Häufig gestellte Fragen zu Falcon OverWatch

CrowdStrike Falcon OverWatch™ ist ein verwalteter Hunting-Dienst, der für das Erkennen von ungewollten Zugriffen, schädlichen Aktivitäten und Gegnern zuständig ist, die andernfalls möglicherweise unbemerkt blieben. Außerdem spürt Falcon OverWatch präventiv heimliche und destruktive Malware-Kampagnen auf, benachrichtigt gegebenenfalls die Kunden und bietet Schutz.

Falcon OverWatch hat einen anderen Zweck als MSSPs, da diese herkömmlicherweise dazu verwendet werden, die Sicherheitsprodukte eines Kunden, etwa Firewall, IDS/IPS, SIEMs und Webgateways, zu verwalten.  Sie bieten zwar einige einfache Warnmeldungsdienste, diese basieren jedoch weitgehend auf den verwalteten Sicherheitsprodukt-Warnmeldungen und überlassen dem Kunden die Verantwortung für Untersuchung, Priorisierung und Feststellung der zur Abwehr eines Vorfalls erforderlichen Maßnahmen. In der Vergangenheit haben sich MSSPs vor allem darauf konzentriert, die Perimetersicherungslösungen, etwa Firewalls, UTM (Unified Threat Management) und Webgateways zu überwachen. Dieser Ansatz hat sich als ineffizient herausgestellt, da geschickte Angreifer in der Lage sind, Unternehmen zu infiltrieren, ohne durch diese Lösungen entdeckt zu werden.

Falcon OverWatch verwaltet hingegen nicht die Sicherheitsprodukte des Kunden. OverWatch sucht stattdessen für den Kunden präventiv nach Bedrohungen und holt dabei viel weiter aus als die passive, automatisierte Erkennung, die derzeitige Sicherheitstechnologien bieten. OverWatch sucht, findet und untersucht akute Indikatoren, welche auf Angriffe hinweisen, die ansonsten unentdeckt geblieben wären, und kann diese sogar abwehren. OverWatch bietet auch umsetzbare Warnmeldungen mit Empfehlungen zur Behebung, liefert detaillierte Analysen und ermöglicht es Kunden festzustellen, was geschehen ist und wie man auf den Vorfall reagiert. Außerdem erkennen MSSPs traditionell keine hochentwickelten Angriffe. OverWatch hingegen entdeckt täglich Angriffe, die durch die MSSPs der Kunden nicht bemerkt wurden. Das lässt sich mithilfe der Gegner-Emulationsdienste von CrowdStrike® überprüfen, mit denen Kunden die Eignung ihrer MSSPs zum Erkennen hochentwickelter Angriffe testen können.

Falcon OverWatch identifiziert und stoppt Tag für Tag Angriffe, die keine anderen Sicherheitsmaßnahmen entdecken – geschweige denn stoppen – konnten. Falcon OverWatch stoppt durchschnittlich über 15.000 versuchte Sicherheitsverletzungen pro Jahr.

Für den CrowdStrike Falcon®-Agent bedarf es keiner Festlegung einer Baseline. Falcon OverWatch vergleicht bei einer Untersuchung die Aktivität jedes Benutzers, Prozesses und jeder Workstation mit anderen in der Umgebung des Kunden.

Ein typisches Beispiel: Falcon OverWatch beobachtet, dass ein Benutzer, „Bob“, Remotedesktopprotokoll (RDP) genutzt hat, um auf einen Server zuzugreifen und ein paar verdächtige Befehle auszuführen. Falcon OverWatch untersucht alle Anmeldungen in diesem System und vergleicht interaktive und RDP-Logins. Zugleich untersucht es Bobs RDP-Nutzung in der gesamten Umgebung. In einem anderen Beispiel findet OverWatch einen verdächtigen Prozess und untersucht, wie oft und wo eine verdächtige Datei in der Umgebung ausgeführt wurde. Als verwalteter Hunting-Dienst kann Falcon OverWatch diese Analyse einen Schritt weiterführen und zu bestimmen versuchen, wie verbreitet diese Datei im ganzen DataSet ist und ob sie auch anderswo ähnliche Eigenschaften aufweist.

OverWatch bezieht routinemäßig das CrowdStrike Services-, Incident Response- und Threat Intelligence-Team ein. Das OverWatch-Team arbeitet mit dem Falcon Intelligence™- und dem Security Response-Team zusammen, und umgekehrt. Dabei hilft es bei der Identifikation von Aktivitäten und Malware, die bei seinen Analysen gefunden wurden. Bei Vorfallsabwehrfällen, an denen Falcon OverWatch beteiligt ist, arbeitet das Team eng mit CrowdStrike Services zusammen, mit dem es aus Untersuchungen gewonnene Informationen teilt.

Retroaktive Untersuchungen finden statt, wenn Falcon OverWatch in Daten aus der Vergangenheit nach Belegen für ein Eindringen sucht. Diese Untersuchungen erfolgen ziemlich häufig. Im Lauf eines Eindringens werden Untersuchungs-Artefakte wie IPs, Domains, Hashes und anderes erfasst. Diese Artefakte werden in die CrowdStrike-Analysedatenbank geladen, um in Hinkunft Warnmeldungen in den Kunden-UIs der Falcon-Plattform zu generieren. Falcon OverWatch sucht auch nach dem Vorkommen dieser Indikatoren in der Vergangenheit, untersucht alle Treffer und benachrichtigt gegebenenfalls den Kunden.

Falcon OverWatch ist sehr effizient beim Skalieren von Ereignisvolumina, Systemen und Personal. Da Falcon OverWatch sich darauf konzentriert, gezieltes und heimliches Eindringen aufzufinden, analysiert es nicht nur Erkennungen der Falcon-Plattform, sondern verwendetet auch eigene OverWatch-interne Erkennungs- und Analyse-Tools. Das versetzt OverWatch in die Lage, die Erkennungsplattform abzustimmen und Fehlalarme zu eliminieren. Dadurch erhöht sich die Erkennungsgenauigkeit und die Analyselast sinkt. Schließlich nutzt Falcon OverWatch reichlich intelligente Automatisierung, die Routine-Aufgaben eliminiert und den Störspannungsabstand überall, wo das möglich ist, erhöht.

Falcon OverWatch bietet gestaffelte Servicestufen, die aufeinander aufbauen, was es Unternehmen ermöglicht, die Option zu wählen, die am besten zu ihren Geschäftsanforderungen und Ressourcen passt:

• Falcon OverWatch Standard ist die Einstiegsstufe des Services, mit präventivem Aufspüren von Bedrohungen rund um die Uhr sowie E-Mail-Benachrichtigung und Warnmeldungen durch das Falcon OverWatch-Team sofort nach der Erkennung.
• Falcon OverWatch Premium ist die höchste Stufe von CrowdStrike OverWatch und umfasst alle Standard-Dienste sowie eskalierte Alarmbenachrichtigungen und direkten Kontakt. Proaktive Zustandsprüfungen und Lösungskonfiguration, direkter Kontakt zu Mitgliedern des OverWatch-Teams und vierteljährliche Briefings und Sicherheitsempfehlungen stellen sicher, dass Sie den Angreifern immer einen Schritt voraus sind und die Riesensicherheitsverletzung stoppen können.

Falcon wird auf Abonnementbasis pro Endgerät lizenziert. Unser CrowdStrike Falcon Prevent-Virenschutz der nächsten Generation kann ab $59,99 pro Endgerät und Jahr abonniert werden. Wenn Sie weitere Informationen benötigen, wenden Sie sich bitte an uns und fordern Sie ein Angebot an. Das Produkt kann auch direkt auf AWS Marketplace erworben werden.