Como gerar sua primeira detecção com o CrowdStrike Falcon
Se você é um cliente novo da CrowdStrike ou quer ter uma ideia de como o sistema funciona na prática, acompanhe este artigo de suporte. Nele, nós vamos mostrar como gerar sua primeira detecção na plataforma Falcon.
Você também vai ver como a CrowdStrike adiciona contexto aos alertas, possibilitando que a equipe tome as medidas mais adequadas para correção.
Principais tópicos deste artigo
Introdução
A primeira detecção no CrowdStrike Falcon deve ser uma detecção de teste, certificando que o sistema está instalado e ativo. Apenas depois de testado é que o Falcon deve ser expandido para um set maior de endpoints.
Neste vídeo (disponibilizado apenas em inglês), um especialista da CrowdStrike mostra em detalhes o processo. Confira!
Como gerar um alerta de teste no CrowdStrike Falcon
Para gerar um alerta, abra o Prompt de Comando no Windows (cmd.exe) clicando no ícone ou acionando a tecla Windows no seu teclado. Aí digite “cmd”.
Na janela do Prompt de Comando, digite os seguintes comandos:
“Sc query csagent”
Com esse comando, é possível verificar que há um agente Falcon instalado e funcionando.
Para verificar a conectividade entre o host e o console, a CrowdStrike criou uma maneira fácil de verificar a instalação.
Apenas digite:
“choice /m crowdstrike_sample_detection”
E então digite “Y”.
Em seguida, vamos abrir a interface de usuário para verificar se o alerta foi gerado.
Como verificar o alerta na interface de usuário do CrowdStrike Falcon
Na interface de usuário do Falcon, o dashboard deve indicar uma nova detecção.
Ao clicar na detecção, o sistema leva para a página de atividade, com todos os alertas recentes.
Este alerta de teste foi ranqueado como “Low” – baixo risco – e possui um ícone do Falcon associado a ele.
Isso quer dizer que o Falcon OverWatch marcou essa atividade como suspeita. Se não fosse um alerta apenas de teste, ele teria sido acompanhado por um e-mail do time da CrowdStrike OverWatch com detalhes adicionais.
Ao clicar no alerta, o sistema mostra mais informações. Uma árvore de processos mostra que um prompt de comando foi aberto e que o arquivo que disparou o alerta foi “choice.exe”.
À direita, há detalhes adicionais, incluindo o argumento de linha de comando utilizado e o file hash associado ao arquivo choice.exe.
Essas informações complementares são importantes para determinar se um comando aparentemente de rotina está de fato associado a uma atividade legítima ou se faz parte de um ataque malicioso.
Ao clicar em cada nódulo da árvore de processos, o painel à direita atualiza com detalhes sobre cada uma das ações executáveis.
Com essa verificação, nós aprendemos a obter mais contexto de cada alerta e garantimos que o sensor está instalado corretamente.
Conclusão
A primeira detecção é apenas o início do trabalho de proteção de endpoints do CrowdStrike Falcon. A plataforma oferece diversos recursos para garantir visibilidade e proteção contra ataques avançados.
Com esse primeiro passo concluído, nós sugerimos a leitura de outros artigos de suporte para te ajudar a explorar ao máximo o potencial do Falcon:
Ainda não é cliente? Solicite um Free Trial do Falcon
Quer ver na prática como o Falcon atua?
Solicite o seu free trial e ainda receba suporte técnico especializado desde o primeiro contato.