CrowdStrike Falcon FAQ

Falcon ist eine Plattform, mit von CrowdStrike mit dem Ziel entwickelt wurde, Sicherheitsvorfälle mithilfe cloudbasierter, einheitlicher Technologien zu stoppen. Und zwar sämtliche Angriffsarten – einschließlich Malware. Die hochversierten heutigen Angreifer nutzen nicht nur mehr Malware, um Unternehmen zu schaden, sondern zunehmend auch Exploits, Zero-Day-Angriffe und schwer feststellbare Methoden, wie Identitätsdiebstahl und Tools, die Bestandteil der Umgebung oder des Betriebssystems des Opfers sind, wie beispielsweise PowerShell. CrowdStrike Falcon reagiert auf diese Herausforderungen mit einer leistungsstarken und dennoch schlanken Lösung. Sie vereint Virenschutz der nächsten Generation (NGAV), Endgeräteerkennung und Reaktion (EDR), verwaltete Bedrohungssuche und Sicherheitshygiene – alles in einem kleinen, schlanken Sensor, der in der Cloud verwaltet und bereitgestellt wird.

Die CrowdStrike-Falcon-Plattform beinhaltet:

• Falcon Prevent – Virenschutz der nächsten Generation (NGAV))
• Falcon Insight – Endgeräteerkennung und Reaktion (EDR)
• Falcon OverWatch – Verwaltete Bedrohungssuche
• Falcon Discover – Sicherheitshygiene
• Falcon Intelligence – Bedrohungsaufklärung

Falcon Prevent beinhaltet Antivirusfunktionen der nächsten Generation (NGAV) die einen umfassenden und bewährten Schutz bieten, der Ihr Unternehmen vor Angriffen mit oder ohne Malware schützt. Egal ob Identifizierung bekannter Malware, maschinelles Erlernen unbekannter Malware, Exploit-Blockierung oder Angriffsindikatoren (IAO) für Verhaltenstechniken: Mit CrowdStrike Falcon Prevent können Unternehmen ihre vorhandenen, herkömmlichen AV-Lösungen zuverlässig ersetzen.

Falcon Insight arbeitet mit Endgeräteerkennung und Reaktion (EDR) und schafft damit eine kontinuierliche und umfassende Transparenz, sodass Sie in Echtzeit wissen, was auf Ihren Endgeräten passiert. Die umfangreichen Funktionen von Falcon Insight erstrecken sich über Erkennung, Reaktion und Forensik, damit nichts übersehen wird und damit potenzielle Sicherheitsvorfälle gestoppt werden, bevor die Betriebsabläufe gefährdet sind.

Falcon OverWatch ist eine verwaltete Lösung zur Bedrohungssuche. Wer versierte Angreifer abwehren will, die sich darauf spezialisiert haben, in eine Organisation einzubrechen, benötigt ein spezielles Team, das rund um die Uhr für Sie arbeitet, um Angriffe proaktiv zu identifizieren. Das weltweit operierende Team von Falcon OverWatch ergänzt Ihre internen Sicherheitsressourcen nahtlos, um bösartige Aktivitäten frühestmöglich zu erkennen und Angreifer zu stoppen.

Falcon Discover ist eine IT-Hygienelösung, die nicht autorisierte Systeme und Anwendungen identifiziert und die Verwendung von Konten privilegierter Benutzer an jedem Ort in Ihrer Umgebung überwacht. Das alles geschieht in Echtzeit, sodass bei Bedarf Abhilfemaßnahmen zur Verbesserung Ihrer Sicherheitslage ergriffen werden können.

Ja, Unternehmen können ihre vorhandenen, herkömmlichen AV-Lösungen ruhigen Gewissens durch CrowdStrike Falcon Prevent ersetzen. Egal ob Identifizierung und Abwehr bekannter Malware, maschinelles Erlernen unbekannter Malware, Exploit-Blockierung oder Angriffsindikatoren (IAO) für Verhaltenstechniken: CrowdStrike Falcon Prevent schützt gegen Angriffe. Ganz gleich, ob Ihre Endgeräte online oder offline sind. Für Unternehmen, die die Einhaltung einschlägiger gesetzlicher Anforderungen nachweisen müssen, lässt sich Falcon Prevent in Windows System Center integrieren.

Ja, CrowdStrike Falcon wurde von unabhängigen Dritten als geeigneter Ersatz für Antivirenlösungen zertifiziert.

Dank der umfangreichen Funktionen von CrowdStrike Falcon können Kunden bestehende Produkte und Funktionalitäten, die möglicherweise bereits installiert sind, ersetzen, wie beispielsweise:

• Antivirenschutz
• Lösungen zur Abwehr von Eindringversuchen in Host-Systeme (Host-Intrusion Prevention / HIPS) und/oder Exploits
• Verhaltensanalyse
• Tools Endgeräteerkennung und Reaktion (EDR)
• Tools zur Suche nach Gefährdungsindikatoren (IOC)
• Analyse von Sandboxes oder dynamisch ausgeführten Programmen
• Protokollanalyse
• Verwaltete Erkennung und Reaktion
• Services zur Bedrohungsaufklärung
• IT-Hygienetools

Ja, CrowdStrike Falcon kann Unternehmen in ihren Bemühungen unterstützen, zahlreiche Compliance- und Zertifizierungsanforderungen zu erfüllen. Falcon wurde von Drittanbietern nach folgenden Vorschriften validiert: PCI DSS v3.2 | HIPAA | NIST | FFIEC | PCI Forensik | NSA-CIRA | SOC 2 | CSA-STAR | AMTSO | AV Comparatives.

CrowdStrike ist Vorreiter beim cloudbasierten Endgeräteschutz. CrowdStrike Falcon hat die Endgerätesicherheit revolutioniert. Als erste und einzige Lösung vereint CrowdStrike Falcon Virenschutz (AV) der nächsten Generation, Endgeräteerkennung und Reaktion (EDR) sowie Managed Threat Hunting rund um die Uhr. Und das in einem einzigen, schlanken Agent. Mit der speziell entwickelten nativen Cloud-Architektur sammelt und analysiert CrowdStrike mehr als 30 Milliarden Endgeräteereignisse pro Tag von Millionen von Sensoren in 176 Ländern. Zu den einzigartigen Vorteilen dieses einheitlichen und schlanken Konzepts gehören sofortige Amortisation, bessere Leistung, reduzierte Kosten bei weniger Komplexität sowie ein besserer Schutz, der über die Erkennung von Malware hinausgeht und Sicherheitsvorfälle stoppt, bevor sie auftreten. Diese Fähigkeiten basieren auf einer einzigartigen Kombination von Präventionstechnologien, wie maschinelles Lernen, Angriffsindikatoren (IOA), Exploit Blocking, beispiellose Transparenz in Echtzeit und verwaltete Bedrohungssuche rund um die Uhr, sodass selbst die versiertesten, verdeckten Angreifer entdeckt und nachverfolgt werden können, bevor sie Schaden anrichten.

Selbstverständlich, CrowdStrike Falcon wird für die Reaktion auf Vorfälle intensiv eingesetzt. Falcon Insight macht die Endgeräte in der gesamten Umgebung remote transparent und ermöglicht so unverzügliche Aussagen zu „wer, was, wann, wo und wie“ eines Angriffs. Die cloudbasierte Architektur von Falcon Insight ermöglicht bei Vorfällen deutlich schnellere Reaktions- und Abhilfezeiten.

Ja, Falcon Prevent bietet leistungsstarke und umfassende Vermeidungs- und Präventionsmöglichkeiten. Falcon Prevent kann die Ausführung von bösartigen Programmen stoppen, Zero-Day-Angriffe blockieren, Prozesse beenden und Command and Control Callbacks abfangen.

Ja, denn der auf jedem Endgerät ausgeführte schlanke Falcon-Sensor enthält alle notwendigen Präventionstechnologien zum Schutz des Endgeräts, unabhängig davon, ob er online oder offline ist. Zu diesen Technologien gehören maschinelles Lernen zum Schutz vor bekannter und Zero-Day-Malware, Exploit-Blocking, Hash-Blocking und CrowdStrikes heuristische KI-Algorithmen, die sogenannten Angriffsindikatoren (Indicators of Attack / IOAs).

Nein, CrowdStrike Falcon ist ein cloudbasierter Endgeräteschutz der nächsten Generation. Ein Schlüsselelement ist dabei die Reduzierung von Gemeinkosten, Reibungsverlusten und Kosten zum Schutz Ihrer Umgebung. Es gibt keine lokalen Geräte, die gewartet, verwaltet oder aktualisiert werden müssen. Der Falcon-Sensor verhält sich mit Blick auf die Systemressourcen des Endgeräts unauffällig. Die Updates erfolgen nahtlos und erfordern keinen Neustart. Die webbasierte Falcon-Verwaltungskonsole eröffnet eine intuitive und informative Sicht auf die gesamte Umgebung.

Nein, Falcon wurde mit dem Ziel entwickelt, mit anderen Endgerätesicherheitslösungen zu interagieren, ohne diese zu beeinträchtigen. Das gilt auch für Antiviren- und Malware-Erkennungssysteme von Drittanbietern.

Falcon Connect wurde konsequent zur Ausschöpfung der vollen Leistungsfähigkeit der Falcon-Plattform entwickelt. Falcon Connect stellt die APIs, Ressourcen und Tools zur Verfügung, die Kunden und Partner zur Entwicklung, Integration und Erweiterung der Falcon-Plattform benötigen und die Interoperabilität mit anderen Sicherheitsplattformen und -tools gewährleisten. Erfahren Sie mehr über die Falcon-APIs: Falcon Connect und APIs.

Ja, Falcon unterstützt zwei Möglichkeiten der Integration mit SIEM-Lösungen:

• Kunden können Gefährdungsindikatoren (IOC) aus ihrer SIEM-Lösung über eine API in die Falcon-Plattform importieren.
• Kunden können Ereignisse aus CrowdStrike Falcon über Falcon SIEM Connector an ihre SIEM-Lösung weiterleiten. Falcon SIEM Connector ermöglicht die Integration in die meisten SIEM-Lösungen, wie HP ArcSight, IBM QRadar und Splunk. Kunden, die ihre eigene kundenspezifische Integration erstellen möchten, können zudem die Falcon Streaming API nutzen.

Nur wenige Minuten. Auf Ihren Endgeräten wird jeweils ein einziger schlanker Sensor bereitgestellt. Überwachung und Verwaltung erfolgen über eine Webkonsole. Bei CrowdStrike Falcon gibt es keine Controller, die installiert, konfiguriert, aktualisiert oder gewartet werden müssen. Auf lokale Geräte wird vollständig verzichtet.

Das besondere Design des Falcon-Sensors macht ihn extrem schlank (er verbraucht 1 % oder weniger CPU-Leistung) und unauffällig: Es gibt keine Benutzeroberfläche, keine Pop-ups, keine Neustarts. Alle Updates werden leise und automatisch durchgeführt.

64-bit Server OSes:

• Windows Server 2022
• Windows Server Core 2022
• Windows Server 2019
• Windows Server Core 2019
• Windows Server 2016
• Windows Server Core 2016
• Windows Server 2012 R2
• Windows Storage Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2 SP1

Microsoft ARM64:

• Windows 11
• Windows 10

64-bit Desktop Betriebssysteme:

• Windows 11 22H2
• Windows 11 21H2
• Windows 10 21H2
• Windows 10 21H1
• Windows 10 20H2
• Windows 10 1909
• Windows 10 1809
• Windows 10 1607
• Windows 10 1507
• Windows 8.1
• Windows 7 SP1
• Windows 7 Embedded POS Ready

Wir unterstützen x86_64-, Graviton 64- und s390x (zLinux)-Versionen der folgenden Linux-Server-Betriebssysteme:

x86_64

• Alma Linux
• 9.0: Sensor-Version 6.41.13804 und höher
• 8.6: Sensor-Version 6.41.13803 und höher
• 8.5: Sensor-Version 6.33.13003 und höher
• 8.4: Sensor-Version 6.29.12606 und höher
• Amazon Linux 2
• Amazon Linux AMI
• 2018.03
• 2017.09
• CentOS
• 8.5: Sensor-Version 6.33.13803 und höher
• 8.4: Sensor-Version 6.24.12104 und höher
• 8.3
• 8.2: Sensor-Version 5.34.9917 und höher
• 8.1: Sensor-Version 5.27.9101 und höher
• 8.0
• 7.9: Sensor-Version 5.43.10803 und höher
• 7.8: Sensor-Version 5.30.9510 und höher
• 7.4 - 7.7
• 6.7 - 6.10
• Debian
• 11: Sensor-Version 6.34.13108 und höher
• 10: Sensor-Version 6.20.11711 und höher
• 9.1-9.4: Sensor-Version 5.33.9804 und höher
• Oracle Linux
• Oracle Linux 9 - UEK 7
• Oracle Linux 8 – UEK 6
• Oracle Linux 7 – UEK 6: Sensor-Version 6.19.11610 und höher
• Oracle Linux 7 - UEK 3, 4, 5
• Oracle Linux 6 - UEK 3, 4
• Red Hat Compatible Kernels (unterstützte RHCK-Kernel sind die gleichen wie bei RHEL)
• Red Hat Enterprise Linux CoreOS (RHCOS) Hinweis: Nur Bereitstellung mit DaemonSet.
• 4.11: Sensor-Version 6.46.14306 und höher
• 4.10: Sensor-Version 6.46.14306 und höher
• 4.9: Sensor-Version 6.39.13601 und höher
• 4.8: Sensor-Version 6.39.13601 und höher
• 4.7: Sensor-Version 6.39.13601 und höher
• Red Hat Enterprise Linux (RHEL)
• 9.0: Sensor-Version 6.41.13804 und höher
• 8.7: Sensor-Version 6.48.14504 und höher
• 8.6: Sensor-Version 6.41.13803 und höher
• 8.5: Sensor-Version 6.33.13003 und höher
• 8.4: Sensor-Version 6.24.12104 und höher
• 8.3
• 8.2: Sensor-Version 5.34.9917 und höher
• 8.1: Sensor-Version 5.27.9101 und höher
• 8.0
• 7.9: Sensor-Version 5.43.10803 und höher
• 7.8: Sensor-Version 5.30.9510 und höher
• 7.4 - 7.7
• 6.7 - 6.10
• Rocky Linux
• 9.0: Sensor-Version 6.41.13804 und höher
• 8.6: Sensor-Version 6.41.13803 und höher
• 8.5: Sensor-Version 6.33.13003 und höher
• 8.4: Sensor-Version 6.29.12606 und höher
• SUSE Linux Enterprise (SLES)
• 15 – 15.4. SLES 15 SP4: Sensor-Version 6.47.14408 und höher
• 12.2 - 12.5
• 11.4: Sie müssen zusätzlich OpenSSL Version 1.0.1e oder höher installieren
• OpenSuse LEAP
• 15.4: Sensor-Version 6.47.14408 und höher
• 15.3: Sensor-Version 6.39.13601 und höher
• Hinweis: Die unterstützten Kernel sind die gleichen wie in SLES 15 SP3 und SLES 15 SP4.
• Ubuntu
• 22.04 LTS: Sensor-Version 6.41.13803 und höher
• 20.04 LTS: Sensor-Version 5.43.10807 und höher
• 18-AWS
• 18.04 LTS
• 16-AWS
• 16.04 LTS und 16.04.5 LTS
• 14.04 LTS

Graviton

• Alma Linux ARM64
• 9.0 ARM64: Sensor-Version 6.51.14810 und höher
• 8.7 ARM64: Sensor-Version 6.48.14504 und höher
• 8.6 ARM64: Sensor-Version 6.43.14005 und höher
• 8.5 ARM64: Sensor-Version 6.41.13803 und höher
• Amazon Linux 2
• CentOS ARM64
• 8.5 ARM64: Sensor-Version 6.41.13803 und höher
• Red Hat Enterprise Linux (RHEL) ARM64
• 9.0 ARM64: Sensor-Version 6.51.14810 und höher
• 8.7 ARM64: Sensor-Version 6.48.14504 und höher
• 8.6 ARM64: Sensor-Version 6.43.14005 und höher
• 8.5 ARM64: Sensor-Version 6.41.13803 und höher
• Rocky Linux ARM64
• 9.0 ARM64: Sensor-Version 6.51.14810 und höher
• 8.7 ARM64: Sensor-Version 6.48.14504 und höher
• 8.6 ARM64: Sensor-Version 6.43.14005 und höher
• 8.5 ARM64: Sensor-Version 6.41.13803 und höher
• Ubuntu
• 20.04 AWS: Sensor-Version 5.47.14408 und höher
• 20.04 LTS: Sensor-Version 6.44.14107 und höher
• 18.04 LTS: Sensor-Version 6.44.14107 und höher

s390x zLinux

• Red Hat Enterprise Linux (RHEL)
• Redhat 7.7, 7.8, 7.9
• Redhat 8.0, 8.1, 8.2, 8.3, 8.4, 8.5
• Suse Linux Enterprise Server (SLES)
• SLES 12 SP1, SP2, SP3, SP4, SP5

Der Falcon-Sensor für Mac unterstützt derzeit folgende macOS-Versionen:

• Ventura 13: Sensor-Version 6.45.15801 und höher
• Monterey 12: alle unterstützten Versionen
• Big Sur 11: alle unterstützten Versionen

Ja, Falcon ist eine bewährte cloudbasierte Plattform, die Kunden eine nahtlose Skalierung in großen Umgebungen ohne Leistungseinbußen ermöglicht. Auch in Unternehmensumgebungen mit mehr als 100.000 Endgeräten konnte die Plattform reibungslos bereitgestellt werden.

CrowdStrike Falcon ist eine zu 100 Prozent cloudbasierte Lösung nach dem Prinzip „Security as a Service“ (SaaS). Falcon benötigt keine Server oder Controller. Das befreit Sie von den Kosten und dem Aufwand für Verwaltung, Wartung und Aktualisierung von Software oder Geräten vor Ort.

Ja, CrowdStrike entspricht den Standards gemäß Service Organization Control 2 und stellt Falcon-Kunden einen SOC 2®-Bericht zur Verfügung. Darüber hinaus sind wir auch TRUSTe-konform.

Alle vom Sensor an die Cloud übertragenen Daten sind in einem SSL-/TLS-verschlüsselten Tunnel geschützt. Im Durchschnitt sendet jeder Sensor etwa 5 bis 8 MB/Tag.

CrowdStrike Falcon wurde mit dem Ziel entwickelt, den Kunden die volle Einsicht in historische und aktuelle Endgeräte-Sicherheitsereignisse zu eröffnen, indem Ereignisdaten gesammelt werden, die zur Identifizierung, zum Verständnis und zur Reaktion auf Angriffe erforderlich sind. Weitere Daten werden nicht erfasst. Diese Standardmenge an Systemereignissen, die sich auf die Prozessausführung konzentrieren, wird kontinuierlich auf verdächtige Aktivitäten überwacht. Wenn eine solche Aktivität erkannt wird, werden zusätzliche Datenerfassungsaktivitäten eingeleitet, um die Lage besser beurteilen zu können und eine rechtzeitige Reaktion auf das Ereignis zu ermöglichen, je nach Bedarf oder Wunsch. Welche konkreten Daten erfasst werden, kann sich im Zuge der Weiterentwicklung der Funktionalität der Plattform und als Reaktion auf Veränderungen in der Bedrohungslandschaft ändern. Informationen über die Aktivitäten am Endgerät werden über den Falcon-Sensor erfasst und dem Kunden über die sichere Falcon-Webmanagement-Konsole zur Verfügung gestellt.

Alle vom CrowdStrike-Falcon-Sensor gesendeten Daten werden mit eindeutigen, anonymen Identifikatorwerten versehen. Daten und Identifikatoren werden immer separat gespeichert. Sobald sie sich in unserer Cloud befinden, sind die Daten durch strenge Richtlinien für Datenschutz und Zugriffssteuerung geschützt. Der gesamte Datenzugriff innerhalb des Systems wird über abgeschirmte APIs verwaltet, die für den Zugriff auf die Daten dieses Kunden ein kundenspezifisches Token benötigen. Unsere Analyse-Engines greifen auf die Rohdaten des betreffenden Ereignisses zurück und nutzen nur die anonymisierten Identifikatorwerte zur Gruppierung der Ergebnisse.

Während sich andere Sicherheitslösungen ausschließlich auf Gefährdungsindikatoren (IOC) stützen – wie beispielsweise bekannte Malware-Signaturen, Hashes, Domainen, IPs und andere Hinweise, die nach einem Verstoß zurückbleiben – kann CrowdStrike Gefährdungsindikatoren auch live erkennen und böswillige Aktivitäten und Verhaltensweisen über die gesamte Angriffszeitachse in Echtzeit identifizieren. Die besondere Funktionalität von Falcon zur Erkennung von Angriffsindikatoren ermöglicht es Ihnen, Angriffe zu stoppen.

Für bekannte Bedrohungen bietet Falcon cloudbasierte Funktionen für Virenschutz und IOC-Erkennung. Für unbekannte und Zero-Day-Bedrohungen wendet Falcon die IOA-Erkennung an. Hierzu werden Techniken des maschinellen Lernens dazu genutzt, prädiktive Modelle zu erstellen, die bisher unbekannte bösartige Aktivitäten mit hoher Genauigkeit erkennen können. Auf der Grundlage des Datenmodells CrowdStrike Threat Graph™ erkennt diese IOA-Analyse Verhaltensmuster zur Erkennung von Angriffen, und zwar mit oder ohne Malware-Beteiligung. Der Umfang und die Leistungsfähigkeit der Erkennungstechniken von Falcon übertreffen bei weitem andere Sicherheitslösungen auf dem Markt, insbesondere im Hinblick auf unbekannte und bisher nicht erkennbare neue Bedrohungen.

Falcon Prevent stoppt bekannte und unbekannte Malware mithilfe einer Reihe von komplementären Methoden:

• Maschinelles Lernen
• Benutzerdefinierte Blockierung (Whitelisting und Blacklisting)
• Exploit Blocking
• Prävention anhand von Angriffsindikatoren (Indicators of Attack / IOA )
• Zusätzlicher Schutz speziell gegen Ransomware

Kunden können alle Präventionsfunktionen von Falcon über die Konfigurationsoberfläche steuern und konfigurieren.

Ja, Falcon beinhaltet eine Funktion namens Machine Learning Slider, die mehrere Optionen zum Steuern von Schwellenwerten für das maschinelle Lernen anbietet. Darüber hinaus lassen sich mit dieser einzigartigen Funktion unabhängige Schwellenwerte für die Erkennung und Prävention festlegen.

Falcon Prevent verwendet für den Schutz gegen Ransomware eine Reihe von ergänzenden Präventions- und Erkennungsmethoden:

• Sperrung bekannter Ransomware
• Exploit Blocking, um die Ausführung und Verbreitung von Ransomware über nicht gepatchte Schwachstellen zu stoppen
• Maschinelles Lernen zur Erkennung von bisher unbekannter „Zero-Day“-Ransomware
• Angriffsindikatoren (IOAs) zur Identifizierung und Blockierung weiterer unbekannter Ransomware sowie neuer Ransomware-Kategorien, die keine Dateien zur Verschlüsselung der Daten ihrer Opfer verwenden

CrowdStrike Falcon ist gleichermaßen wirksam gegen Angriffe, die im Massenspeicher oder im Arbeitsspeicher stattfinden. Die Plattform überwacht kontinuierlich auf verdächtige Prozesse, Ereignisse und Aktivitäten, wo immer sie auftreten.