CrowdStrike FALCON 终端威胁防护

CrowdStrike是一个全新的云端点保护平台,主要产品有:

终端威胁防护(CrowdStrike FALCON

CrowdStrike FALCON 主要有如下模块:

1.        Falcon Prevent

Falcon Prevent (Next-Generation Antivirus)是CrowdStrike的新一代防病毒解决方案。它允许组织放心替换掉传统AV解决方案。它能够保护端点免受所有类型的威胁攻击 ——包括已知漏洞和未知漏洞、恶意软件和免费恶意软件。

主要优点:

  • 更好的保护:CrowdStrike 的云原生下一代防病毒软件可防御从商品恶意软件到复杂攻击的所有类型的攻击——即使在离线时也是如此。
  • 快速简便的部署:Falcon Prevent 可在几秒钟内完全运行,无需签名、微调或昂贵的基础设施。
  • 最佳性能:从初始部署到日常使用,Falcon Prevent 的运行不会影响资源或生产力。

技术特点:

  • 最先进的预防
    • 机器学习和人工智能检测已知和未知的恶意软件和勒索软件
    • 基于行为的攻击指标 (IOA) 可防止复杂的无文件和无恶意软件攻击
    • 漏洞利用阻止通过未修补的漏洞阻止威胁的执行和传播
    • 当恶意文件首次出现在主机上时检测和隔离写入停止并隔离它们
    • CrowdStrike 安全云中内置了行业领先的威胁情报,可主动阻止恶意活动
    • 自动 IOA 修复可清除被阻止的恶意活动留下的已知工件
  • 全面的攻击可见性一目了然
    • 提供无与伦比的警报上下文和可见性
    • 在一个易于掌握的流程树中揭示整个攻击,该流程树富含上下文和威胁情报数据
    • 使用MITRE ATT&CK 框架中的详细术语报告预防事件,以查明所使用的确切策略和技术
  • 无处不在的保护
    • 专门在云中构建,以消除复杂性并简化跨组织的整个端点资产的部署
    • 广泛的平台支持,包括 Windows、Windows Server、macOS和 Linux
    • 在每个端点上运行的轻量级 Falcon 代理包括保护端点所需的所有预防技术,无论是在线还是离线
    • 涵盖了传统 AV 解决方案经常留下的众多空白
  • 简单、快速、轻便
    • 云原生平台无需持续更新签名、复杂集成或本地设备即可运行
    • CrowdStrike 的设计实现了业界最快的部署和即时操作——无需重启
    • 最小的 CPU 开销不会影响系统性能和最终用户的工作效率

2.        Falcon X

Falcon X (Threat intelligence)是CrowdStrike的网络威胁情报解决方案。它跟踪全球对手的活动,并具有自定义和智能化操作功能。同时Falcon Intelligence还可以了解对手的动机,预测对手行为,并阻止他们破坏组织。

主要特点:

  • 自动调查
    • 通过将恶意软件沙箱分析、恶意软件搜索和威胁情报整合到一个解决方案中,将端点保护提升到一个新的水平
    • 减少执行手动事件调查所需的时间和技能
    • 识别和调查相关威胁,并在未来阻止类似的攻击
  • 指标 (IOC)
    • 可视化在受 Falcon 平台保护的端点上发现的 IOC 和对手之间的关系
    • 通过丰富背景信息的 IOC 寻找威胁
    • 使用 CrowdStrike 的实时全球 IOC 提要加强防御
    • 预先构建的集成和 API使您能够使用现有的安全解决方案来协调防御
  • ACTOR PROFILES
    • 访问 165多个民族国家、电子犯罪和黑客活动对手的个人资料
    • 识别专注于攻击您的业务、地区或行业的对手
    • 了解对手的意图和能力并预测他们的下一步行动
  • 扩展端点集成
    • 内置于 CrowdStrike Falcon 平台,无需集成、管理或部署
    • 受保护的端点会自动将所有隔离文件转发到 Falcon X 以便立即进行调查
    • 简化您的工作流程并无缝转向来自其他 CrowdStrike 模块的对手洞察

3.        Falcon Device Control

Falcon Device Control (USB Device Control)是CrowdStrike的USB 设备控制和使用解决方案。它轻松查看 USB 设备使用情况,精确和精细的策略控制,与 Falcon 端点保护和扩展的 Falcon Insight 可见性无缝集成,降低与 USB 设备相关的风险。

主要优点:

  • 降低与 USB 设备相关的风险
    • Falcon Device Control 提供在您的组织中安全使用 USB 设备所需的洞察力和精细控制
  • 获得 USB 设备使用情况的自动可见性
    • 根据您的规定性策略,自动获得监控 USB 设备在您的环境中的使用情况所需的完整可见性
  • 轻松实施和管理政策
    • Falcon Device Control 不需要任何额外的端点软件安装或硬件来管理

技术特点:

  • 轻松查看 USB 设备使用情况
    • 提供 USB 设备使用情况的自动可见性
    • 自动发现并捕获详细的设备信息
    • 包括预建的仪表板和强大的搜索
    • 防止有意和无意的内部威胁
  • 精确和精细的策略控制
    • 提供精细的访问权限
    • 按供应商、产品或序列号提供设备标识
    • 启用简单的策略创建工作流程
    • 允许您在执行前测试政策影响
  • 与 Falcon 端点保护和扩展的 Falcon Insight 可见性无缝集成
    • 通过一个代理、一个控制台和一个平台进行管理
    • 为 Windows 和macOS 系统提供 100% 的云交付设备控制
    • 与 CrowdStrike Falcon 端点保护集成
    • 提供对 USB 设备使用的可搜索历史和日志的访问,并监控写入 USB 存储的文件

4.        Falcon Firewall  Management

Falcon Firewall Management (Falcon Host Firewall Control) 通过简单、集中的方法可以轻松创建、管理和执行策略。它通过相同的轻量级 Falcon 代理、管理控制台和云原生架构交付,可在几分钟内部署并运行。

主要优点:

  • 简单的防火墙管理
    • Falcon Firewall Management 通过简单、集中的方法可以轻松创建、管理和执行策略。
  • 更好的保护
    • 防御网络威胁,并获得即时可见性以增强保护并通知行动。
  • 降低复杂性
    • 它通过相同的轻量级 Falcon 代理、管理控制台和云原生架构交付,可在几分钟内部署并运行。

技术特点:

  • 简单的防火墙管理
    • 在您的 Windows 和macOS 环境中轻松创建、实施和维护防火墙规则和策略。
    • 基于模板构建新策略— 从空策略、您的模板或 CrowdStrike 模板开始
    • 一次创建防火墙规则组并在多个策略中重复使用
    • 快速将更改传播到适当的策略
  • 降低复杂性
    • 通过使用相同的轻量级 Falcon 代理、管理控制台和云原生架构来简化操作
    • 无需重启、微调或复杂配置即可在几分钟内部署并运行
    • 对主机没有额外影响,从初始安装到日常使用
    • 由于端点保护和主机防火墙管理的单一管理控制台,简化了工作流程并提高了端点安全控制的可见性
  • 更好的保护
    • 自动识别和查看特定活动、潜在威胁和网络异常
    • 一目了然的活动页面提供即时可见性,允许您监控和排除关键规则,并直接从页面修改防火墙策略
    • 应用程序和位置感知防火墙策略增强安全性并提供精细控制
  • 日志记录、故障排除和合规性
    • 通过精细控制和可见性 加快故障排除
    • 轻松启用或禁用特定规则、整个规则组或策略
    • 审核所有防火墙规则和策略更改——查看更改内容、更改对象以及更改时间
    • 使用基于角色的访问控制来确保只有适当的管理员才能查看和管理防火墙规则

5.        Falcon Insight

Falcon Insight (Endpoint Detection & Response)是CrowdStrike的端点检测和响应(EDR)的解决方案。它允许您快速发现组织环境中的攻击者,并且借助实时可见的数据和响应工具来修复漏洞状况。

主要优点:

  • 无与伦比的可见性
    • 持续监控捕获端点活动,以便您准确了解正在发生的事情 – 从单个端点上的威胁到组织的威胁级别。
  • 违规保护
    • Falcon Insight 提供可见性和深入分析,以自动检测可疑活动并确保阻止隐形攻击和违规行为。
  • 最大效率
    • Falcon Insight 加速了安全操作,使用户能够最大限度地减少处理警报的工作量,并减少调查和响应攻击的时间。

技术特点:

  • 全光谱可见性 实时
    • 连续的原始事件记录提供了无与伦比的可见性
    • 启用威胁搜寻- 主动和托管 – 具有完整的端点活动详细信息
    • 在包含上下文和威胁情报数据的易于使用的 Incident Workbench 中揭示整个攻击
    • 实时查看大图。CrowdScore 提供有关组织当前威胁级别的态势感知,以及它如何随时间变化
    • 了解端点安全状况并采取建议的措施来降低风险。与CrowdStrike 零信任生态系统合作伙伴共享评估分数,以实现实时条件访问执行
  • 简化检测和解析度
    • 智能 EDR自动检测恶意活动和攻击者活动并智能地确定其优先级
    • 强大的响应操作让您可以控制和调查受损系统,包括即时远程访问以立即采取行动
    • 简化的通知和响应工作流程使安全团队能够使用警报、检测和事件作为触发器,并构建可重复且一致的自动化
    • 快速搜索可在五秒或更短时间内返回威胁搜寻和调查查询结果
    • 将警报映射到 MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) 框架可帮助您一目了然地了解最复杂的检测
  • 最大的安全效率
    • 当您消除信息过载并将安全警报提炼成事件时缩短响应时间,将警报疲劳减少 90% 或更多
    • 智能优先排序自动进行分类并首先向您展示值得关注的内容
    • 通过丰富的上下文、智能可视化和协作加速调查
    • 集成的Falcon Fusion可编排和自动化复杂且重复的任务,显着提高 SOC 团队的效率。
    • 广泛的易于使用的 API提供与其他安全平台和工具的互操作性
  • 云的力量
    • 当您消除持续的签名更新、本地基础设施或复杂的集成时,降低成本和复杂性
    • CrowdStrike 安全云将每天数以万亿计的安全事件与攻击指标、行业领先的威胁情报和企业遥测相关联,以保护全球客户
    • 在不影响资源或生产力的情况下运行— 即使在分析和搜索时
    • 从第一天开始工作——通过广泛的平台支持(包括 Windows、Windows Server、macOS和 Linux)在组织的整个端点资产中部署并在几分钟内运行

6.        FALCON Overwatch

FALCON Overwatch (Threat Hunting)是CrowdStrike的管理威胁搜索解决方案。欲打败专门破坏组织的对手,您需要一个全天候的为您服务的专业团队来主动识别攻击。

主要优点:

  • 检测并破坏隐藏的高级攻击
    • OverWatch 不懈地寻找和破坏最隐秘的复杂威胁:1% 的威胁中未被发现的 1%。
  • 实现最大效力和效率
    • OverWatch 通过利用云规模的数据、自定义工具和最新的威胁情报提供最佳结果,并通过熟练分析师的洞察力增强这一点,以前所未有的速度和规模进行狩猎。
  • 无缝扩展您的团队
    • OverWatch 为各种规模的组织提供成果,作为您团队的无缝延伸——最大限度地减少开销、复杂性和成本。

技术特点:

  • 专有威胁搜寻方法
    • OverWatch 分析师利用其专有的 SEARCH 方法将一盏灯照亮最黑暗的角落——让对手无处可藏。
  • 感知
    • 云规模数据。可扩展且有效的威胁搜寻需要访问大量数据以及实时挖掘该数据以发现入侵迹象的能力。CrowdStrike 丰富的遥测技术为 OverWatch 威胁搜寻奠定了基础。
    • 每天数以万亿计的事件。CrowdStrike 的轻型 Falcon 传感器提供连续遥测,涵盖来自数百万个端点的数百种事件类型。所有这些都由 Falcon 平台收集和编目,提供对整个 CrowdStrike 安装基础活动的全面可见性。
  • 丰富
    • 语境。专有的 CrowdStrike Threat Graph® 将事件情境化并实时揭示数据点之间的关系。
    • 威胁情报。CrowdStrike 威胁情报提供了 140 多个对手团体的最新情报,以及在野外使用的战术、技术和程序 (TTP) 的深入工作知识。
    • 专有工具。所有这一切都以 OverWatch 的专有工具和流程为基础,确保每次狩猎都经过优化以实现最高效率。
  • 分析
    • 人类分析。威胁搜寻涉及获取丰富的数据并应用复杂的统计方法、检查异常值和频率分析。它涉及使用直觉和经验来形成和测试关于坚定的攻击者可能在何处以及如何隐藏其操作的假设。
    • 200+年的综合各种专业知识。OverWatch 雇佣了来自不同背景的精英专家,包括政府、执法部门、商业企业、情报界和国防。
    • 24/7/365 时刻保持警惕。当发生复杂的入侵时,时间至关重要。您的对手不睡觉,也不受时区或地理位置的限制——您的威胁追踪团队也不应如此。
  • 重建
    • 将点连接。在对对手采取行动之前,您首先需要充分了解威胁。一旦发现手动键盘入侵,OverWatch 就开始全面重建攻击。
    • 问正确的问题。经验可帮助 OverWatch 快速了解入侵者如何获得访问权限以及入侵的传播范围。
    • 在几秒钟内获得答案。CrowdStrike 的专有威胁图为 OverWatch 分析师提供近乎实时的这些问题的答案。
  • 交流
    • 一支队伍,一场战斗。CrowdStrike 开创了在技术、我们的专家和您的团队之间建立无缝结合的想法,缩小了检测和响应之间的差距。
    • 无摩擦的沟通。OverWatch 作为 Falcon 平台的原生组件和团队的力量倍增器运行,在您的单个云原生控制台中提供及时的威胁信息。
    • 可操作的见解。从第一天开始,您无需任何新的基础架构、通信渠道或流程即可获得结果,包括具有深度背景的警报和有针对性的响应建议。
  • 磨练
    • 连续的提高。威胁搜寻不是一次性的活动;这是一个需要不断改进和锐化工具以应对不断演变的对手 TTP 的过程。
    • 永远锋利。OverWatch 的持续、主动的操作在每一天的每一分钟都提供结果。他们处理的每个威胁都使 OverWatch 猎人能够不断微调他们的技能和流程,确保他们始终保持敏锐、有效并为下一个新威胁做好准备。

7.        Falcon Discover

Falcon Discover (IT Hygiene)是CrowdStrike的安全解决卫士方案。它为组织提供了前所未有的可见性环境,允许他们实时识别未经授权的系统和应用程序,并且根据需要进行修复以提高其整体安全状态,广泛、高效的可见性可加强您的安全态势。

主要优点:

  • 无限可见性
    • 从一个方便、强大的仪表板监控一切,并使用实时和历史数据快速深入探索应用程序、帐户和资产。
  • 击退攻击的即时数据
    • 立即获取所有系统的上下文信息,利用仪表板、图形、图表和搜索功能深入了解支持数据。
  • 对性能的零影响
    • 利用单个轻量级 CrowdStrike Falcon® 代理让您的系统和用户能够自由地完成工作。

技术特点:

  • 应用程序清单
    • 了解在您的环境中运行的所有应用程序,并搜索以查看版本、主机和用户
    • 查明可能构成风险的不受保护和不受管理的应用程序
    • 通过跟踪应用程序使用情况管理违规和许可成本
    • 识别网络中潜在的可疑应用
  • 资产管理
    • 探索托管和恶意系统的详细清单,并查看 Falcon 代理可以轻松覆盖哪些资产
    • 通过 BitLocker 清楚了解哪些主机已加密
    • 监控资产库存以帮助实现、维护和证明合规性要求
  • 账户监控
    • 随时查看谁在您的网络上
    • 跟踪管理员凭据的使用情况,以检测它们是否被不当使用
    • 监控登录时间趋势和会话长度以识别异常行为
    • 评估密码更新时间表以提高安全性和合规性

8.        Falcon Identity Threat Protection

Falcon Identity Threat Protection 结合高级人工智能、行为分析和灵活策略引擎的强大功能,实现了超准确的威胁检测和实时预防基于身份的攻击,以实施基于风险的条件访问。免受基于身份的威胁的无摩擦实时保护。

主要优点:

  • 跨多目录环境获得劳动力身份的可见性
    • Falcon Identity Threat Protection 实现了对用户对应用程序、资源和身份存储的访问的统一可见性和控制,对用户行为和风险具有可操作的洞察力,消除了混合环境中的安全盲点。
  • 获得超准确的威胁检测并显着缩短响应时间
    • Falcon Identity Threat Protection 减少了误报,通过消除对复杂且容易出错的日志分析的需求,缩短检测和解决事件的平均时间,并通过减少警报疲劳来提高 SOC 分析师的效率。
  • 使用条件访问策略实时预防基于身份的攻击
    • Falcon Identity Threat Protection 实施一致的基于风险的策略,以自动阻止、允许、审核或加强每个身份的身份验证,同时确保真正用户的无摩擦登录体验。

技术特点:

  • 细分劳动力身份
    • 提供跨 Microsoft Active Directory (AD)、Azure AD 和云单点登录 (SSO) 解决方案的身份访问权限范围和影响的持续多目录可见性。
    • 自动将身份分类为混合(本地和云 AD 上的身份)和仅限云(仅驻留在 Azure AD 上的身份)。
    • 将帐户分为人员帐户、服务帐户、共享帐户和特权帐户。
    • 提供可定制的攻击面概览,深入了解用户风险和行为随时间的变化,例如帐户锁定增加、高风险端点、密码泄露等。
  • 自动化威胁检测和响应
    • 通过持续检查实时身份验证流量(包括 LDAP/S 等加密协议)实现混合身份存储保护。
    • 提供围绕身份威胁的安全和事件的持续评估,无需获取日志或进行复杂分析。
    • 通过高级分析发现侦察(例如,LDAP、BloodHound、SharpHound、凭据泄露攻击)、横向移动(例如,RDP、Mimikatz 工具、异常端点使用、异常服务登录等)和持久性(例如,Golden Ticket 攻击)和获得专利的机器学习技术。
    • 使用直观的威胁搜寻和预定义的搜索条件(例如但不限于身份验证事件、未加密协议、用户角色、IP 信誉和风险评分)加快安全调查。
  • 零摩擦验证身份
    • 根据身份验证模式、行为基线和个人风险评分实时定义和执行策略,以使用多因素身份验证(例如 MFA)等升级身份验证来验证身份。
    • 通过仅在风险增加或偏离正常行为时触发身份验证,自动保护对身份存储和应用程序的访问,改善用户体验。
    • 通过将 MFA 扩展到任何资源或应用程序(包括遗留/专有系统和工具)来减少攻击面——例如,基于云的 MFA 解决方案未涵盖的桌面,以及诸如 PowerShell 之类的工具和基于 NTLM 的 RDP 之类的协议。
    • 使用 2FA/MFA 等身份验证方法自动解决用户批准的安全事件,无需涉及安全分析师和服务台票证。

发表评论

您的电子邮箱地址不会被公开。