Falcon OverWatch hat einen anderen Zweck als MSSPs, da diese herkömmlicherweise dazu verwendet werden, die Sicherheitsprodukte eines Kunden, etwa Firewall, IDS/IPS, SIEMs und Webgateways, zu verwalten. Sie bieten zwar einige einfache Warnmeldungsdienste, diese basieren jedoch weitgehend auf den verwalteten Sicherheitsprodukt-Warnmeldungen und überlassen dem Kunden die Verantwortung für Untersuchung, Priorisierung und Feststellung der zur Abwehr eines Vorfalls erforderlichen Maßnahmen. In der Vergangenheit haben sich MSSPs vor allem darauf konzentriert, die Perimetersicherungslösungen, etwa Firewalls, UTM (Unified Threat Management) und Webgateways zu überwachen. Dieser Ansatz hat sich als ineffizient herausgestellt, da geschickte Angreifer in der Lage sind, Unternehmen zu infiltrieren, ohne durch diese Lösungen entdeckt zu werden.
Falcon OverWatch verwaltet hingegen nicht die Sicherheitsprodukte des Kunden. OverWatch sucht stattdessen für den Kunden präventiv nach Bedrohungen und holt dabei viel weiter aus als die passive, automatisierte Erkennung, die derzeitige Sicherheitstechnologien bieten. OverWatch sucht, findet und untersucht akute Indikatoren, welche auf Angriffe hinweisen, die ansonsten unentdeckt geblieben wären, und kann diese sogar abwehren. OverWatch bietet auch umsetzbare Warnmeldungen mit Empfehlungen zur Behebung, liefert detaillierte Analysen und ermöglicht es Kunden festzustellen, was geschehen ist und wie man auf den Vorfall reagiert. Außerdem erkennen MSSPs traditionell keine hochentwickelten Angriffe. OverWatch hingegen entdeckt täglich Angriffe, die durch die MSSPs der Kunden nicht bemerkt wurden. Das lässt sich mithilfe der Gegner-Emulationsdienste von CrowdStrike® überprüfen, mit denen Kunden die Eignung ihrer MSSPs zum Erkennen hochentwickelter Angriffe testen können.