Häufig gestellte Fragen zu CrowdStrike Falcon Sandbox

CrowdStrike® Falcon Sandbox ist eine automatisierte Malware-Analyselösung, die Sicherheitsteams durch Überlagerung umfassender Threat Intelligence mit den Ergebnissen der leistungsstärksten Sandbox-Lösung der Welt unterstützt. Diese einzigartige Kombination liefert jenen Kontext, den Analysten benötigen, um ausgeklügelte Malware-Angriffe besser zu verstehen und ihre Sicherheitsmaßnahmen genau abzustimmen. Falcon Sandbox führt genaue Analysen getarnter und unbekannter Bedrohungen durch, ergänzt die Ergebnisse durch Threat Intelligence und liefert umsetzbare Indikatoren für eine Kompromittierung (IOCs). Mit Falcon Sandbox können Cybersicherheitsteams, unabhängig von der jeweiligen Expertise, ihr Verständnis der Bedrohungen, mit denen sie zu tun haben, vertiefen und das so gewonnene Wissen für das Abwehren künftiger Angriffe nutzen.

Hybrid-Analysis.com ist eine kostenlose Online-Community zur Analyse von Schadsoftware. Benutzer können dort verdächtige Dateien einreichen und kostenlos detailliert analysieren lassen. Darüber hinaus stellt die Website Tausende Berichte zu Schadsoftware bereit und bietet neben einer gut dokumentierten REST-API auch Muster und Gefährdungsindikatoren (IOCs) zum Download an.

Hybrid-Analysis ist ein unabhängiger Dienst, der auf Falcon Sandbox beruht. Mit ihm lässt sich die Technologie von Falcon Sandbox hervorragend testen. Hybrid-Analysis bietet einige der Leistungsmerkmale von Falcon Sandbox. Im Folgenden sind einige wesentliche Unterschiede aufgeführt:

Die Hybridanalyse kombiniert Laufzeitdaten mit Speicherauszuganalysen, um alle möglichen Ausführungspfade zu extrahieren, auch für besonders gut getarnte Malware. Die Kombination aus Hybridanalyse und der umfangreichen Falcon Sandbox-Analyse vor und nach der Ausführung bietet eine einzigartige Kapazität und führt zur Extraktion von mehr IOCs als bei allen konkurrierenden Sandbox-Lösungen. Alle durch die Hybridanalyse-Engine extrahierten Daten werden automatisch verarbeitet und in die Falcon Sandbox-Berichte aufgenommen.

Autoren moderner Malware kennen die Sandbox-Technologie und haben ihre Malware so instrumentiert, dass sie, sobald sie einen externen Prozess erkennt, der die Datei überwacht, die schädliche Aktivität entweder anhält oder verbirgt. Herkömmliche Sandbox-Monitore der ersten Generation laufen auf der Anwendungsschicht (Benutzermodus), um Library-Aufrufe abzufangen, die leicht auszumachen sind. Falcon Sandbox implementiert die Überwachung auf Betriebssystemebene (Kernelmodus) und lässt den Zielprozess unangetastet, sodass sie sehr schwer zu erkennen ist. Der Falcon Sandbox Kernelmodus-Monitor hat sich als robust und äußerst wirksam gegen Malware „in freier Wildbahn“ und die meisten aktuellen Malware-Samples herausgestellt. Die erstklassige Anti-Sandbox- und Anti-VM-Erkennungstechnologie von CrowdStrike (Benchmark-Tools sind etwa Pafish und VMDE) ermöglicht die Analyse auch besonders gut getarnter Malware. CrowdStrike aktualisiert Falcon Sandbox laufend, damit es auch auch neuen Tarntechniken überlegen ist, und überprüft deren Leistung durch betriebseigene Benchmark-Tools und das öffentliche Community-Angebot (Hybrid-Analysis.com), das Tag für Tag in der Praxis getestet wird.

Hybrid-Analysis.com ist eine kostenlose Online-Malware-Community, in der Benutzer Dateien kostenlos zur eingehenden Analyse übermitteln können. Außerdem können Benutzer über die Website und umfassend dokumentierte REST-API Tausende vorhandene Malware-Berichte durchsuchen oder Samples und IOCs herunterladen.

Hybrid-Analysis ist ein unabhängiger, durch Falcon Sandbox gestützter Dienst und eine großartige Möglichkeit zur Evaluierung der Falcon Sandbox-Technologie. Hybrid-Analysis bietet einen Teil der Falcon Sandbox Private Cloud-Funktionen. In der folgenden Tabelle sind ein paar Unterschiede angeführt:

Falcon Sandbox Private Cloud skaliert automatisch. Sie können mit einer entsprechenden Lizenz problemlos bis zu 25.000 Dateien pro Tag verarbeiten. Diese Skalierbarkeit steht Ihnen ohne jegliche Infrastrukturkosten zur Verfügung.

Falcon Sandbox On-Prem-Kunden können, abhängig von Ihrer Bereitstellung, problemlos bis zu einer Verarbeitung von 25.000 Dateien pro Tag skalieren. Mit dem Lastverteilungs-Broker Falcon Sandbox Bridge können Sie verteilte Großsysteme schaffen und die Verarbeitung von Hunderttausenden Dateien pro Tag ermöglichen. Für Anleitungen und Bereitstellungsoptionen wenden Sie sich bitte an [email protected].

Falcon Sandbox On-Prem ist für Unternehmen konzipiert, die kundenspezifische Kontrolle über die Zerstörung von Malware benötigen, strenge Datenschutzanforderungen haben, aufgrund derer keine Dateien die Organisation verlassen dürfen, oder enorme Skalierbarkeit auf über 25.000 analysierte Dateien pro Tag benötigen.

Falcon Sandbox On-Prem enthält Falcon Sandbox Private Cloud, plus:

• Aktiviert benutzerdefinierte oder "goldene“ Images virtueller Gastmaschinen (VMware- und VirtualBox-Hypervisor werden unterstützt)
• Analysiert Dateien in einer unbegrenzten Menge virtueller Umgebungen parallel und bietet so echte Erkennung gezielter Angriffe
• Falcon Sandbox kann genau auf Ihre speziellen Anforderungen abgestimmt werden. Falcon Sandbox On-Prem hat Hunderte von Konfigurationsoptionen einschließlich benutzerdefinierter „Aktionsskripts“ (zum Simulieren menschlicher Aktivitäten während einer Detonation), benutzerdefinierter Verhaltensindikatoren, und Sie können die Malware-Bewertung für benutzerdefiniertes Risk-Scoring beeinflussen
• Kann gänzlich ohne Verbindung zum Netzwerk laufen (mit Air Gap) und zugleich Netzwerkanbindung simulieren (mittels FakeNet-NG, INetSim)
• Ermöglicht eine Reihe von Integrationen, kann beispielsweise Feedback-Analyseergebnisse mittels CEF syslog an SIEMs senden
• Sie können Ihre eigenen benutzerdefinierten YARA-Regeln, Hash-/Zertifikat-Positivlisten und mehr hinzufügen

CrowdStrike liefert die gesamte durch Falcon Sandbox On-Prem verwendete Software als Teil eines automatisierten Installationsprozesses. CrowdStrike benachrichtigt alle Kunden, wenn ein neuer Release verfügbar ist und verschickt Links zur Dokumentation und zum Release-Paket. Das Upgrade des Systems erfolgt automatisiert, problemlos und schnell.

Falcon Sandbox Private Cloud ist die von den meisten Falcon Sandbox-Benutzern bevorzugte Bereitstellungsoption. Die Cloud-Bereitstellung bietet sofortige Einsetzbarkeit, es ist keine Infrastruktur-Investition erforderlich – eine überzeugende, kostengünstige Bereitstellungsoption.

Die Falcon Sandbox On-Prem-Option ist für Organisationen konzipiert, die kundenspezifische Kontrolle über die Zerstörung von Malware benötigen, strenge Datenschutzanforderungen haben, aufgrund derer keine Malware die Organisation verlassen darf, oder enorme Skalierbarkeit auf über 25.000 analysierte Dateien pro Tag benötigen.

In der folgenden Tabelle sind die Merkmale der beiden Bereitstellungsoptionen zusammengestellt:

Für Falcon Sandbox On-Prem-Kunden: Falcon Sandbox Bridge ermöglicht die Erstellung eines verteilten Falcon Sandbox-Systems, das Hunderttausende Dateien pro Tag verarbeiten kann.  Diese Größenordnung wird durch Hinzufügen physischer Server zu Ihrem vorhandenen Falcon Sandbox On-Prem-System mit einem Lastenausgleich-Controller erzielt, der eingehende Dateien auf ein oder mehrere designierte, durch Falcon Sandbox On-Prem verwaltete Anwendungsserver verteilt.

Für alle Falcon Sandbox-Kunden: Falcon Sandbox Bridge kann Dateien aus verschiedenen Quellen (etwa E-Mail-Posteingängen, Netzwerklaufwerken usw.) erfassen und an Falcon Sandbox Private Cloud oder Falcon Sandbox On-Prem weiterleiten. Der Dateierfassungsprozess wird durch Abruf der Dateiquelle mit benutzerdefinierter Frequenz implementiert. Ist die Analyse abgeschlossen und wird – auf Basis eines benutzerdefinierten Bedrohungseinstufung – das Ergebnis für eine Datei abgerufen, so wird eine automatisierte E-Mail-Benachrichtigung gesendet.

Die Falcon Sandbox unterstützt PE-Dateien (.exe, .scr, .pif, .dll, .com, .cpl usw.), Office (.doc, .docx, .ppt, .pps, .pptx, .ppsx, .xls, .xlsx, .rtf, .pub), PDF, APK, ausführbares JAR, Windows Script Component (.sct), Windows Shortcut (.lnk), Windows Help (.chm), HTML Application (.hta), Windows Script File (*.wsf), Javascript (.js), Visual Basic (*.vbs, *.vbe), Shockwave Flash (.swf), Perl (.pl), PowerShell (.ps1, .psd1, .psm1), Scalable Vector Graphics (.svg), Python(.py)- und Perl(.pl)-Skripts, ausführbares Linux-ELF, MIME RFC 822 (*.eml) und Outlook *.msg-Dateien.

Die können Archive mit oder ohne Kennwort hochladen: ace, arj, 7z, bzip2, gzip2, iso, rar, rev, tar, wim, xz und zip. Wenn Sie ein Kennwort verwenden, ist das „infizierte“ Standard-Kennwort erforderlich.

Berichtformate sind XML, MAEC (4.1), OpenIOC (1.1), MISP XML und JSON. Berichte werden auch als einzelne HTML- oder PDF-Datei bereitgestellt.

Mit Falcon Sandbox können Benutzer die Kontrolle übernehmen, da es die Möglichkeit bietet, die Einstellungen zu konfigurieren und festzulegen, wie Malware zerstört wird. Zu diesen Optionen zählen etwa: Einstellung von Datum/Uhrzeit, Umgebungsvariable, Einstellung von Befehlszeilenoptionen, Bereitstellung von Kennwörtern für PDF-/Office-Eingabeaufforderungen. Außerdem können Sie aus zahlreichen „Aktionsskripts“ auswählen, die Benutzerverhalten während der Detonation nachahmen (etwa Mausklicks und Bewegung, Tastatureingabe), was dazu beiträgt, Malware aufzudecken, die versucht, sich vor der Sandbox-Technologie zu verstecken.

Verhaltensindikatoren definieren, ähnlich wie Indikatoren für Angriffe (IOAs), Aktivitäten mit hohen Risiken oder eine Reihe aufeinanderfolgender Aktivitäten, die als potenziell schädlich gelten können. Beispiele dafür sind etwa ein Eintrag in eine Autostart-Registry, das Ändern einer Firewall-Einstellung, das Schreiben einer bekannten Ransomware-Datei auf einen Datenträger oder das Senden von Daten an ungewöhnliche Ports. Verhaltensindikatoren bieten einen umfassenderen Einblick in das potenzielle Risiko der Datei und werden dazu verwendet, bisher unbekannte Bedrohungen zu erkennen.  Falcon Sandbox enthält über 700 generische Verhaltensindikatoren, die laufend aktualisiert und erweitert werden.

Wir unterstützen Windows Desktop XP, Vista, 7, 8, 10 (32 und 64 Bit) und Ubuntu/RHEL Linux (32 und 64 Bit). Wir unterstützen auch statische Dateianalyse für Android APK-Dateien. Benutzerdefinierte Images virtueller Maschinen (mittels VMWare und VirtualBox) werden in Falcon Sandbox On-Prem unterstützt.

Falcon Sandbox-Berichte beinhalten eine Incident Response-Zusammenfassung, Links zu zugehörigen Sandbox-Analyseberichten, zahlreiche IOCs, Akteur-Zuordnung, Analyse rekursiver Dateien, Dateidetails, Screenshots der Detonation, Laufzeitprozessbaum, Analyse des Netzwerkdatenverkehrs, extrahierte Zeichenfolgen und Abrufe zur IP-/URL-Zuverlässigkeit. Außerdem wird zu den Berichten Intelligence aus AlienVault OTX, VirusTotal und durch Falcon Intelligence hinzugefügt, die Bedrohungsakteur-Zuordnung, zugehörige Samples und mehr bieten. Zusätzlich können Sie CrowdStrike Falcon Sandbox-Berichte auf Beispiele überprüfen.

Ja. Falcon Sandbox bietet vielfältige Suchoptionen, etwa die Möglichkeit, Suchbegriffe zu kombinieren. Sie können nach dem Namen einer Virus-Familie, einem Bedrohungsakteur, bestimmten Dateitypen, Hashes, #Tags und danach suchen, ob ein bestimmter Verhaltensindikator ausgelöst wurde. Sie können sogar Berichte suchen, die eine bestimmte IP-Adresse, ein bestimmtes Land, eine Domain, URL usw. kontaktiert haben.

Falcon Sandbox bietet eine breite Palette an Integrationen. Dazu zählen:

• VirusTotal und OPSWAT Metadefender
• AlienVault OTX
• SIEM-Systeme, die das CEF-Format verwenden
• NSRL (Whitelisting)
• Thug Honeyclient (z. B. URL-Exploit-Analyse)
• Suricata (Netzwerksbedrohungserkennung)
• TOR (zum Vermeiden von externem IP-Fingerprinting)
• Orchestrierungs-Plattformen (z. B. Demisto, Phantom) 
• FAME (Malware-Analyse-Framework)
• Cortex (verwaltet Beobachtbares in großem Maßstab)

Es ist auch die Falcon Sandbox REST-API mit vollem Funktionsumfang verfügbar. (weitere Informationen)

Die rekursive Analyse ist eine einzigartige Funktion, die feststellt, ob die analysierte Datei zu einer größeren Kampagne, Malware-Familie oder einem Bedrohungsakteur gehört. Falcon Sandbox durchsucht automatisch die größte Malware-Suchmaschine der Branche nach zugehörigen Samples und weitet die Suche innerhalb von Sekunden auf alle Dateien aus. Das ist deswegen wichtig, weil dadurch Analysten den Angriff verstehen können und ein größeres Set von IOCs für das Schützen der Organisation zur Verfügung steh

Ja: Englisch, Deutsch, Spanisch, Französisch, Italienisch, Niederländisch, Polnisch, Portugiesisch, Chinesisch, Türkisch, Russisch, Vietnamesisch, Koreanisch, Thai, Indonesisch, Malaysisch, Arabisch.

Falcon Sandbox wird auf Abonnementbasis lizenziert, und zwar abhängig von der Anzahl der durch Falcon Sandbox pro Monat analysierten Dateien. Es gibt flexible Abonnementoptionen für Falcon Sandbox Private Cloud und die On-Prem-Version.

Wenn Sie weitere Informationen benötigen, kontaktieren Sie uns bitte.