CrowdStrike Falcon FAQ

Falcon ist eine Plattform, mit von CrowdStrike mit dem Ziel entwickelt wurde, Sicherheitsvorfälle mithilfe cloudbasierter, einheitlicher Technologien zu stoppen. Und zwar sämtliche Angriffsarten – einschließlich Malware. Die hochversierten heutigen Angreifer nutzen nicht nur mehr Malware, um Unternehmen zu schaden, sondern zunehmend auch Exploits, Zero-Day-Angriffe und schwer feststellbare Methoden, wie Identitätsdiebstahl und Tools, die Bestandteil der Umgebung oder des Betriebssystems des Opfers sind, wie beispielsweise PowerShell. CrowdStrike Falcon reagiert auf diese Herausforderungen mit einer leistungsstarken und dennoch schlanken Lösung. Sie vereint Virenschutz der nächsten Generation (NGAV), Endgeräteerkennung und Reaktion (EDR), verwaltete Bedrohungssuche und Sicherheitshygiene – alles in einem kleinen, schlanken Sensor, der in der Cloud verwaltet und bereitgestellt wird.

Die CrowdStrike-Falcon-Plattform beinhaltet:

• Falcon Prevent – Virenschutz der nächsten Generation (NGAV))
• Falcon Insight – Endgeräteerkennung und Reaktion (EDR)
• Falcon OverWatch – Verwaltete Bedrohungssuche
• Falcon Discover – Sicherheitshygiene
• Falcon Intelligence – Bedrohungsaufklärung

Falcon Prevent beinhaltet Antivirusfunktionen der nächsten Generation (NGAV) die einen umfassenden und bewährten Schutz bieten, der Ihr Unternehmen vor Angriffen mit oder ohne Malware schützt. Egal ob Identifizierung bekannter Malware, maschinelles Erlernen unbekannter Malware, Exploit-Blockierung oder Angriffsindikatoren (IAO) für Verhaltenstechniken: Mit CrowdStrike Falcon Prevent können Unternehmen ihre vorhandenen, herkömmlichen AV-Lösungen zuverlässig ersetzen.

Falcon Insight arbeitet mit Endgeräteerkennung und Reaktion (EDR) und schafft damit eine kontinuierliche und umfassende Transparenz, sodass Sie in Echtzeit wissen, was auf Ihren Endgeräten passiert. Die umfangreichen Funktionen von Falcon Insight erstrecken sich über Erkennung, Reaktion und Forensik, damit nichts übersehen wird und damit potenzielle Sicherheitsvorfälle gestoppt werden, bevor die Betriebsabläufe gefährdet sind.

Falcon OverWatch ist eine verwaltete Lösung zur Bedrohungssuche. Wer versierte Angreifer abwehren will, die sich darauf spezialisiert haben, in eine Organisation einzubrechen, benötigt ein spezielles Team, das rund um die Uhr für Sie arbeitet, um Angriffe proaktiv zu identifizieren. Das weltweit operierende Team von Falcon OverWatch ergänzt Ihre internen Sicherheitsressourcen nahtlos, um bösartige Aktivitäten frühestmöglich zu erkennen und Angreifer zu stoppen.

Falcon Discover ist eine IT-Hygienelösung, die nicht autorisierte Systeme und Anwendungen identifiziert und die Verwendung von Konten privilegierter Benutzer an jedem Ort in Ihrer Umgebung überwacht. Das alles geschieht in Echtzeit, sodass bei Bedarf Abhilfemaßnahmen zur Verbesserung Ihrer Sicherheitslage ergriffen werden können.

Ja, Unternehmen können ihre vorhandenen, herkömmlichen AV-Lösungen ruhigen Gewissens durch CrowdStrike Falcon Prevent ersetzen. Egal ob Identifizierung und Abwehr bekannter Malware, maschinelles Erlernen unbekannter Malware, Exploit-Blockierung oder Angriffsindikatoren (IAO) für Verhaltenstechniken: CrowdStrike Falcon Prevent schützt gegen Angriffe. Ganz gleich, ob Ihre Endgeräte online oder offline sind. Für Unternehmen, die die Einhaltung einschlägiger gesetzlicher Anforderungen nachweisen müssen, lässt sich Falcon Prevent in Windows System Center integrieren.

Ja, CrowdStrike Falcon wurde von unabhängigen Dritten als geeigneter Ersatz für Antivirenlösungen zertifiziert.

Dank der umfangreichen Funktionen von CrowdStrike Falcon können Kunden bestehende Produkte und Funktionalitäten, die möglicherweise bereits installiert sind, ersetzen, wie beispielsweise:

• Antivirenschutz
• Lösungen zur Abwehr von Eindringversuchen in Host-Systeme (Host-Intrusion Prevention / HIPS) und/oder Exploits
• Verhaltensanalyse
• Tools Endgeräteerkennung und Reaktion (EDR)
• Tools zur Suche nach Gefährdungsindikatoren (IOC)
• Analyse von Sandboxes oder dynamisch ausgeführten Programmen
• Protokollanalyse
• Verwaltete Erkennung und Reaktion
• Services zur Bedrohungsaufklärung
• IT-Hygienetools

Ja, CrowdStrike Falcon kann Unternehmen in ihren Bemühungen unterstützen, zahlreiche Compliance- und Zertifizierungsanforderungen zu erfüllen. Falcon wurde von Drittanbietern nach folgenden Vorschriften validiert: PCI DSS v3.2 | HIPAA | NIST | FFIEC | PCI Forensik | NSA-CIRA | SOC 2 | CSA-STAR | AMTSO | AV Comparatives.

CrowdStrike ist Vorreiter beim cloudbasierten Endgeräteschutz. CrowdStrike Falcon hat die Endgerätesicherheit revolutioniert. Als erste und einzige Lösung vereint CrowdStrike Falcon Virenschutz (AV) der nächsten Generation, Endgeräteerkennung und Reaktion (EDR) sowie Managed Threat Hunting rund um die Uhr. Und das in einem einzigen, schlanken Agent. Mit der speziell entwickelten nativen Cloud-Architektur sammelt und analysiert CrowdStrike mehr als 30 Milliarden Endgeräteereignisse pro Tag von Millionen von Sensoren in 176 Ländern. Zu den einzigartigen Vorteilen dieses einheitlichen und schlanken Konzepts gehören sofortige Amortisation, bessere Leistung, reduzierte Kosten bei weniger Komplexität sowie ein besserer Schutz, der über die Erkennung von Malware hinausgeht und Sicherheitsvorfälle stoppt, bevor sie auftreten. Diese Fähigkeiten basieren auf einer einzigartigen Kombination von Präventionstechnologien, wie maschinelles Lernen, Angriffsindikatoren (IOA), Exploit Blocking, beispiellose Transparenz in Echtzeit und verwaltete Bedrohungssuche rund um die Uhr, sodass selbst die versiertesten, verdeckten Angreifer entdeckt und nachverfolgt werden können, bevor sie Schaden anrichten.

Selbstverständlich, CrowdStrike Falcon wird für die Reaktion auf Vorfälle intensiv eingesetzt. Falcon Insight macht die Endgeräte in der gesamten Umgebung remote transparent und ermöglicht so unverzügliche Aussagen zu „wer, was, wann, wo und wie“ eines Angriffs. Die cloudbasierte Architektur von Falcon Insight ermöglicht bei Vorfällen deutlich schnellere Reaktions- und Abhilfezeiten.

Ja, Falcon Prevent bietet leistungsstarke und umfassende Vermeidungs- und Präventionsmöglichkeiten. Falcon Prevent kann die Ausführung von bösartigen Programmen stoppen, Zero-Day-Angriffe blockieren, Prozesse beenden und Command and Control Callbacks abfangen.

Ja, denn der auf jedem Endgerät ausgeführte schlanke Falcon-Sensor enthält alle notwendigen Präventionstechnologien zum Schutz des Endgeräts, unabhängig davon, ob er online oder offline ist. Zu diesen Technologien gehören maschinelles Lernen zum Schutz vor bekannter und Zero-Day-Malware, Exploit-Blocking, Hash-Blocking und CrowdStrikes heuristische KI-Algorithmen, die sogenannten Angriffsindikatoren (Indicators of Attack / IOAs).

Nein, CrowdStrike Falcon ist ein cloudbasierter Endgeräteschutz der nächsten Generation. Ein Schlüsselelement ist dabei die Reduzierung von Gemeinkosten, Reibungsverlusten und Kosten zum Schutz Ihrer Umgebung. Es gibt keine lokalen Geräte, die gewartet, verwaltet oder aktualisiert werden müssen. Der Falcon-Sensor verhält sich mit Blick auf die Systemressourcen des Endgeräts unauffällig. Die Updates erfolgen nahtlos und erfordern keinen Neustart. Die webbasierte Falcon-Verwaltungskonsole eröffnet eine intuitive und informative Sicht auf die gesamte Umgebung.

Nein, Falcon wurde mit dem Ziel entwickelt, mit anderen Endgerätesicherheitslösungen zu interagieren, ohne diese zu beeinträchtigen. Das gilt auch für Antiviren- und Malware-Erkennungssysteme von Drittanbietern.

Falcon Connect wurde konsequent zur Ausschöpfung der vollen Leistungsfähigkeit der Falcon-Plattform entwickelt. Falcon Connect stellt die APIs, Ressourcen und Tools zur Verfügung, die Kunden und Partner zur Entwicklung, Integration und Erweiterung der Falcon-Plattform benötigen und die Interoperabilität mit anderen Sicherheitsplattformen und -tools gewährleisten. Erfahren Sie mehr über die Falcon-APIs: Falcon Connect und APIs.

Ja, Falcon unterstützt zwei Möglichkeiten der Integration mit SIEM-Lösungen:

• Kunden können Gefährdungsindikatoren (IOC) aus ihrer SIEM-Lösung über eine API in die Falcon-Plattform importieren.
• Kunden können Ereignisse aus CrowdStrike Falcon über Falcon SIEM Connector an ihre SIEM-Lösung weiterleiten. Falcon SIEM Connector ermöglicht die Integration in die meisten SIEM-Lösungen, wie HP ArcSight, IBM QRadar und Splunk. Kunden, die ihre eigene kundenspezifische Integration erstellen möchten, können zudem die Falcon Streaming API nutzen.

Nur wenige Minuten. Auf Ihren Endgeräten wird jeweils ein einziger schlanker Sensor bereitgestellt. Überwachung und Verwaltung erfolgen über eine Webkonsole. Bei CrowdStrike Falcon gibt es keine Controller, die installiert, konfiguriert, aktualisiert oder gewartet werden müssen. Auf lokale Geräte wird vollständig verzichtet.

Das besondere Design des Falcon-Sensors macht ihn extrem schlank (er verbraucht 1 % oder weniger CPU-Leistung) und unauffällig: Es gibt keine Benutzeroberfläche, keine Pop-ups, keine Neustarts. Alle Updates werden leise und automatisch durchgeführt.

64-bit Server OSes:

• Windows Server 2022
• Windows Server Core 2022
• Windows Server 2019
• Windows Server Core 2019
• Windows Server 2016
• Windows Server Core 2016
• Windows Server 2012 R2
• Windows Storage Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2 SP1

64-bit Desktop Betriebssysteme:

• Windows 11 21H2
• Windows 10 21H2
• Windows 10 21H1
• Windows 10 20H2
• Windows 10 1909
• Windows 10 1809
• Windows 10 1607
• Windows 10 1507
• Windows 10 1909 IOT Enterprise
• Windows 10 1809 IOT Enterprise
• Windows 8.1
• Windows 7 SP1
• Windows 7 Embedded

32-bit Desktop Betriebssysteme:

• Windows 10 1909
• Windows 10 1809
• Windows 7 SP1
• Windows 7 Embedded

Wir unterstützen die folgenden x86_64-Versionen dieser Linux-Server-Betriebssysteme:

• Alma Linux
• 9.0 (unterstützte Kernels sind die gleichen wie für RHEL)
• 8.4 (unterstützte Kernels sind die gleichen wie für RHEL)

• Amazon Linux
• 2(x86)
• 2 (with Cloud ML support on Graviton1 and Graviton2 ARM processors)
• Amazon Linux AMI
• 2018.03
• 2017.09
• CentOS
• 8.0-8.5
• 7.4-7.9
• 6.7-6.10
• Debian
• 10
• 9.1-9.4
• Oracle Linux
• Oracle Linux 8 - UEK 6
• Oracle Linux 7 - UEK 3, 4, 5, 6
• Oracle Linux 6 - UEK 3, 4
• Red Hat Compatible Kernels (unterstützte RHCK Kernels sind die gleichen wie für RHEL)
• Red Hat Enterprise Linux (RHEL)
• 8.0-8.5
• 7.4-7.9
• 6.7-6.10
• Rocky Linux
• 9.0 (unterstützte Kernels sind die gleichen wie für RHEL)
• 8.6 (unterstützte Kernels sind die gleichen wie für RHEL)
• 8.5 ARM64 (unterstützte Kernels sind die gleichen wie für RHEL)
• 8.4-8.5 (unterstützte Kernels sind die gleichen wie für RHEL)
• SUSE Linux Enterprise (SLES)
• 15-15.3
• 12.2-12.5
• 11.4
• Ubuntu
• 20.04 LTS
• 18 AWS
• 18.04 LTS
• 16 AWS
• 16.04 LTS

Docker wird ebenfalls unterstützt. Siehe Deployment Guide für Einzelheiten.

Dies sind die unterstützten Mac OSes:

• macOS Monterey 12.0 und neuer
• macOS Big Sur 11.0 und neuer
• macOS Catalina 10.15

Ja, Falcon ist eine bewährte cloudbasierte Plattform, die Kunden eine nahtlose Skalierung in großen Umgebungen ohne Leistungseinbußen ermöglicht. Auch in Unternehmensumgebungen mit mehr als 100.000 Endgeräten konnte die Plattform reibungslos bereitgestellt werden.

CrowdStrike Falcon ist eine zu 100 Prozent cloudbasierte Lösung nach dem Prinzip „Security as a Service“ (SaaS). Falcon benötigt keine Server oder Controller. Das befreit Sie von den Kosten und dem Aufwand für Verwaltung, Wartung und Aktualisierung von Software oder Geräten vor Ort.

Ja, CrowdStrike entspricht den Standards gemäß Service Organization Control 2 und stellt Falcon-Kunden einen SOC 2®-Bericht zur Verfügung. Darüber hinaus sind wir auch TRUSTe-konform.

Alle vom Sensor an die Cloud übertragenen Daten sind in einem SSL-/TLS-verschlüsselten Tunnel geschützt. Im Durchschnitt sendet jeder Sensor etwa 5 bis 8 MB/Tag.

CrowdStrike Falcon wurde mit dem Ziel entwickelt, den Kunden die volle Einsicht in historische und aktuelle Endgeräte-Sicherheitsereignisse zu eröffnen, indem Ereignisdaten gesammelt werden, die zur Identifizierung, zum Verständnis und zur Reaktion auf Angriffe erforderlich sind. Weitere Daten werden nicht erfasst. Diese Standardmenge an Systemereignissen, die sich auf die Prozessausführung konzentrieren, wird kontinuierlich auf verdächtige Aktivitäten überwacht. Wenn eine solche Aktivität erkannt wird, werden zusätzliche Datenerfassungsaktivitäten eingeleitet, um die Lage besser beurteilen zu können und eine rechtzeitige Reaktion auf das Ereignis zu ermöglichen, je nach Bedarf oder Wunsch. Welche konkreten Daten erfasst werden, kann sich im Zuge der Weiterentwicklung der Funktionalität der Plattform und als Reaktion auf Veränderungen in der Bedrohungslandschaft ändern. Informationen über die Aktivitäten am Endgerät werden über den Falcon-Sensor erfasst und dem Kunden über die sichere Falcon-Webmanagement-Konsole zur Verfügung gestellt.

Alle vom CrowdStrike-Falcon-Sensor gesendeten Daten werden mit eindeutigen, anonymen Identifikatorwerten versehen. Daten und Identifikatoren werden immer separat gespeichert. Sobald sie sich in unserer Cloud befinden, sind die Daten durch strenge Richtlinien für Datenschutz und Zugriffssteuerung geschützt. Der gesamte Datenzugriff innerhalb des Systems wird über abgeschirmte APIs verwaltet, die für den Zugriff auf die Daten dieses Kunden ein kundenspezifisches Token benötigen. Unsere Analyse-Engines greifen auf die Rohdaten des betreffenden Ereignisses zurück und nutzen nur die anonymisierten Identifikatorwerte zur Gruppierung der Ergebnisse.

Während sich andere Sicherheitslösungen ausschließlich auf Gefährdungsindikatoren (IOC) stützen – wie beispielsweise bekannte Malware-Signaturen, Hashes, Domainen, IPs und andere Hinweise, die nach einem Verstoß zurückbleiben – kann CrowdStrike Gefährdungsindikatoren auch live erkennen und böswillige Aktivitäten und Verhaltensweisen über die gesamte Angriffszeitachse in Echtzeit identifizieren. Die besondere Funktionalität von Falcon zur Erkennung von Angriffsindikatoren ermöglicht es Ihnen, Angriffe zu stoppen.

Für bekannte Bedrohungen bietet Falcon cloudbasierte Funktionen für Virenschutz und IOC-Erkennung. Für unbekannte und Zero-Day-Bedrohungen wendet Falcon die IOA-Erkennung an. Hierzu werden Techniken des maschinellen Lernens dazu genutzt, prädiktive Modelle zu erstellen, die bisher unbekannte bösartige Aktivitäten mit hoher Genauigkeit erkennen können. Auf der Grundlage des Datenmodells CrowdStrike Threat Graph™ erkennt diese IOA-Analyse Verhaltensmuster zur Erkennung von Angriffen, und zwar mit oder ohne Malware-Beteiligung. Der Umfang und die Leistungsfähigkeit der Erkennungstechniken von Falcon übertreffen bei weitem andere Sicherheitslösungen auf dem Markt, insbesondere im Hinblick auf unbekannte und bisher nicht erkennbare neue Bedrohungen.

Falcon Prevent stoppt bekannte und unbekannte Malware mithilfe einer Reihe von komplementären Methoden:

• Maschinelles Lernen
• Benutzerdefinierte Blockierung (Whitelisting und Blacklisting)
• Exploit Blocking
• Prävention anhand von Angriffsindikatoren (Indicators of Attack / IOA )
• Zusätzlicher Schutz speziell gegen Ransomware

Kunden können alle Präventionsfunktionen von Falcon über die Konfigurationsoberfläche steuern und konfigurieren.

Ja, Falcon beinhaltet eine Funktion namens Machine Learning Slider, die mehrere Optionen zum Steuern von Schwellenwerten für das maschinelle Lernen anbietet. Darüber hinaus lassen sich mit dieser einzigartigen Funktion unabhängige Schwellenwerte für die Erkennung und Prävention festlegen.

Falcon Prevent verwendet für den Schutz gegen Ransomware eine Reihe von ergänzenden Präventions- und Erkennungsmethoden:

• Sperrung bekannter Ransomware
• Exploit Blocking, um die Ausführung und Verbreitung von Ransomware über nicht gepatchte Schwachstellen zu stoppen
• Maschinelles Lernen zur Erkennung von bisher unbekannter „Zero-Day“-Ransomware
• Angriffsindikatoren (IOAs) zur Identifizierung und Blockierung weiterer unbekannter Ransomware sowie neuer Ransomware-Kategorien, die keine Dateien zur Verschlüsselung der Daten ihrer Opfer verwenden

CrowdStrike Falcon ist gleichermaßen wirksam gegen Angriffe, die im Massenspeicher oder im Arbeitsspeicher stattfinden. Die Plattform überwacht kontinuierlich auf verdächtige Prozesse, Ereignisse und Aktivitäten, wo immer sie auftreten.