X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >

Häufig gestellte Fragen zu CrowdStrike Falcon Sandbox

Was ist Falcon Sandbox?

CrowdStrike® Falcon Sandbox ist eine automatisierte Malware-Analyselösung, die Sicherheitsteams durch Überlagerung umfassender Threat Intelligence mit den Ergebnissen der leistungsstärksten Sandbox-Lösung der Welt unterstützt. Diese einzigartige Kombination liefert jenen Kontext, den Analysten benötigen, um ausgeklügelte Malware-Angriffe besser zu verstehen und ihre Sicherheitsmaßnahmen genau abzustimmen. Falcon Sandbox führt genaue Analysen getarnter und unbekannter Bedrohungen durch, ergänzt die Ergebnisse durch Threat Intelligence und liefert umsetzbare Indikatoren für eine Kompromittierung (IOCs). Mit Falcon Sandbox können Cybersicherheitsteams, unabhängig von der jeweiligen Expertise, ihr Verständnis der Bedrohungen, mit denen sie zu tun haben, vertiefen und das so gewonnene Wissen für das Abwehren künftiger Angriffe nutzen.

Sind an Falcon Sandbox übermittelte Dateien privat?

Ja. An Falcon Sandbox übermittelte Dateien sind privat. Wenn Sie eine Lizenz für Falcon Sandbox erwerben, erstellt CrowdStrike eine dedizierte Private Cloud-Instance, die ausschließlich für Ihre Organisation reserviert ist.  Alle eingereichten Dateien und zugehörigen Berichte werden in dieser separaten Umgebung gespeichert und verwaltet. Wenn Sie Datenschutzrichtlinien haben, die das Senden von Malware-Dateien an die Cloud untersagen, ist die Falcon Sandbox On-Prem-Version überlegenswert.

Was ist die Hybridanalyse-Technologie, und welche Vorteile bringt sie für die Malware-Analyse?

Die Hybridanalyse kombiniert Laufzeitdaten mit Speicherauszuganalysen, um alle möglichen Ausführungspfade zu extrahieren, auch für besonders gut getarnte Malware. Die Kombination aus Hybridanalyse und der umfangreichen Falcon Sandbox-Analyse vor und nach der Ausführung bietet eine einzigartige Kapazität und führt zur Extraktion von mehr IOCs als bei allen konkurrierenden Sandbox-Lösungen. Alle durch die Hybridanalyse-Engine extrahierten Daten werden automatisch verarbeitet und in die Falcon Sandbox-Berichte aufgenommen.

Mehr dazu erfahren Sie auf der Hybrid-Analysis-Technologieseite.

Warum ist ein „Kernelmodus-Monitor“ für das Analysieren von Malware wichtig?

Autoren moderner Malware kennen die Sandbox-Technologie und haben ihre Malware so instrumentiert, dass sie, sobald sie einen externen Prozess erkennt, der die Datei überwacht, die schädliche Aktivität entweder anhält oder verbirgt. Herkömmliche Sandbox-Monitore der ersten Generation laufen auf der Anwendungsschicht (Benutzermodus), um Library-Aufrufe abzufangen, die leicht auszumachen sind. Falcon Sandbox implementiert die Überwachung auf Betriebssystemebene (Kernelmodus) und lässt den Zielprozess unangetastet, sodass sie sehr schwer zu erkennen ist. Der Falcon Sandbox Kernelmodus-Monitor hat sich als robust und äußerst wirksam gegen Malware „in freier Wildbahn“ und die meisten aktuellen Malware-Samples herausgestellt. Die erstklassige Anti-Sandbox- und Anti-VM-Erkennungstechnologie von CrowdStrike (Benchmark-Tools sind etwa Pafish und VMDE) ermöglicht die Analyse auch besonders gut getarnter Malware. CrowdStrike aktualisiert Falcon Sandbox laufend, damit es auch auch neuen Tarntechniken überlegen ist, und überprüft deren Leistung durch betriebseigene Benchmark-Tools und das öffentliche Community-Angebot (Hybrid-Analysis.com), das Tag für Tag in der Praxis getestet wird.

Was ist Hybrid-Analysis.com?

Hybrid-Analysis.com ist eine kostenlose Online-Malware-Community, in der Benutzer Dateien kostenlos zur eingehenden Analyse übermitteln können. Außerdem können Benutzer über die Website und umfassend dokumentierte REST-API Tausende vorhandene Malware-Berichte durchsuchen oder Samples und IOCs herunterladen.

Hybrid-Analysis ist ein unabhängiger, durch Falcon Sandbox gestützter Dienst und eine großartige Möglichkeit zur Evaluierung der Falcon Sandbox-Technologie. Hybrid-Analysis bietet einen Teil der Falcon Sandbox Private Cloud-Funktionen. In der folgenden Tabelle sind ein paar Unterschiede angeführt:

Funktion

Hybrid-Analysis.com

Falcon Sandbox
Private Cloud

Gesamtzahl der pro Monat analysierten Dateien

Bis zu 30 Dateien

Bis zu 25.000 Dateien

Datenschutz

Berichte sind allgemein zugänglich, Dateien können als privat markiert werden

Vollständiger Datenschutz

Unterstützte Betriebssysteme

Windows 7 (32/64), Ubuntu (64), Android (statische Analyse)

Plus Windows 10

Art der Übermittlung

Nur Dateien, Archive

Plus URL-Analyse

Downloads / Formate

Binärdatei-Samples, PCAPs, MAEC, STIX, MISP, OPenIOC

Plus PDF, XML, JSON, HTML

Berichterstellung

Einblick in Risiko, Zusammenfassung und Malware-Bewertung

Vollständige Berichte – einschließlich aller IOCs, aller IDS-Regeln, Intelligence und mehr.

CrowdStrike Falcon Intelligence™

Keine

Akteur-Zuordnung, Anzeige von IOCs, IDS und YARA-Regeln von Falcon Intelligence

Rekursive Analyse

Keine

Sucht automatisch und liefert Analyseberichte für alle zugehörigen Malware-basierten Akteure, Kampagnen und Malware-Familien

Wir wird Falcon Sandbox skaliert?

Falcon Sandbox Private Cloud skaliert automatisch. Sie können mit einer entsprechenden Lizenz problemlos bis zu 25.000 Dateien pro Tag verarbeiten. Diese Skalierbarkeit steht Ihnen ohne jegliche Infrastrukturkosten zur Verfügung.

Falcon Sandbox On-Prem-Kunden können, abhängig von Ihrer Bereitstellung, problemlos bis zu einer Verarbeitung von 25.000 Dateien pro Tag skalieren. Mit dem Lastverteilungs-Broker Falcon Sandbox Bridge können Sie verteilte Großsysteme schaffen und die Verarbeitung von Hunderttausenden Dateien pro Tag ermöglichen. Für Anleitungen und Bereitstellungsoptionen wenden Sie sich bitte an [email protected].

Was ist Falcon Sandbox On-Prem?

Falcon Sandbox On-Prem ist für Unternehmen konzipiert, die kundenspezifische Kontrolle über die Zerstörung von Malware benötigen, strenge Datenschutzanforderungen haben, aufgrund derer keine Dateien die Organisation verlassen dürfen, oder enorme Skalierbarkeit auf über 25.000 analysierte Dateien pro Tag benötigen.

Falcon Sandbox On-Prem enthält Falcon Sandbox Private Cloud, plus:

  • Aktiviert benutzerdefinierte oder "goldene“ Images virtueller Gastmaschinen (VMware- und VirtualBox-Hypervisor werden unterstützt)
  • Analysiert Dateien in einer unbegrenzten Menge virtueller Umgebungen parallel und bietet so echte Erkennung gezielter Angriffe
  • Falcon Sandbox kann genau auf Ihre speziellen Anforderungen abgestimmt werden. Falcon Sandbox On-Prem hat Hunderte von Konfigurationsoptionen einschließlich benutzerdefinierter „Aktionsskripts“ (zum Simulieren menschlicher Aktivitäten während einer Detonation), benutzerdefinierter Verhaltensindikatoren, und Sie können die Malware-Bewertung für benutzerdefiniertes Risk-Scoring beeinflussen
  • Kann gänzlich ohne Verbindung zum Netzwerk laufen (mit Air Gap) und zugleich Netzwerkanbindung simulieren (mittels FakeNet-NG, INetSim)
  • Ermöglicht eine Reihe von Integrationen, kann beispielsweise Feedback-Analyseergebnisse mittels CEF syslog an SIEMs senden
  • Sie können Ihre eigenen benutzerdefinierten YARA-Regeln, Hash-/Zertifikat-Positivlisten und mehr hinzufügen

CrowdStrike liefert die gesamte durch Falcon Sandbox On-Prem verwendete Software als Teil eines automatisierten Installationsprozesses. CrowdStrike benachrichtigt alle Kunden, wenn ein neuer Release verfügbar ist und verschickt Links zur Dokumentation und zum Release-Paket. Das Upgrade des Systems erfolgt automatisiert, problemlos und schnell.

Was ist der Unterschied zwischen Falcon Sandbox Private Cloud und Falcon Sandbox On-Prem?

Falcon Sandbox Private Cloud ist die von den meisten Falcon Sandbox-Benutzern bevorzugte Bereitstellungsoption. Die Cloud-Bereitstellung bietet sofortige Einsetzbarkeit, es ist keine Infrastruktur-Investition erforderlich – eine überzeugende, kostengünstige Bereitstellungsoption.

Die Falcon Sandbox On-Prem-Option ist für Organisationen konzipiert, die kundenspezifische Kontrolle über die Zerstörung von Malware benötigen, strenge Datenschutzanforderungen haben, aufgrund derer keine Malware die Organisation verlassen darf, oder enorme Skalierbarkeit auf über 25.000 analysierte Dateien pro Tag benötigen.

In der folgenden Tabelle sind die Merkmale der beiden Bereitstellungsoptionen zusammengestellt:

Merkmal

Falcon Sandbox

Private Cloud

Falcon Sandbox On-Prem

Gesamtzahl der pro Monat analysierten Dateien

UBis zu 25.000 Dateien pro Tag

Unbegrenzte Dateienmenge

Unterstützung für Gastbetriebssystem

Windows, 7,10, (32/64), Ubuntu  Linux (64), Android (statische Analyse)

Zusätzlich benutzerdefinierte Computer-Images, Ubuntu Linux (32 Bit)

Datenschutz

Alle Dateien/Berichte sind privat

Zusätzlich Möglichkeit der Bereitstellung ohne Verbindung mit dem Netzwerk (Air gap)

Downloads/Dateiformate

Binärdatei-Samples, PCAPs, MAEC, STIX, MISP, OPenIOC, PDF, XML, JSON, HTML

Zusätzlich CEF-Format

Anpassung

Konfigurieren der Malware-Detonation (Dauer, Datum und Uhrzeit), Auswahl vorhandener Aktionsskripts, Auswahl aus vorhandenen Ausführungsumgebungen

Zusätzlich Möglichkeit zur Ausführung von Malware-Samples auf benutzerdefinierten Images, Erstellen benutzerdefinierter Aktionsskripts und Hinzufügen detaillierter Konfigurationsoptionen

Berichterstellung

Vollständige Analyseberichte, einschließlich Analyse rekursiver Dateien

Analyse rekursiver Dateien (kommt in Kürze)

Integration von CrowdStrike Intelligence

Ja

Lizenz erforderlich

Rekursive Analyse

Ja

Kommt in Kürze

Was ist Falcon Sandbox Bridge?

Für Falcon Sandbox On-Prem-Kunden: Falcon Sandbox Bridge ermöglicht die Erstellung eines verteilten Falcon Sandbox-Systems, das Hunderttausende Dateien pro Tag verarbeiten kann.  Diese Größenordnung wird durch Hinzufügen physischer Server zu Ihrem vorhandenen Falcon Sandbox On-Prem-System mit einem Lastenausgleich-Controller erzielt, der eingehende Dateien auf ein oder mehrere designierte, durch Falcon Sandbox On-Prem verwaltete Anwendungsserver verteilt.

Für alle Falcon Sandbox-Kunden: Falcon Sandbox Bridge kann Dateien aus verschiedenen Quellen (etwa E-Mail-Posteingängen, Netzwerklaufwerken usw.) erfassen und an Falcon Sandbox Private Cloud oder Falcon Sandbox On-Prem weiterleiten. Der Dateierfassungsprozess wird durch Abruf der Dateiquelle mit benutzerdefinierter Frequenz implementiert. Ist die Analyse abgeschlossen und wird – auf Basis eines benutzerdefinierten Bedrohungseinstufung – das Ergebnis für eine Datei abgerufen, so wird eine automatisierte E-Mail-Benachrichtigung gesendet.

Welche Dateien kann Falcon Sandbox analysieren?

Die Falcon Sandbox unterstützt PE-Dateien (.exe, .scr, .pif, .dll, .com, .cpl usw.), Office (.doc, .docx, .ppt, .pps, .pptx, .ppsx, .xls, .xlsx, .rtf, .pub), PDF, APK, ausführbares JAR, Windows Script Component (.sct), Windows Shortcut (.lnk), Windows Help (.chm), HTML Application (.hta), Windows Script File (*.wsf), Javascript (.js), Visual Basic (*.vbs, *.vbe), Shockwave Flash (.swf), Perl (.pl), PowerShell (.ps1, .psd1, .psm1), Scalable Vector Graphics (.svg), Python(.py)- und Perl(.pl)-Skripts, ausführbares Linux-ELF, MIME RFC 822 (*.eml) und Outlook *.msg-Dateien.

Die können Archive mit oder ohne Kennwort hochladen: ace, arj, 7z, bzip2, gzip2, iso, rar, rev, tar, wim, xz und zip. Wenn Sie ein Kennwort verwenden, ist das „infizierte“ Standard-Kennwort erforderlich.

Durch welche Berichtformate werden Sie unterstützt?

Berichtformate sind XML, MAEC (4.1), OpenIOC (1.1), MISP XML und JSON. Berichte werden auch als einzelne HTML- oder PDF-Datei bereitgestellt.

Wie kann ich steuern, wie eine Datei analysiert wird?

Mit Falcon Sandbox können Benutzer die Kontrolle übernehmen, da es die Möglichkeit bietet, die Einstellungen zu konfigurieren und festzulegen, wie Malware zerstört wird. Zu diesen Optionen zählen etwa: Einstellung von Datum/Uhrzeit, Umgebungsvariable, Einstellung von Befehlszeilenoptionen, Bereitstellung von Kennwörtern für PDF-/Office-Eingabeaufforderungen. Außerdem können Sie aus zahlreichen „Aktionsskripts“ auswählen, die Benutzerverhalten während der Detonation nachahmen (etwa Mausklicks und Bewegung, Tastatureingabe), was dazu beiträgt, Malware aufzudecken, die versucht, sich vor der Sandbox-Technologie zu verstecken.

Was sind Falcon-Sandbox Verhaltensindikatoren?

Verhaltensindikatoren definieren, ähnlich wie Indikatoren für Angriffe (IOAs), Aktivitäten mit hohen Risiken oder eine Reihe aufeinanderfolgender Aktivitäten, die als potenziell schädlich gelten können. Beispiele dafür sind etwa ein Eintrag in eine Autostart-Registry, das Ändern einer Firewall-Einstellung, das Schreiben einer bekannten Ransomware-Datei auf einen Datenträger oder das Senden von Daten an ungewöhnliche Ports. Verhaltensindikatoren bieten einen umfassenderen Einblick in das potenzielle Risiko der Datei und werden dazu verwendet, bisher unbekannte Bedrohungen zu erkennen.  Falcon Sandbox enthält über 700 generische Verhaltensindikatoren, die laufend aktualisiert und erweitert werden.

Welche Betriebssysteme für die Detonation unterstützen Sie?

Wir unterstützen Windows Desktop XP, Vista, 7, 8, 10 (32 und 64 Bit) und Ubuntu/RHEL Linux (32 und 64 Bit). Wir unterstützen auch statische Dateianalyse für Android APK-Dateien. Benutzerdefinierte Images virtueller Maschinen (mittels VMWare und VirtualBox) werden in Falcon Sandbox On-Prem unterstützt.

Welche Art von Informationen ist in einem Falcon Sandbox-Analysebericht verfügbar?

Falcon Sandbox-Berichte beinhalten eine Incident Response-Zusammenfassung, Links zu zugehörigen Sandbox-Analyseberichten, zahlreiche IOCs, Akteur-Zuordnung, Analyse rekursiver Dateien, Dateidetails, Screenshots der Detonation, Laufzeitprozessbaum, Analyse des Netzwerkdatenverkehrs, extrahierte Zeichenfolgen und Abrufe zur IP-/URL-Zuverlässigkeit. Außerdem wird zu den Berichten Intelligence aus AlienVault OTX, VirusTotal und durch Falcon Intelligence hinzugefügt, die Bedrohungsakteur-Zuordnung, zugehörige Samples und mehr bieten. Zusätzlich können Sie CrowdStrike Falcon Sandbox-Berichte auf Beispiele überprüfen.

Kann ich die Ergebnisse bereits analysierter Malware auf Bedrohungen und anderes durchsuchen?

Ja. Falcon Sandbox bietet vielfältige Suchoptionen, etwa die Möglichkeit, Suchbegriffe zu kombinieren. Sie können nach dem Namen einer Virus-Familie, einem Bedrohungsakteur, bestimmten Dateitypen, Hashes, #Tags und danach suchen, ob ein bestimmter Verhaltensindikator ausgelöst wurde. Sie können sogar Berichte suchen, die eine bestimmte IP-Adresse, ein bestimmtes Land, eine Domain, URL usw. kontaktiert haben.

Welche Integrationsmöglichkeiten zu Falcon Sandbox gibt es?

Falcon Sandbox bietet eine breite Palette an Integrationen. Dazu zählen:

  • VirusTotal und OPSWAT Metadefender
  • AlienVault OTX
  • SIEM-Systeme, die das CEF-Format verwenden (weitere Informationen)
  • NSRL (Whitelisting)
  • Thug Honeyclient (z. B. URL-Exploit-Analyse)
  • Suricata (Netzwerksbedrohungserkennung)
  • TOR (zum Vermeiden von externem IP-Fingerprinting)
  • Orchestrierungs-Plattformen (z. B. Demisto, Phantom) (weitere Informationen)
  • FAME (Malware-Analyse-Framework) (weitere Informationen)
  • Cortex (verwaltet Beobachtbares in großem Maßstab) (weitere Informationen)

Es ist auch die Falcon Sandbox REST-API mit vollem Funktionsumfang verfügbar. (weitere Informationen)

Was ist eine rekursive Analyse, und warum ist sie wichtig?

Die rekursive Analyse ist eine einzigartige Funktion, die feststellt, ob die analysierte Datei zu einer größeren Kampagne, Malware-Familie oder einem Bedrohungsakteur gehört. Falcon Sandbox durchsucht automatisch die größte Malware-Suchmaschine der Branche nach zugehörigen Samples und weitet die Suche innerhalb von Sekunden auf alle Dateien aus. Das ist deswegen wichtig, weil dadurch Analysten den Angriff verstehen können und ein größeres Set von IOCs für das Schützen der Organisation zur Verfügung steh

Ist Falcon Sandbox in andere Sprachen übersetzt?

Ja: Englisch, Deutsch, Spanisch, Französisch, Italienisch, Niederländisch, Polnisch, Portugiesisch, Chinesisch, Türkisch, Russisch, Vietnamesisch, Koreanisch, Thai, Indonesisch, Malaysisch, Arabisch.

Wie viel kostet Falcon Sandbox?

Falcon Sandbox wird auf Abonnementbasis lizenziert, und zwar abhängig von der Anzahl der durch Falcon Sandbox pro Monat analysierten Dateien. Es gibt flexible Abonnementoptionen für Falcon Sandbox Private Cloud und die On-Prem-Version.

Wenn Sie weitere Informationen benötigen, kontaktieren Sie uns bitte.