprendizado de máquina para construir modelos preditivos que podem</p><p>Conteúdo:</p><p>Sobre a plataforma Falcon</p><p>O que é Falcão?</p><p>Como o Falcão funciona?</p><p>Quais recursos de detecção o Falcon possui?</p><p>O que é o sensor Falcon?</p><p>Quais sistemas operacionais o Falcon suporta?</p><p>Quais dados o Falcon envia para a nuvem?</p><p>Como a Falcon protege os dados do cliente?</p><p>Colocando o Falcon em funcionamento</p><p>Antes de você começar</p><p>Baixe e instale o sensor</p><p>Configurar um grupo de hosts</p><p>Revise a política de prevenção padrão</p><p>Observe o sensor detectar um evento</p><p>Mais informações</p><p>https://falcon.crowdstrike.com/documentation/64/falcon-console-user-guide</p><p>27/04/2023, 13:20 Inicialização e Ampliação | Segurança de terminais | Documentação | Suporte e recursos | Falcão</p><p>https://falcon.crowdstrike.com/documentation/28/start-up-and-scale-up 2/5</p><p>detectar atividades maliciosas nunca antes vistas com alta precisão. Impulsionada pelo modelo de dados Threat Graph da CrowdStrike, esta análise IOA reconhece</p><p>padrões comportamentais para detectar novos ataques.</p><p>O que é o sensor Falcon?</p><p>O sensor leva apenas alguns minutos para ser implantado em seus endpoints, e os analistas monitoram e gerenciam o ambiente por meio da interface web do Falcon,</p><p>um poderoso portal da web. Com o Falcon, não há controladores a serem instalados, configurados, atualizados ou mantidos. Não há equipamentos no local. O Falcon é</p><p>uma solução 100% baseada em nuvem, oferecendo Segurança como Serviço aos usuários.</p><p>O sensor se integra com a tecnologia SIEM?</p><p>Para hosts Windows, Mac e Linux, a CrowdStrike fornece o Falcon SIEM Connector, que permite enviar detecções e eventos de auditoria para o seu SIEM. O Falcon</p><p>SIEM Connector integra-se com HP ArcSight, IBM Q-Radar e Splunk. Além disso, a CrowdStrike oferece a API de streaming para permitir a integração com SIEMs de</p><p>terceiros. Para obter mais informações, consulte o Guia de recursos do conector SIEM e o Dicionário de eventos da API de streaming .</p><p>Quais sistemas operacionais o Falcon suporta?</p><p>Para obter a lista mais atualizada de sistemas operacionais compatíveis, consulte os Guias de implantação:</p><p>Sensor Falcon para Windows</p><p>Sensor Falcon para Mac</p><p>Sensor Falcon para Linux</p><p>Implantando o Falcon for Mobile em dispositivos iOS</p><p>Implantando o Falcon for Mobile em dispositivos Android</p><p>Quais dados o Falcon envia para a nuvem?</p><p>A plataforma Falcon foi projetada para maximizar a visibilidade em tempo real e eventos históricos de segurança de endpoint, reunindo os dados de eventos</p><p>necessários para identificar, compreender e responder a ataques — mas nada mais. A quantidade de dados que um sensor transmite para a nuvem varia de acordo</p><p>com a atividade de cada host.</p><p>Esse conjunto padrão de eventos do sistema concentra-se na execução do processo e é continuamente monitorado quanto a atividades suspeitas. Quando tal</p><p>atividade é detectada, atividades adicionais de coleta de dados são iniciadas para entender melhor a situação e permitir uma resposta oportuna ao evento. Os dados</p><p>específicos coletados mudam à medida que o CrowdStrike avança os recursos e em resposta às mudanças no cenário de ameaças.</p><p>Como a Falcon protege os dados do cliente?</p><p>CrowdStrike usa um túnel criptografado por TLS para enviar dados entre o sensor e a nuvem.</p><p>Além disso, o CrowdStrike usa fixação de certificado no lado do sensor. Isso significa que um sensor se comunica apenas com endpoints de nuvem que possuem um</p><p>certificado conhecido. O CrowdStrike também oferece a capacidade de permitir que nossos endpoints de nuvem em seus firewalls garantam que seus sensores</p><p>Falcon se comuniquem apenas com o CrowdStrike.</p><p>Em seguida, cada cliente recebe um ID de cliente exclusivo. Como a CrowdStrike marca os dados do cliente com um ID de cliente exclusivo, qualquer consulta ou</p><p>troca de dados é limitada ao escopo de um ID de cliente específico, o que protege ainda mais os dados.</p><p>Todos os dados na nuvem CrowdStrike, incluindo backups, são criptografados com criptografia AES256 padrão do setor.</p><p>A CrowdStrike também limita o acesso dos funcionários aos dados do cliente a indivíduos com necessidades comerciais. Isso inclui Suporte ao Cliente e Falcon</p><p>Overwatch. Além disso, o acesso direto aos sistemas subjacentes é limitado apenas a engenheiros com necessidades comerciais. O acesso é protegido por VPN</p><p>criptografada e autenticação multifator.</p><p>Colocando o Falcon em funcionamento</p><p>Este passo a passo de alto nível orienta você através de uma implementação básica do Falcon para endpoints Windows, Mac e Linux, desde a instalação de seu</p><p>primeiro sensor até a expansão para todo o seu ambiente. Para obter informações sobre a proteção de terminais iOS e Android, consulte Implantando o Falcon for</p><p>Mobile em dispositivos iOS e Implantando o Falcon for Mobile em dispositivos Android .</p><p>https://falcon.crowdstrike.com/documentation/14/siem-connector-feature-guide</p><p>https://falcon.crowdstrike.com/documentation/62/streaming-api-event-dictionary</p><p>https://falcon.crowdstrike.com/documentation/23/falcon-host-sensor-deployment-guide-windows</p><p>https://falcon.crowdstrike.com/documentation/22/falcon-host-sensor-deployment-guide-mac</p><p>https://falcon.crowdstrike.com/documentation/20/falcon-host-sensor-deployment-guide-linux-kernel-based-sensor</p><p>https://falcon.crowdstrike.com/documentation/186/Deploying-Falcon-for-Mobile-to-iOS-devices</p><p>https://falcon.crowdstrike.com/documentation/185/Deploying-Falcon-for-Mobile-to-Android-devices</p><p>https://falcon.crowdstrike.com/documentation/186/Deploying-Falcon-for-Mobile-to-iOS-devices</p><p>https://falcon.crowdstrike.com/documentation/48/falcon-for-mobile-deployment-guide</p><p>https://falcon.crowdstrike.com/documentation/185/Deploying-Falcon-for-Mobile-to-Android-devices</p><p>27/04/2023, 13:20 Inicialização e Ampliação | Segurança de terminais | Documentação | Suporte e recursos | Falcão</p><p>https://falcon.crowdstrike.com/documentation/28/start-up-and-scale-up 3/5</p><p>Antes de você começar</p><p>Recomendamos o uso do Falcon como sua única solução AV. A execução de mais de uma solução AV pode causar resultados inesperados.</p><p>Tenha dois dispositivos:</p><p>Um dispositivo de teste executando o Windows. Você instalará o sensor Falcon neste dispositivo. Para uso geral, o Falcon também suporta dispositivos</p><p>Mac e Linux.</p><p>Um dispositivo de gerenciamento com o Google Chrome. Este dispositivo é usado para acessar o console do Falcon.</p><p>Configure sua conta Falcon, incluindo autenticação de dois fatores (2FA), usando o link em seu e-mail de ativação.</p><p>Baixe e instale o sensor</p><p>O sensor Falcon é um agente leve que você instala em cada dispositivo. Quando um dispositivo tem um sensor Falcon instalado, chamamos esse dispositivo de host .</p><p>Cada sensor detecta e evita atividades maliciosas em um host, de acordo com as políticas que você configurará posteriormente. Você usa o console Falcon para</p><p>gerenciar seus hosts.</p><p>In this example process, download and manually install the Falcon sensor on your test device.</p><p>1. Download and run the sensor installer</p><p>Download and run the installer file for your test device’s operating system per these procedures.</p><p>Windows: Manual installation</p><p>Mac: Alternative installation method: Installing without using an MDM to sync profiles</p><p>Linux: Installing the Falcon sensor for Linux</p><p>2. Verify the sensor is running</p><p>Windows: Verifying sensor installation</p><p>Mac: Verifying sensor installation</p><p>Linux: Verifying sensor installation</p><p>3. Scale up</p><p>Learn about deploying at scale, using tools like SCCM or JAMF, configuring images for cloning, and more from our full deployment guides:</p><p>Falcon Sensor for Windows</p><p>Falcon sensor for Mac</p><p>Falcon sensor for Linux</p><p>Set up a host group</p><p>Groups are collections of hosts in your organization. Using groups, you can control endpoint protection  and sensor upgrades for each of your hosts. For example, you</p><p>might create separate groups for servers, general users' devices, and your executives' devices.</p><p>In this example, create a group and assign your host by platform.</p><p>1. Create a host group</p><p>�. In the Falcon console, go to Host groups (Host setup and management > Manage endpoints > Host groups).</p><p>�. Click Add New Group in the upper-right corner.</p><p>�. Enter a name and an optional description.</p><p>https://falcon.crowdstrike.com/documentation/23/falcon-sensor-for-windows#manual-install</p><p>https://falcon.crowdstrike.com/documentation/22/falcon-sensor-for-mac#installing-no-MDM</p><p>https://falcon.crowdstrike.com/documentation/20/falcon-sensor-for-linux#install-the-falcon-sensor-for-linux</p><p>https://falcon.crowdstrike.com/documentation/23/falcon-sensor-for-windows#verifying-sensor-installation</p><p>https://falcon.crowdstrike.com/documentation/22/falcon-sensor-for-mac#verifying-installation</p><p>https://falcon.crowdstrike.com/documentation/20/falcon-sensor-for-linux#verifying-sensor-installation</p><p>https://falcon.crowdstrike.com/documentation/23/falcon-host-sensor-deployment-guide-windows</p><p>https://falcon.crowdstrike.com/documentation/22/falcon-host-sensor-deployment-guide-mac</p><p>https://falcon.crowdstrike.com/documentation/20/falcon-host-sensor-deployment-guide-linux-kernel-based-sensor</p><p>https://falcon.crowdstrike.com/hosts/groups-new</p><p>27/04/2023, 13:20 Inicialização e Ampliação | Segurança de terminais | Documentação | Suporte e recursos | Falcão</p><p>https://falcon.crowdstrike.com/documentation/28/start-up-and-scale-up 4/5</p><p>�. Select Dynamic as your group type. This means the group automatically adds new hosts when they match the group's assignment rule.</p><p>2. Put a host in the group</p><p>In your host group’s details:</p><p>�. Click Edit near Assignment rule.</p><p>�. In the OS Version column of the filter bar, select your host’s operating system. When you do, the host is added to the list of Hosts for this group.</p><p>�. Click Save in the upper-right corner.</p><p>3. Scale up</p><p>Host groups are essential when your environment has dozens (to hundreds of thousands) of hosts. Read Host and Host Group Management for information about:</p><p>Assigning hosts to dynamic groups using other attributes, such as their Organizational Unit (OU) in Active Directory</p><p>Assigning hosts to static groups by manually selecting them</p><p>Use host groups to keep your hosts running up-to-date sensor versions. Read Sensor Update Policies for more information.</p><p>Review the default prevention policy</p><p>Prevention policies are sets of rules that control how Falcon responds to potentially malicious activity identified by your sensors.</p><p>1. Navigate to the Default Policy</p><p>When you created your group, Falcon automatically assigned it to use the Default Policy, which is detection only. Review the default policy using the Falcon console:</p><p>�. Go to Prevention Policies (Endpoint security > Configure > Prevention policies).</p><p>�. Click Default Policy.</p><p>You can examine the controls in the Default Policy to understand its settings. Later, you can create your own policies to be as cautious or as aggressive as your</p><p>environment requires.</p><p>2. Scale up</p><p>When you have many groups, you want more fine-tuned control over the detections and preventions triggered on your hosts. This introductory guide shows you how</p><p>to start small with Falcon, but Falcon can detect and prevent much more sophisticated attacks on all the endpoints in your environment. Read Detection and</p><p>Prevention Policies for more information on configuring prevention policies and custom detection and prevention settings:</p><p>File Exclusions</p><p>Prevention Hashes</p><p>Custom IOA Rules</p><p>Watch the sensor detect an event</p><p>Falcon sensors detect malicious activity, respond according to your policies, and report the activity to the CrowdStrike Cloud. You can see information on this</p><p>malicious activity in the Falcon console.</p><p>1. Run a simulated attack</p><p>To see an example of what a detection looks like, run a simulated but harmless attack on your host:</p><p>�. Open a command prompt.</p><p>�. Run each applicable command:</p><p>Windows:</p><p>https://falcon.crowdstrike.com/documentation/67/host-and-host-group-management</p><p>https://falcon.crowdstrike.com/documentation/13/falcon-host-policies-guide</p><p>https://falcon.crowdstrike.com/documentation/66/sensor-update-policies</p><p>https://falcon.crowdstrike.com/configuration/prevention/policies</p><p>https://falcon.crowdstrike.com/documentation/68/detection-and-prevention-policies</p><p>27/04/2023, 13:20 Inicialização e Ampliação | Segurança de terminais | Documentação | Suporte e recursos | Falcão</p><p>https://falcon.crowdstrike.com/documentation/28/start-up-and-scale-up 5/5</p><p>cmd crowdstrike_test_critical</p><p>cmd crowdstrike_test_high</p><p>cmd crowdstrike_test_medium</p><p>cmd crowdstrike_test_low</p><p>cmd crowdstrike_test_informational</p><p>macOS and Linux:</p><p>From ZSH/Terminal/Bash, use the following commands</p><p>sh -c crowdstrike_test_critical</p><p>sh -c crowdstrike_test_high</p><p>sh -c crowdstrike_test_medium</p><p>sh -c crowdstrike_test_low</p><p>sh -c crowdstrike_test_informational</p><p>2. View the detection</p><p>Return to the Falcon console on your management device to see that the Falcon sensor detected this attack.</p><p>�. Go to Endpoint detections (Endpoint security > Monitor > Endpoint detections) on your management device.</p><p>�. Click the line item for the detection you triggered.</p><p>Review a summary of the event and investigate the sequence of events on your host that led to the attack.</p><p>3. Scale up</p><p>Read Detections Monitoring for more about understanding the detections and preventions in your environment.</p><p>Read Falcon Notifications to learn about the options available to have Falcon let you and other members of your organization know about things like incidents,</p><p>detections, policy changes, and more. This</p><p>is helpful for staying up to date even when you're not logged into the Falcon console.</p><p>More info</p><p>Visit the Support Portal to submit questions and find more info.</p><p>Sign up for our alert system to receive critical updates. We'll notify you by email or SMS to inform you of new product releases, upcoming features, and status</p><p>updates on our cloud services.</p><p>Assista a vídeos, leia planilhas de dados e veja webinars em nosso  Centro de Recursos .</p><p>Saiba mais sobre adversários que podem ameaçar sua organização ou setor em nossos  perfis de inteligência .</p><p>https://falcon.crowdstrike.com/activity/detections</p><p>https://falcon.crowdstrike.com/documentation/69/detections-monitoring</p><p>https://falcon.crowdstrike.com/documentation/143/falcon-notifications#overview</p><p>https://supportportal.crowdstrike.com/</p><p>https://supportportal.crowdstrike.com/s/topic-subscription</p><p>https://www.crowdstrike.com/resources</p><p>https://falcon.crowdstrike.com/intelligence/actors</p>