Test: CrowdStrike Falcon Prevent
Bodyguard per Cloud
Fortsetzung des Artikels von Teil 1
Schnelle Inbetriebnahme
In der Management-Konsole sind mehrere Tutorials integriert, die den Systemverwalter Schritt für Schritt durch grundlegende Aufgaben wie die Agenteninstallation oder das Erkennen von Malware führen. Die Benutzerverwaltung erfolgt über ein granulares Rollenmodell. Auch eine Integration in Microsofts Active Directory ist möglich. Die überwachten Systeme kann der Administrator verschiedenen Host-Gruppen zuordnen, um zum Beispiel für Server, PCs und Notebooks jeweils eigene Sicherheitsrichtlinien zu konfigurieren. Crowd-Strike unterstützt auch dynamische Host-Gruppen, die alle in einer bestimmten Active-Directory-OU (Organizational Unit) enthaltenen Geräte automatisch in die jeweilige Gruppe aufnehmen können. Dies vereinfacht die Verwaltung der Endpoints in größeren Unternehmen deutlich.
Über die Cloud-Konsole lassen sich die Detection-and-Prevention-Einstellungen von Falcon Prevent an eigene Bedürfnisse anpassen. Dazu zählen unter anderem File Exclusions, Prevention Hashes und spezielle IoA-Regelwerke für bestimmte Domänen oder IP-Adressen. Die Daten zwischen den Endgeräten und der Security-Cloud überträgt CrowdStrike immer verschlüsselt, wobei TLS 1.2 (Transport Layer Security) zum Einsatz kommt. Die in der Cloud gespeicherten Daten verschlüsselt die Software mit AES-256.
AVNG im Testbetrieb
Um die Schutzfähigkeiten von Falcon Prevent zu testen, erstellten wir eine neue Detection and Prevention Policy, in der wir alle Funktionen aktivierten. Dann wiesen wir das Regelwerk unseren Testrechnern zu. Unter dem Menüpunkt Exclusions kann der Administrator individuell Ausnahmen definieren, damit zum Beispiel für bestimmte Verzeichnispfade keine ML-Detection-Aktionen ausgeführt werden. Anschließend kopierten wir ein Eicar-Testfile auf den W2019-Server. Als wir die Exe-Datei öffnen wollten, verhinderte der Falcon-Agent die Ausführung; die Cloud-Konsole zeigte eine Warnmeldung, dass eine Malware-Datei geblockt und in Quarantäne genommen wurde. Eine weitere Malware-Testdatei erkannte der Cloud-basierte ML-Mechanismus beim Download aus dem Internet und nahm sie in Quarantäne.
Der Falcon-Agent legt im Windows-Event-Viewer ein eigenes Log an, in dem wir die Warnmeldung fanden, dass das Hacking-Tool Sharphound.exe blockiert und in Quarantäne genommen worden war. Diese Information fand sich zudem in Crowd-Strikes Cloud-Konsole, die Details zur Art des jeweiligen Angriffsversuchs anzeigt. Zusätzlich erhielten wir zu jeder erkannten Bedrohung automatisch eine E-Mail-Benachrichtigung, weil wir unter den allgemeinen Einstellungen in der Cloud-Konsole eine E-Mail-Adresse hinterlegt hatten.
Die Schutzfunktionen des IoC-Managements (Indicator of Compromise) testeten wir, indem wir eine neue Indicator-Regel mit dem Hashwert der Dateien psexec.exe, psexec64.exe und psexecsvc.exe erstellten und diese den zwei Windows-Test-Servern zuwiesen. Dadurch konnten wir auf diesen Servern mit dem Psexec-Tool keine Re-mote-Kommandos mehr ausführen. Für den Test der Offline-Schutzfunktionen kopierten wir eine Malware-Testdatei auf das C:-Laufwerk des Windows-Notebooks, das wir vorher ohne Netzwerkverbindung neu gestartet hatten. Beim Versuch, die Schaddatei zu öffnen, erschien die Warnmeldung, dass diese Datei nicht ausgeführt werden kann. Der Falcon-Agent kann auch USB-Ports überwachen.
Der Administrator kann zudem On-Demand-Scans der überwachten Systeme durchführen. Der Scan unseres Test-Notebooks dauerte knapp zehn Minuten, es wurden keine Schaddateien gefunden. In der Cloud-Konsole erschient der Scan-Job unter „On-demand Scans“ noch mehrere Minuten im Status „Pending“, obwohl er bereits abgeschlossen war. In der Detailansicht unter „Hosts without detections“ wurde der Status bereits kurz nach Scan-Ende korrekt als erledigt dargestellt.
Wirkungsvoller Schutz aus der Cloud
CrowdStrikes AVNG-Lösung konnte im LANline-Test mit schneller Inbetriebnahme und komfortabler Konfiguration der Schutzfunktionen über die zentrale Cloud-Konsole punkten. Durch die Nutzung Cloud-basierter ML-Techniken sind keine lokalen Signaturdatenbanken mehr nötig und der Falcon-Agent beansprucht nur wenig Systemressourcen. Für Unternehmen, die keine eigene AV-/EDR-Infrastruktur betreiben wollen, ist die Lösung ein interessantes Angebot. Falcon Prevent wird auf Abonnementbasis pro Endgerät lizenziert. Die Listenpreise für den reinen AVNG-Schutz liegen bei neun Dollar pro Endpunkt und Monat, die Enterprise-Version mit zusätzlichen Schutzfunktionen bei 16 Dollar.
- Bodyguard per Cloud
- Schnelle Inbetriebnahme
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
