Датчик окон Crowdstrike, что это такое

Обновлено: 03.07.2024

Это список операционных систем, поддерживаемых в настоящее время CrowdStrike.

Содержание

Поддерживаемые версии датчиков

Поддерживаемые версии датчиков
Платформа Версии датчиков
Windows 6.27.14106+
macOS 6,28 .14102+
Linux 6.28.12504+

Окна

Сервер

Для Windows Server поддерживаются только 64-разрядные ОС.

Рабочий стол

Процессоры на базе ARM в настоящее время не поддерживаются для Windows.
Решения для ОС Windows на основе контейнеров, такие как Docker, в настоящее время не поддерживаются.

* Чтобы поддерживать обновления от Microsoft, эти версии Windows 10 предназначены для запуска выпусков LTSC, а не выпусков GAC.

macOS

Решения для macOS на основе контейнеров, такие как Docker, в настоящее время не поддерживаются.

Линукс

Если не указано иное, для Linux поддерживаются только ОС x86_64.
Все другие дистрибутивы и версии Linux не поддерживаются.

* Для некоторых версий ядра может потребоваться более новая версия сенсора, чем указано. Полный список поддерживаемых ядер см. в официальной документации (требуется вход в систему).

Дополнительная информация

Любой дистрибутив или версия операционной системы, не указанные здесь, скорее всего, не поддерживаются. Актуальный список можно найти в официальной документации для каждой операционной системы (требуется вход):

Примеры поиска хостов

Предупреждение.
Хотя датчик CrowdStrike Falcon можно установить на версии операционной системы, отличные от перечисленных, результаты будут непредсказуемыми. Сенсор, установленный в неподдерживаемой ОС, может перестать работать, перейти в режим ограниченной функциональности (см. ниже), удалить себя, ошибочно пометить системные процессы как вредоносные или иным образом дать сбой. Соблюдайте осторожность при установке датчика или обновлении операционной системы.

CrowdStrike Falcon обеспечивает улучшенную защиту конечных точек для ноутбуков, настольных компьютеров и серверов, принадлежащих UM. Программное обеспечение CrowdStrike Falcon, установленное на этих системах, управляется ITS Information Assurance (IA) в партнерстве с подразделением IT. UM принимает множество мер предосторожности для защиты конфиденциальности и безопасности подразделений и отдельных лиц, а также для обеспечения надлежащего использования данных, собранных CrowdStrike Falcon.

Что отслеживает и записывает CrowdStrike Falcon

CrowdStrike Falcon ищет подозрительные процессы и программы. Для этого он записывает сведения о том, кто вошел в систему на компьютере, какие программы запущены, а также имена прочитанных или записанных файлов.

Например, если вы войдете в систему и откроете документ Microsoft Word с именем «example.doc», CrowdStrike Falcon:

  • Запишите имя компьютера и имя пользователя, вошедшего в систему.
  • Запишите, что Word был запущен, и соберите некоторые сведения о самой программе Word.
  • Запишите имя файла «example.doc», но не будете получать доступ или предоставлять какую-либо информацию о содержимом этого файла.

Программное обеспечение CrowdStrike записывает процессы и сведения о запущенных программах, а также имена файлов, которые читаются или записываются, чтобы выявить потенциально вредоносные действия. Исполняемые файлы, идентифицированные как вредоносные, могут быть загружены на серверы CrowdStrike. Документы и файлы данных не загружаются.

Что CrowdStrike Falcon не записывает

Программное обеспечение не имеет доступа к содержимому:

  • Документы
  • Сообщения электронной почты
  • Обмен мгновенными сообщениями/чатами

CrowdStrike Falcon и доступ в Интернет

CrowdStrike Falcon анализирует подключения к Интернету и из Интернета, чтобы определить наличие вредоносного поведения. Он может записывать адреса посещенных веб-сайтов, но не будет регистрировать содержимое переданных страниц. Эти данные используются для обнаружения и предотвращения вредоносных действий с веб-сайтами.

Где хранятся данные CrowdStrike Falcon

CrowdStrike обеспечивает безопасное хранение собираемых данных на своих облачных серверах, и U-M сохраняет за собой право собственности на данные. В некоторых случаях сотрудники IA могут хранить данные, собранные с целью расследования потенциальных и фактических инцидентов в области ИТ-безопасности.

Доступ к данным, собранным CrowdStrike Falcon

CrowdStrike использует данные Enhanced Endpoint Protection для извлечения анонимных данных о компьютерных процессах и вредоносных методах для выявления новых моделей вредоносного поведения с целью динамической защиты клиентов. CrowdStrike ограничивает доступ своих сотрудников к данным клиентов только теми, кто нуждается в бизнесе. (Более подробную информацию можно найти в Уведомлении о конфиденциальности CrowdStrike.)

ITS ограничивает информацию, доступную в Enhanced Endpoint Protection, только той информацией, которая необходима для выявления и пресечения вредоносной активности, а доступ предоставляется только тем, кому она нужна для работы UM. Администраторы проходят обучение и получают напоминания об использовании Enhanced Endpoint Protection только по назначению в соответствии с политиками единой системы обмена сообщениями.

Crowdstrike Falcon Platform – это облачная платформа нового поколения для защиты конечных точек на базе искусственного интеллекта. С помощью их легкого агента под названием Crowdstrike Falcon Sensor вы можете быстро защитить свои системы и начать останавливать взломы за считанные минуты, но как его установить?

В этой статье вы узнаете, как устранить эту сложность, развернув Crowdstrike Falcon Sensor для Windows с помощью PowerShell и групповой политики. Вы увидите, шаг за шагом, что необходимо для установки и развертывания. Затем вы настроите и свяжете объект групповой политики, содержащий конфигурацию сценария развертывания.

Готовы ли вы развернуть лучшую платформу безопасности конечных точек на рынке сегодня в вашей среде Windows и остановить взлом? Если да, продолжайте читать!

Оглавление

Предпосылки

Вот что вам нужно для начала:

  • Учетная запись Crowdstrike. Здесь можно получить 15-дневную бесплатную пробную версию. Для выполнения этого руководства необходимо использовать идентификатор клиента (CID).
  • Доступ к учетной записи администратора домена Active Directory. Эта учетная запись необходима для редактирования и управления групповой политикой.
  • На компьютере, присоединенном к домену, должен быть установлен программный пакет средств удаленного администрирования сервера (RSAT). В качестве альтернативы вы также можете получить доступ к управлению групповыми политиками с контроллера домена Active Directory.
  • Общий файловый ресурс для размещения исполняемого файла Crowdstrike Falcon Sensor, доступ к которому могут получить компьютеры. В этом руководстве будет использоваться путь \\srv1\Installers.
  • Как минимум один присоединенный к домену компьютер с Windows 7+ для развертывания сенсора Crowdstrike Falcon.

Начнем!

Найдите свой CID и загрузите датчик Crowdstrike Falcon

В предстоящем сценарии PowerShell вам понадобится ваш идентификатор клиента Crowdstrike, поэтому обязательно сначала найдите его, если вы его еще не знаете. Для этого:

  1. Откройте браузер и перейдите к разделу «Загрузки датчиков» на портале управления Crowdstrike или щелкните элемент «Загрузки датчиков» на панели инструментов Falcon, как показано ниже.

Информационная панель Crowdstrike Falcon

Панель управления Crowdstrike Falcon

<р>2. Оказавшись на странице загрузки датчиков, вы должны увидеть раздел КАК УСТАНОВИТЬ, показанный ниже. Этот раздел содержит ваш идентификатор клиента. Скопируйте этот идентификатор в буфер обмена.

Информационная панель Crowdstrike Falcon Sensor Downloads

Панель загрузки датчиков Crowdstrike Falcon

<р>4. После загрузки у вас должен быть файл с именем WindowsSensor.exe. Теперь переместите этот файл в общую сетевую папку, к которой будут иметь доступ все компьютеры, на которые вы будете его устанавливать.

Сетевым ресурсом может быть любой общий ресурс с разрешениями только для чтения для пользователей и компьютеров. На практике это могут быть общие ресурсы, содержащие другие установочные файлы, используемые в вашей сети.

После того, как CID будет в буфере обмена или где-то сохранен, а Falcon Sensor загружен, вы готовы создать сценарий PowerShell, который установит и активирует Crowdstrike Falcon Sensor.

Создайте сценарий установки PowerShell

Настало время создать сценарий установки PowerShell. Этот сценарий подготовит ПК, на котором он работает, загрузит датчик, установит и активирует датчик. Официальная документация Crowdstrike содержит только инструкции по созданию пакетного файла для установки.

Пакетные файлы считаются устаревшими и не подходят для современных систем на базе ОС Windows. Вместо этого вы должны использовать PowerShell! Не верите мне? Тогда взгляните на эту статью TechRepublic 20-летней давности о пакетном сценарии. PowerShell проще.

Возможно, вам придется изменить политику выполнения PowerShell, чтобы запускать сценарии PowerShell. Это обычно контролируется групповой политикой, когда параметры безопасности PowerShell управляются централизованно.

Чтобы создать этот скрипт PowerShell:

  1. Запустите Visual Studio (VS) Code или ваш любимый редактор кода и вставьте следующий код. Приведенный ниже скрипт делает несколько вещей:
  • Создать временную папку для загрузки
  • Копирует файл датчика из общей папки во временную папку.
  • Проверяет, запущен ли уже Falcon Sensor, и если нет:
  • Устанавливает датчик Falcon
<р>2. Перед сохранением сценария замените значение, определенное для переменной $CID в приведенном выше сценарии, на ваш CID, который вы получили из панели инструментов Falcon.

<р>3. Кроме того, замените общий ресурс UNC, определенный выше с помощью переменной $SensorShare, на расположение, в котором хранится ваш датчик WindowsSensor.exe Falcon, например \\SERVER\Fileshare\WindowsSensor.exe. .

<р>4. Сохраните сценарий в тот же сетевой ресурс, например \\SERVER\Fileshare, и назовите его Install-Crowdstrike.ps1

.

Теперь у вас должен быть сценарий PowerShell и файл WindowsSensor.exe в общей сетевой папке.

Создание объекта групповой политики для установки датчика Crowdstrike Falcon

Чтобы установить датчик Crowdstrike Falcon, необходимо получить его и сценарий PowerShell на всех конечных точках. Для этого создайте объект групповой политики (GPO). Этот объект групповой политики будет содержать инструкции по созданию запланированной задачи Windows, которая запустит сценарий установки, который вы только что создали, в указанное время.

Если вы не знакомы с созданием объекта групповой политики, ознакомьтесь с документацией Microsoft.

  1. На компьютере, присоединенном к домену, откройте окно запуска, введите GPMC.msc и нажмите OK. Это действие откроет консоль управления групповыми политиками.
<р>2. Затем щелкните правой кнопкой мыши Объекты групповой политики и выберите Создать, как показано ниже:

Групповая политика Консоль управления - Создание нового объекта групповой политики

Консоль управления групповыми политиками — создание нового объекта групповой политики

<р>3. Укажите имя для вашего объекта групповой политики, осмысленное имя. В этом руководстве объект групповой политики называется Развернуть Crowdstrike Windows Sensor, как показано ниже:

Предоставление Имя нового объекта групповой политики

Присвоение имени новому объекту групповой политики

<р>4. Нажмите OK, чтобы создать объект групповой политики.

<р>5. На вкладке «Содержание» щелкните правой кнопкой мыши созданный вами объект групповой политики, как показано ниже, и выберите «Изменить».

Редактирование только что созданный GPO

Редактирование вновь созданного объекта групповой политики

<р>6. Перейдите в «Конфигурация компьютера» —> «Настройки» —> «Настройки панели управления».

<р>7. Щелкните правой кнопкой мыши «Запланированные задачи» и выберите «Создать» -> «Запланированная задача» (по крайней мере, для Windows 7), как показано ниже. Появится экран конфигурации новой задачи.

Создание новая запланированная задача для Windows 7 и более поздних версий

Создание нового запланированного задания для Windows 7 и более поздних версий

Настроить запланированное задание

После того как вы создали шаблон объекта групповой политики, пришло время создать запланированную задачу, которая будет выполнять сценарий установки. Запланированное задание является важной частью этого процесса, с помощью которого вы можете осуществлять максимальный контроль над развертыванием. Для начала:

  1. На экране «Новая задача» начните настройку параметров запланированной задачи, изменив действие на «Заменить». Это позволит объекту групповой политики создавать запланированную задачу каждый раз при обновлении объекта групповой политики.
<р>2. Дайте запланированной задаче имя и краткое описание. Название запланированной задачи этого руководства — Развертывание Crowdstrike Falcon для Windows

. <р>3. Затем настройте несколько параметров:

  • В разделе "Параметры безопасности" выберите запуск задачи как NT Authority\System.
  • Выберите Запускать независимо от того, вошел ли пользователь в систему или нет, чтобы не требовать интерактивного входа в систему для запуска сценария с помощью учетной записи пользователя.
  • Установите флажок "Выполнять с наивысшими привилегиями", чтобы сценарий выполнялся с повышенными правами доступа.
  • Измените меню «Настроить для» на Windows 7, Windows Server 2008R2.

Новая задача - Вкладка

Новая задача — вкладка «Общие настройки»

<р>4. Нажмите на вкладку Триггеры. На этой вкладке вы можете указать, когда эта задача будет выполняться. Это важный шаг, так как вы можете решить запустить задачу установки позднее или вскоре после завершения настройки объекта групповой политики.

<р>5. На вкладке «Триггеры» нажмите «Создать», как показано ниже, и диалоговое окно исчезнет.

Новая задача - Вкладка

Новая задача — вкладка «Триггеры» — создание нового триггера

<р>6. Выберите время, когда вы хотите, чтобы произошла установка. В этом руководстве в качестве примера используется установленное окно обслуживания в 11:00 вторника. Вы можете использовать время, которое лучше всего подходит для вас. Начните выполнение задачи по расписанию с нужными параметрами и дополнительными параметрами. Когда все будет готово, нажмите OK, как показано ниже:

Новый триггер - Настроено

Новый триггер — настроен

Новый триггер — настроен При использовании политик компьютера может потребоваться перезагрузка для создания запланированной задачи. Учитывайте это при выборе времени срабатывания.

<р>7. Теперь вы должны добавить Действия или что выполнять при запуске запланированной задачи. Чтобы начать, щелкните вкладку «Действия», как показано ниже. Здесь вы настроите запланированную задачу для запуска сценария Install-Crowdstrike.ps1.

<р>8. На вкладке «Действия» нажмите «Создать», как показано ниже. Появится диалоговое окно «Новое действие».

Новая задача - Вкладка

Новая задача — вкладка «Действия» — создание нового действия

<р>9. Поскольку вы запускаете сценарий PowerShell, оставьте параметр «Действие» при запуске программы. Запланированная задача будет выполнять powershell.exe.

<р>10. Затем в разделе «Настройки» введите Powershell.exe

. <р>11. Теперь вам нужно указать несколько параметров для механизма powershell.exe. Добавьте следующие аргументы в поле Добавить аргументы (необязательно). Эти аргументы говорят PowerShell не обращать внимания на политику выполнения на клиентской машине и запускать созданный ранее скрипт из сетевой папки.

<р>12. Когда закончите, нажмите OK, как показано ниже:

Новое действие - Настроено

Новое действие – настроено

  1. Теперь вы вернулись на вкладку "Действия". Настройка запланированной задачи завершена! Нажмите OK, чтобы вернуться в консоль управления групповыми политиками, как показано ниже:

Новая задача конфигурация завершена

Настройка новой задачи завершена

Теперь вы должны увидеть запланированную задачу в списке GPO. Поздравляю! Еще один шаг вниз.

Настроенный объект групповой политики с запланированным заданием

Настроил объект групповой политики с запланированным заданием

Связать объект групповой политики с организационным подразделением

Если вы дочитали до этого момента, поздравляем! Теперь вы находитесь на пути к успешному развертыванию.

Последний шаг — связать только что созданный объект групповой политики с выбранной вами организационной единицей с помощью консоли управления групповыми политиками. В организационной единице должны быть все компьютеры, на которые вы хотите установить Crowdstrike Falcon Sensor.

  1. Чтобы установить связь с подразделением, щелкните его правой кнопкой мыши и выберите "Связать существующий объект групповой политики", как показано ниже:

Связывание GPO

Связывание объекта групповой политики

<р>2. Появится диалоговое окно выбора объекта групповой политики. Выберите только что созданный объект групповой политики и нажмите OK.

Выберите объект групповой политики диалог

Диалог выбора объекта групповой политики

<р>3. Теперь вы должны увидеть объект групповой политики, связанный с объектом групповой политики. В следующем примере политика применяется ко всему домену kindlelab.local:

GPO подключен в GPO

GPO, связанный с GPO

Применение объекта групповой политики

После того как объект групповой политики будет связан с OU целевых систем, им необходимо перезагрузиться, чтобы запустить объект групповой политики и создать запланированное задание. Чтобы проверить свою реализацию, перезагрузите один из компьютеров, на которые вы нацелились в OU. Когда компьютер снова включится, вы должны увидеть новое запланированное задание, созданное в планировщике заданий, как показано ниже.

Планировщик заданий

Планировщик заданий

Все, что осталось сделать сейчас, это дождаться запланированного задания, чтобы выполнить сценарий установки и установить Falcon Sensor. Обычно агент устанавливается примерно за 30 секунд.

Проверка развертывания датчика

В конечном итоге вы увидите, что агенты, установленные на всех целевых компьютерах, отображаются в консоли Falcon. Развернутые агенты появляются в течение пяти минут или меньше после успешной установки.

Есть несколько способов убедиться, что развертывание прошло успешно. Самый простой способ — зайти в консоль Crowdstrike Falcon и выбрать Хосты —> Управление хостами.

Вы также можете использовать PowerShell для перечисления CSFalconService на конечной точке с помощью командлета Get-Service, как показано ниже. Эта команда запрашивает службу. Если служба отображается и работает, Falcon Sensor установлен и работает!

Get- Сервисный командлет

Командлет Get-Service

Дополнительные ресурсы

Вот несколько дополнительных статей, которые могут оказаться полезными:

Ненавидите рекламу? Хотите поддержать писателя? Получите многие из наших руководств в виде руководства по ATA.

Ещё от ATA Learning & Partners

Резервное копирование Office 365 для чайников

Лучшее руководство по защите данных Microsoft Office 365. Изучите готовые функции безопасности.

Руководства ATA

ATA известна своими высококачественными письменными учебными пособиями в виде сообщений в блогах. Поддержите ATA с помощью электронных книг ATA Guidebook PDF, доступных в автономном режиме и без рекламы!

Поскольку агент CrowdStrike должен быть ненавязчивым для пользователя, узнать, был ли он установлен, может быть нелегко. Этот документ содержит подробные сведения, которые помогут вам определить, установлен ли и работает ли CrowdStrike для следующей ОС. Обратите внимание, что проверка применяется как к версии Falcon, так и к версии Home.

Машины Windows

<р>1. Щелкните правой кнопкой мыши кнопку «Пуск», обычно в левом нижнем углу экрана. Выберите Приложения и функции.


<р>2. В открывшемся новом окне прокрутите вниз, пока не найдете «CrowdStrike Windows Sensor» в списке установленных приложений.

<р>3. Если вы не можете найти запись для «CrowdStrike Windows Sensor», CrowdStrike НЕ установлен.


Командная строка

Чтобы убедиться, что датчик работает на хосте Windows с помощью командной строки, выполните следующую команду в командной строке:

sc запрос CSFalconService

Если вы видите СОСТОЯНИЕ: 4 РАБОТАЕТ , CrowdStrike установлен и работает.


Машины macOS

Запуск приложения
<р>1. Перейдите в папку «Приложения».
Примечание. Если вы не можете найти приложение Falcon, CrowdStrike НЕ установлен.


<р>2. Найдите приложение Falcon и дважды щелкните его, чтобы запустить.

<р>3. Приложение должно запуститься и отобразить номер версии.



Командная строка

Вы также можете подтвердить, что приложение запущено через Терминал. Запустите Терминал и введите эту команду:

sudo /Applications/Falcon.app/Contents/Resources/falconctl stats agent_info

Если Терминал показывает, что команда не найдена, Crowdstrike не установлен.

Машины Linux

Чтобы убедиться, что датчик работает, выполните в терминале следующую команду:

пс-е | grep falcon-sensor

Если вы видите результат, аналогичный приведенному ниже, CrowdStrike запущен.

Читайте также: