27/04/2023, 13:20 Inicialização e Ampliação | Segurança de terminais | Documentação | Suporte e recursos | Falcão

Iniciar e escalar
Ultima atualização: 12 de março de 2023

Conteúdo:
Sobre a plataforma Falcon
O que é Falcão?

Como o Falcão funciona?

Quais recursos de detecção o Falcon possui?
O que é o sensor Falcon?
Quais sistemas operacionais o Falcon suporta?
Quais dados o Falcon envia para a nuvem?
Como a Falcon protege os dados do cliente?
Colocando o Falcon em funcionamento
Antes de você começar
Baixe e instale o sensor
Configurar um grupo de hosts
Revise a política de prevenção padrão
Observe o sensor detectar um evento

Mais informações

Sobre a plataforma Falcon

O que é Falcão?
O CrowdStrike Falcon é uma solução de proteção de endpoint de próxima geração baseada em SaaS que fornece recursos avançados de detecção, prevenção,
monitoramento e pesquisa, permitindo que os analistas se defendam contra ameaças e adversários sofisticados.

O Falcon oferece visibilidade remota de endpoints em um ambiente, permitindo acesso instantâneo a "quem, o quê, quando, onde e como" de um ataque. Coletamos e
analisamos mais de 80 bilhões de eventos de endpoint todos os dias de milhões de sensores implantados em 176 países. A Falcon pode ajudá-lo a proteger seus
endpoints, quer você tenha apenas alguns ou centenas de milhares.

Como o Falcão funciona?

O Falcon consiste em dois componentes: o sensor e a nuvem.

Primeiro, um sensor leve é ​implantado em cada terminal, onde reúne os eventos de sistema apropriados de cada host e realiza ações proativas de detecção e
prevenção. O sensor Falcon detecta e defende contra ataques que ocorrem no disco e na memória. A plataforma monitora continuamente processos, eventos e
atividades suspeitas, onde quer que residam. O Falcon também fornece recursos avançados de prevenção, como permissão e bloqueio personalizados, bloqueio de
malware, bloqueio de exploração e prevenção baseada em IOA (Indicadores de ataque).

Os dados coletados pelo sensor são então transmitidos continuamente do sensor para a nuvem avançada de inteligência de ameaças da CrowdStrike, onde a
CrowdStrike analisa e traça links entre eventos em toda a comunidade de sensores Falcon. Esses padrões comportamentais são detectados em tempo real usando o
modelo de dados Threat Graph da CrowdStrike, permitindo que os analistas detectem novos ataques, independentemente de os ataques usarem malware ou não.

A CrowdStrike fornece a você um conjunto de poderosas ferramentas de investigação, prevenção, detecção e monitoramento de sensores na interface web do Falcon
- seu centro de comando para tudo relacionado ao Falcon. Consulte o Guia do usuário do Falcon Console para obter uma explicação passo a passo de cada aplicativo.

Quais recursos de detecção o Falcon possui?

Para ameaças conhecidas, o Falcon fornece antivírus baseado em nuvem (Cloud AV) e recursos de detecção de indicadores de comprometimento (IOC). Para
ameaças desconhecidas e de dia zero, o Falcon aplica a detecção de IOA, usando técnicas de aprendizado de máquina para construir modelos preditivos que podem

https://falcon.crowdstrike.com/documentation/28/start-up-and-scale-up 1/5
27/04/2023, 13:20 Inicialização e Ampliação | Segurança de terminais | Documentação | Suporte e recursos | Falcão

detectar atividades maliciosas nunca antes vistas com alta precisão. Impulsionada pelo modelo de dados Threat Graph da CrowdStrike, esta análise IOA reconhece
padrões comportamentais para detectar novos ataques.

O que é o sensor Falcon?

O sensor leva apenas alguns minutos para ser implantado em seus endpoints, e os analistas monitoram e gerenciam o ambiente por meio da interface web do Falcon,
um poderoso portal da web. Com o Falcon, não há controladores a serem instalados, configurados, atualizados ou mantidos. Não há equipamentos no local. O Falcon é
uma solução 100% baseada em nuvem, oferecendo Segurança como Serviço aos usuários.

O sensor se integra com a tecnologia SIEM?

Para hosts Windows, Mac e Linux, a CrowdStrike fornece o Falcon SIEM Connector, que permite enviar detecções e eventos de auditoria para o seu SIEM. O Falcon
SIEM Connector integra-se com HP ArcSight, IBM Q-Radar e Splunk. Além disso, a CrowdStrike oferece a API de streaming para permitir a integração com SIEMs de
terceiros. Para obter mais informações, consulte o Guia de recursos do conector SIEM e o Dicionário de eventos da API de streaming .

Quais sistemas operacionais o Falcon suporta?

Para obter a lista mais atualizada de sistemas operacionais compatíveis, consulte os Guias de implantação:

Sensor Falcon para Windows

Sensor Falcon para Mac

Sensor Falcon para Linux

Implantando o Falcon for Mobile em dispositivos iOS

Implantando o Falcon for Mobile em dispositivos Android

Quais dados o Falcon envia para a nuvem?

A plataforma Falcon foi projetada para maximizar a visibilidade em tempo real e eventos históricos de segurança de endpoint, reunindo os dados de eventos
necessários para identificar, compreender e responder a ataques — mas nada mais. A quantidade de dados que um sensor transmite para a nuvem varia de acordo
com a atividade de cada host.

Esse conjunto padrão de eventos do sistema concentra-se na execução do processo e é continuamente monitorado quanto a atividades suspeitas. Quando tal
atividade é detectada, atividades adicionais de coleta de dados são iniciadas para entender melhor a situação e permitir uma resposta oportuna ao evento. Os dados
específicos coletados mudam à medida que o CrowdStrike avança os recursos e em resposta às mudanças no cenário de ameaças.

Como a Falcon protege os dados do cliente?

CrowdStrike usa um túnel criptografado por TLS para enviar dados entre o sensor e a nuvem.

Além disso, o CrowdStrike usa fixação de certificado no lado do sensor. Isso significa que um sensor se comunica apenas com endpoints de nuvem que possuem um
certificado conhecido. O CrowdStrike também oferece a capacidade de permitir que nossos endpoints de nuvem em seus firewalls garantam que seus sensores
Falcon se comuniquem apenas com o CrowdStrike.

Em seguida, cada cliente recebe um ID de cliente exclusivo. Como a CrowdStrike marca os dados do cliente com um ID de cliente exclusivo, qualquer consulta ou
troca de dados é limitada ao escopo de um ID de cliente específico, o que protege ainda mais os dados.

Todos os dados na nuvem CrowdStrike, incluindo backups, são criptografados com criptografia AES256 padrão do setor.

A CrowdStrike também limita o acesso dos funcionários aos dados do cliente a indivíduos com necessidades comerciais. Isso inclui Suporte ao Cliente e Falcon
Overwatch. Além disso, o acesso direto aos sistemas subjacentes é limitado apenas a engenheiros com necessidades comerciais. O acesso é protegido por VPN
criptografada e autenticação multifator.

Colocando o Falcon em funcionamento

Este passo a passo de alto nível orienta você através de uma implementação básica do Falcon para endpoints Windows, Mac e Linux, desde a instalação de seu
primeiro sensor até a expansão para todo o seu ambiente. Para obter informações sobre a proteção de terminais iOS e Android, consulte Implantando o Falcon for
Mobile em dispositivos iOS e Implantando o Falcon for Mobile em dispositivos Android .

https://falcon.crowdstrike.com/documentation/28/start-up-and-scale-up 2/5
27/04/2023, 13:20 Inicialização e Ampliação | Segurança de terminais | Documentação | Suporte e recursos | Falcão

Antes de você começar

Recomendamos o uso do Falcon como sua única solução AV. A execução de mais de uma solução AV pode causar resultados inesperados.

Tenha dois dispositivos:

Um dispositivo de teste executando o Windows. Você instalará o sensor Falcon neste dispositivo. Para uso geral, o Falcon também suporta dispositivos
Mac e Linux.

Um dispositivo de gerenciamento com o Google Chrome. Este dispositivo é usado para acessar o console do Falcon.

Configure sua conta Falcon, incluindo autenticação de dois fatores (2FA), usando o link em seu e-mail de ativação.

Baixe e instale o sensor

O sensor Falcon é um agente leve que você instala em cada dispositivo. Quando um dispositivo tem um sensor Falcon instalado, chamamos esse dispositivo de host .
Cada sensor detecta e evita atividades maliciosas em um host, de acordo com as políticas que você configurará posteriormente. Você usa o console Falcon para
gerenciar seus hosts.

In this example process, download and manually install the Falcon sensor on your test device.

1. Download and run the sensor installer

Download and run the installer file for your test device’s operating system per these procedures.

Windows: Manual installation

Mac: Alternative installation method: Installing without using an MDM to sync profiles

Linux: Installing the Falcon sensor for Linux

2. Verify the sensor is running

Windows: Verifying sensor installation

Mac: Verifying sensor installation

Linux: Verifying sensor installation

3. Scale up
Learn about deploying at scale, using tools like SCCM or JAMF, configuring images for cloning, and more from our full deployment guides:

Falcon Sensor for Windows

Falcon sensor for Mac

Falcon sensor for Linux

Set up a host group

Groups are collections of hosts in your organization. Using groups, you can control endpoint protection and sensor upgrades for each of your hosts. For example, you
might create separate groups for servers, general users' devices, and your executives' devices.

In this example, create a group and assign your host by platform.

1. Create a host group

1. In the Falcon console, go to Host groups (Host setup and management > Manage endpoints > Host groups).

2. Click Add New Group in the upper-right corner.

3. Enter a name and an optional description.

https://falcon.crowdstrike.com/documentation/28/start-up-and-scale-up 3/5
27/04/2023, 13:20 Inicialização e Ampliação | Segurança de terminais | Documentação | Suporte e recursos | Falcão

4. Select Dynamic as your group type. This means the group automatically adds new hosts when they match the group's assignment rule.

2. Put a host in the group

In your host group’s details:

1. Click Edit near Assignment rule.

2. In the OS Version column of the filter bar, select your host’s operating system. When you do, the host is added to the list of Hosts for this group.

3. Click Save in the upper-right corner.

3. Scale up
Host groups are essential when your environment has dozens (to hundreds of thousands) of hosts. Read Host and Host Group Management for information about:

Assigning hosts to dynamic groups using other attributes, such as their Organizational Unit (OU) in Active Directory

Assigning hosts to static groups by manually selecting them

Use host groups to keep your hosts running up-to-date sensor versions. Read Sensor Update Policies for more information.

Review the default prevention policy

Prevention policies are sets of rules that control how Falcon responds to potentially malicious activity identified by your sensors.

1. Navigate to the Default Policy

When you created your group, Falcon automatically assigned it to use the Default Policy, which is detection only. Review the default policy using the Falcon console:

1. Go to Prevention Policies (Endpoint security > Configure > Prevention policies).

2. Click Default Policy.

You can examine the controls in the Default Policy to understand its settings. Later, you can create your own policies to be as cautious or as aggressive as your
environment requires.

2. Scale up
When you have many groups, you want more fine-tuned control over the detections and preventions triggered on your hosts. This introductory guide shows you how
to start small with Falcon, but Falcon can detect and prevent much more sophisticated attacks on all the endpoints in your environment. Read Detection and
Prevention Policies for more information on configuring prevention policies and custom detection and prevention settings:

File Exclusions

Prevention Hashes

Custom IOA Rules

Watch the sensor detect an event

Falcon sensors detect malicious activity, respond according to your policies, and report the activity to the CrowdStrike Cloud. You can see information on this
malicious activity in the Falcon console.

1. Run a simulated attack

To see an example of what a detection looks like, run a simulated but harmless attack on your host:

1. Open a command prompt.

2. Run each applicable command:

Windows:

https://falcon.crowdstrike.com/documentation/28/start-up-and-scale-up 4/5
27/04/2023, 13:20 Inicialização e Ampliação | Segurança de terminais | Documentação | Suporte e recursos | Falcão

cmd crowdstrike_test_critical

cmd crowdstrike_test_high

cmd crowdstrike_test_medium

cmd crowdstrike_test_low

cmd crowdstrike_test_informational

macOS and Linux:

From ZSH/Terminal/Bash, use the following commands

sh -c crowdstrike_test_critical

sh -c crowdstrike_test_high

sh -c crowdstrike_test_medium

sh -c crowdstrike_test_low

sh -c crowdstrike_test_informational

2. View the detection

Return to the Falcon console on your management device to see that the Falcon sensor detected this attack.

1. Go to Endpoint detections (Endpoint security > Monitor > Endpoint detections) on your management device.

2. Click the line item for the detection you triggered.

Review a summary of the event and investigate the sequence of events on your host that led to the attack.

3. Scale up
Read Detections Monitoring for more about understanding the detections and preventions in your environment.

Read Falcon Notifications to learn about the options available to have Falcon let you and other members of your organization know about things like incidents,
detections, policy changes, and more. This is helpful for staying up to date even when you're not logged into the Falcon console.

More info
Visit the Support Portal to submit questions and find more info.

Sign up for our alert system to receive critical updates. We'll notify you by email or SMS to inform you of new product releases, upcoming features, and status
updates on our cloud services.

Assista a vídeos, leia planilhas de dados e veja webinars em nosso Centro de Recursos .

Saiba mais sobre adversários que podem ameaçar sua organização ou setor em nossos perfis de inteligência .

https://falcon.crowdstrike.com/documentation/28/start-up-and-scale-up 5/5