Como gerar sua primeira detecção com o CrowdStrike Falcon

Se você é um cliente novo da CrowdStrike ou quer ter uma ideia de como o sistema funciona na prática, acompanhe este artigo de suporte. Nele, nós vamos mostrar como gerar sua primeira detecção na plataforma Falcon. 

Você também vai ver como a CrowdStrike adiciona contexto aos alertas, possibilitando que a equipe tome as medidas mais adequadas para correção.

Principais tópicos deste artigo

Introdução

A primeira detecção no CrowdStrike Falcon deve ser uma detecção de teste, certificando que o sistema está instalado e ativo. Apenas depois de testado é que o Falcon deve ser expandido para um set maior de endpoints. 

Neste vídeo (disponibilizado apenas em inglês), um especialista da CrowdStrike mostra em detalhes o processo. Confira!

Como gerar um alerta de teste no CrowdStrike Falcon

Para gerar um alerta, abra o Prompt de Comando no Windows (cmd.exe) clicando no ícone ou acionando a tecla Windows no seu teclado. Aí digite “cmd”.

Na janela do Prompt de Comando, digite os seguintes comandos:

“Sc query csagent” 

Com esse comando, é possível verificar que há um agente Falcon instalado e funcionando.

Para verificar a conectividade entre o host e o console, a CrowdStrike criou uma maneira fácil de verificar a instalação.

Apenas digite:

“choice /m crowdstrike_sample_detection”

E então digite “Y”.

Em seguida, vamos abrir a interface de usuário para verificar se o alerta foi gerado.

Como verificar o alerta na interface de usuário do CrowdStrike Falcon

Na interface de usuário do Falcon, o dashboard deve indicar uma nova detecção.

Ao clicar na detecção, o sistema leva para a página de atividade, com todos os alertas recentes.

Este alerta de teste foi ranqueado como “Low” – baixo risco – e possui um ícone do Falcon associado a ele.

Isso quer dizer que o Falcon OverWatch marcou essa atividade como suspeita. Se não fosse um alerta apenas de teste, ele teria sido acompanhado por um e-mail do time da CrowdStrike OverWatch com detalhes adicionais.

Ao clicar no alerta, o sistema mostra mais informações. Uma árvore de processos mostra que um prompt de comando foi aberto e que o arquivo que disparou o alerta foi “choice.exe”.

À direita, há detalhes adicionais, incluindo o argumento de linha de comando utilizado e o file hash associado ao arquivo choice.exe.

Essas informações complementares são importantes para determinar se um comando aparentemente de rotina está de fato associado a uma atividade legítima ou se faz parte de um ataque malicioso. 

Ao clicar em cada nódulo da árvore de processos, o painel à direita atualiza com detalhes sobre cada uma das ações executáveis.

Com essa verificação, nós aprendemos a obter mais contexto de cada alerta e garantimos que o sensor está instalado corretamente.

Conclusão

A primeira detecção é apenas o início do trabalho de proteção de endpoints do CrowdStrike Falcon. A plataforma oferece diversos recursos para garantir visibilidade e proteção contra ataques avançados. 

Com esse primeiro passo concluído, nós sugerimos a leitura de outros artigos de suporte para te ajudar a explorar ao máximo o potencial do Falcon:

Ainda não é cliente? Solicite um Free Trial do Falcon

Quer ver na prática como o Falcon atua?

Solicite o seu free trial e ainda receba suporte técnico especializado desde o primeiro contato.

Receba Notícias

Artigos Mais Recentes