之前一直以为Crowdstrike就只是卖Saas EDR且市值做到全球安全公司第二，最近对Crowdstrike的产品做了梳理，发现远不仅仅于此，从办公网的EDR、DLP到生产网的CWPP、CSPM以及整体安全的SIEM、SOAR、情报覆盖的特别全面，基本上可以满足很多全球大型企业的基础安全体系建设了，并且如果用了全家桶基本上可以将基础安全拉升到一个较高的水位。下面是近期做的一个基本整理：

一、NG-SIEM

CrowdStrike Falcon 下一代 SIEM 统一了安全操作，将威胁检测、调查和响应整合到一个平台中，以便分析师能够迅速揭露对手并阻止违规行为。Falcon Next-Gen SIEM 将 CrowdStrike 的检测和响应、威胁情报和专家服务扩展到所有数据源，并提高事件响应的速度和效率，从而增强可见性和保护。 

从今年三月二十日产品发行说明来看NG-SIEM基本上就是把之前的统一检测、XDR、日志检索、Workflow放到了一起组合成了一个新的模块叫NG-SIEM。

二、端点安全

1、XDR

通过将 Falcon 的 XDR 遥测技术与领先的第三方安全产品结合在一起，将检测和响应能力扩展到端点之外。自动关联跨攻击面的可疑活动，并利用强大的分析工具帮助的团队加速安全运营、降低风险并提高整个企业的威胁可见性和检测能力。

Crowdstrike XDR比较强的能力在于将不同类型的遥测日志自动关联形成事件，如下图Minmecast检测到钓鱼附件、Crowdstrike检测到执行恶意附件、Zscaler检测到异常的代理，而XDR将这些事件可以自动关联起来，这块儿的能力应该就是由Crowdstrike的威胁图数据库完成。

XDR主要还是对接他们伙伴的安全产品，在他的产品商店中可以看到有不少的产品可以关联分析并且提供了数据连接器，但是非Crowdstrike的合作伙伴产品则无法自动关联，例如你要是把国内的青藤云喷射到Crowdstrike数仓里面大概率是没法关联的。

2、端点监控

端点监控是Crowdstrike EDR最核心的能力，如下图是Falcon基于MITRE ATT&CK的覆盖矩阵。

其中值得关注和使用的在笔者看来有三个部分：

第一个是失陷指标IOC，Crowdstrike在全网有海量的客户并背靠5000名自己的分析师，所以他的情报能力是全球实时监控分析并下发到端侧的，不管是通用的还是行业的情报实时性有效性是毋庸置疑的，特别在反APT这块儿用起来很舒服。

第二个是攻击指标IOA，这个算是Crowdstrike创造的一个术语，当攻击者的工具、文件、漏洞都还是未知的情况下IOC可能会失效，但是攻击者的要达到目的的技战术基本上还是有规律可循，IOA主要是对攻击行为的检测去弥补传统EPP的盲点，举个例子攻击者使用的是无文件后门，但是他的进程树往往是异常的。

第三个是机器学习，机器学习又细分为基于探针的机器学习、基于云的机器学习、基于身份的机器学习，关于EDR的防御策略配置也会是开始使用时建议配置初级策略，等待云端机器学习对使用环境学习一定的周期后在逐步开启中高级策略，例如机器学习会计算该文件进程在全局环境的孤立程度，用于发现未知的威胁。

3、事件调查

事件调查主要是两个功能，一方面是出现安全事故以后进行日志调查回溯安全事件，另一方面是开时间窗口构建安全模型进行检测和威胁狩猎。

这两个功能不得不说的也是基于Crowdstrike的一个核心安全模块Falcon LogScale，Crowdstrike最开始的日志模块是内置的Splunk，在21年Crowdstrike花费了4亿美金收购了Humio，也就是现在的LogScale，可以提供安全数据几年的长期存储，可以有安全的检索语句和各种算子去快速检索日志和可视化，1pb的日志可以在秒级完成检索，这在面临海量日志的应急响应时会很有效。

4、响应

Crowdstrike的响应能力非常的有实战意义，特别是在全球有多个办公区亦或是分布式办公的情况下，当发现端点异常安全分析师可以一键将端点隔离并只与Crowdstrike服务端通信做到快速止血；有时候应急员工不在身边安全分析师不太容易实际在端上取证排查，Crowdstrike可以直接以命令行的形式连接到设备去执行命令、拉取文件、执行文件等。

5、猎鹰取证

CrowdStrike Falcon Forensics 允许从环境中的工作站和服务器收集取证分类数据。可以使用收集的取证数据来执行事件响应调查、危害评估和威胁搜寻。

猎鹰取证其实就是Crowdstrike在应急响应提供的工具，该工具相对于Falcon Agent采集的信息会更加丰富，例如浏览器的cookie、下载记录、插件信息、浏览记录，这些是常规Agent不会采集的数据，另外就是某些机器没有覆盖的情况下做快速的信息采集用于应急，并且采集的数据直接传输到Crowdsrike服务端可以直接服用XDR模块能力。

6、防火墙

基于 Windows 过滤平台或 CrowdStrike 平台（适用于 macOS），使用 Falcon 防火墙管理从 Falcon 控制台集中管理 Windows 和 macOS 主机上的防火墙。根据组织的策略允许或阻止网络流量，保护的主机免受网络威胁。

Crowdstrike端点防火墙可以做到端点进程和网络协议级别的控制，最主要的应用场景还是应急响应时候拉黑IP，某些场景下不是所有的端点都在办公区可以拉黑边界防火墙就够了。另外我们也可以使用CQL去统计学习端点的网络行为记录，对特定场景下的端点网络做白名单管控，毕竟白名单是对抗高阶APT最佳方法。

7、设备控制

通过设备控制，管理端点的USB使用，这块儿功能比较简单，相对于专业的移动设备管控还是有很大的差距。

8、零信任

零信任评估 (ZTA) 监视组织内主机的操作系统设置和传感器设置。对合格主机的这种精细评估用于生成唯一代表每个主机安全状况的分数。

三、数据保护

使用 Falcon Data Protection (FDP) 保护知识产权、敏感信息和受监管数据。FDP 使用 Falcon 传感器为 Web 应用程序和 USB 设备提供端点上敏感数据移动的可见性。它能够根据用户身份、数据分类和出口目的地主动设置规则。调查包含有关用户、主机、数据、目的地等的丰富元数据的出口事件。在模拟模式下测试规则，而不影响最终用户的工作效率。该模块适用于 Windows。

四、云安全

1、云安全态势管理CSPM

 CrowdStrike 云安全态势管理平台 (CSPM) 避免违规并确保的云安全配置符合行业安全建议。CSPM 监控的 AWS、Azure 和 GCP 云服务，以检测关键安全问题、常见配置错误和可疑行为模式。使用 CSPM 对发现的结果进行分类并找到建议的补救措施来缩小差距并确保云数据的安全。 

CSPM主要有两个监控指标，IOM是事前对云脆弱性评估的，IOA是云服务运行时的可疑监控：监控配置错误（IOM）快速识别云配置中的错误配置，可以遵循补救步骤并降低数据丢失和安全漏洞的风险。配置评估页面显示基于配置策略的结果。监控可疑行为 (IOA) 快速识别云环境中的可疑行为模式，可以按照步骤降低数据丢失和安全漏洞的风险。

CSPM下面还有云身份和权利管理（CIEM）模块，是云基础设施安全的关键部分。不正确的身份授权和过于宽松的帐户是许多云泄露事件的因素。Identity Analyzer 可识别与云帐户身份相关的关键风险。CIEM的分析也会依赖于上面说的IOM和IOA指标，相对于Crowdstrike专门的身份保护他更多的将身份安全迁移到了云身份上，目前主要支持AWS的账号安全和微软的AzureAD安全。

云资产的清单与可视化，CSPM可以根据公有云账号权限自动采集云资产，并且绘制云服务之间的链路图以及攻击时的攻击链路图。

2、K8S和容器安全

运行前安全性为组织的 CI/CD 构建管道提供镜像评估，并确保容器可以安全部署。运行时安全通过提供容器工作负载的可见性来保护 Kubernetes 集群。通过 Kubernetes 环境中运行的资产的综合视图获得全面的运行时保护。

五、身份保护

Falcon Identity Protection 监控网络流量以构建用户行为档案，帮助识别异常用户行为。它通过使用身份、行为和风险分析，通过实时威胁预防和 IT 策略实施来实现无摩擦的零信任安全。 

Crowdstrike的身份安全保护主要专注于AD域的身份安全，产品是基于之前收购的一个零信任安全公司Preempt。

1、脆弱性发现

安全能力覆盖了身份安全的事前的AD脆弱性、合规、漏洞、自动渗透去缩小AD的攻击面。

2、异常检测与防御

事中AD的异常检测、攻击检测以及异常对应的响应动作。CrowdStrike的AD运行时安全相较于其他的ITDR产品有两个比较不一样的点，一个是他的产品运行时的检测和防御虽然是复用了装载域控上的Agent，但是完全基于网络层覆盖Kerberos、NTLP、RDP、LDAP，好像一个主机的Snort实现漏洞攻击时阻断威胁，同时采集这些协议的遥测日志进行基线建模，一般建模时间一到两周，最终基于模型去做异常检测；

另一个是他的异常响应除了Block还可以去对接到第三方的身份产品发起MFA如okta、cyberark。

这是Crowdstrike身份安全的部分检测项：Access from blocklisted location、Access from lP with bad reputation、Access from multiple locationsconcurrently、Access from unusual geolocation、Anomalous RPC (accountdiscovery)、Anomalous RPC (credentialaccess)、Anomalous RPC (remote services)、Anomalous RPC (scheduled tasko、Anomalous RPC (valid accounts)、Anomalous RPC(ZeroLogon)、Bronze Bit exploit、Credential scanning (ActiveDirectory、Credential scanning (web-based)、DC PsExec execution、Excessive activity from multipleendpoints、Excessive activity to multipleendpoints、Forged PAC attack、Golden Ticket attack

六、工作流Falcon Fusion SOAR

Falcon Fusion 工作流程通过围绕特定和复杂的场景自动执行操作，帮助简化分析师工作流程。可以创建工作流程来精确定义希望 Falcon 执行的操作，以响应事件、检测、策略、云安全结果等。 

Falcon Fusion SOAR是Crowdstrike提供给用户可视化拖拉拽的编排平台，主要作用是打通自身产品体系内各个模块的协作，例如将EDR发现可疑文件投递到沙箱，如果沙箱检测文件恶意程度大于八十分则自动使用EDR将端点隔离，另外就是与他的软件市场合作伙伴安全产品进行打通，是一款内置用着还行但不至于多么出彩的安全编排工具，同时也不适应于整个大架构下的安全编排。

七、文件完整性 Falcon FileVantage

使用 FileVantage，查看环境中何时进行了可能未经授权的更改。使用现有的 Falcon 传感器定义的规则，FileVantage 可以监视的敏感目录、文件和注册表的更改，并在仪表板上实时报告它们。可以深入调查潜在的可疑更改。

八、暴露面管理

暴露面管理模块主要是从资产、应用、漏洞、账户、外部攻击面去看企业整体的暴露面。其中大部分的能力还是依赖于Agent实现，但是产品也不乏一些好用的点，例如资产发现会利用Agent主动采集和被动发现企业资产，以致于可以发现未覆盖Agent的资产；漏洞的话虽然是Agent扫描产生，但是不会完全依赖于CVE的评分，而是Crowdstrike对于漏洞在野利用的程度给出对应的修复优先级；应用不仅仅是采集应用的版本，而是可以控制企业中哪些应用可以使用哪些不可以使用，具体的应用开通可以使用审批流程，这样在一些对抗较高的环境中也是较有成效。

Crowdstrile外部供给面管理模块是基于收购的Reposify，他可以监控企业的外部攻击面、影子资产、公有云资产、子公司风险、供应链以及第三方公司的安全。

九、威胁情报

Crowdstrike的威胁情报能力是真的不赖特别是在国家级的反APT上，其强大的原因主要得益于几点，一是全球客户众多且涉及各个行业、二是他是SaaS化的产品能实时获得全网海量数据、三是数据处理能力强且有威胁图数据库助力情报的生产与分析、四是全球分析师团队强大据了解差不多有五千多名分析师在全天候分析安全态势。

1、Actors

Actors模块是CrowdStrike 追踪 170 多个不同的民族国家参与者，并根据他们的原籍国或组织为他们命名。这些行为者有不同的动机，针对不同的行业，并在实践中使用不同的策略和技术。 

这个模块是真的不错，每个APT组织都有国家来源、惯用的技战法、目标行业、意图等，基本上可以看到自身所处环境的对手都是怎样的画像，同样这些情报都是内置在安全产品内部可以做检测和阻断。

2、Indicators

Indicators就是Crowdstrike的IOCs模块了，这里涉及ip、domain、hash、email、mutexname、password、personname等十几类IOC，而且在这里是全量明文提供的，不得不说Crowdstrike在这里还是挺大方的不藏着掖着，提供API查询情报同时可以将情报同步到本地，以提供给企业的其他安全产品使用例如防火墙。当然高级版本的情报模块还可以直接到处全量情报直接是yara、suricata的规则压缩包，情报的内容应该会更多，据说是出了美国就买不到高级版的情报。

3、沙箱

Crowdstrike的沙箱能力没什么特别可以去提的，动静态分析、机器学习分析文件、ATT&CK映射、交互式沙箱、IOC提取等等也都是常规沙箱能力，具体检出的能力笔者没有太多的深入分析，要说比较好的体验就是将本地可疑的文件自动投递沙箱，在分析端点告警时沙箱的报告也会附带上。

十、托管威胁狩猎

托管的威胁狩猎还跟Crowdstrike的MDR服务有点差异，这是由Overwatch团队去帮助客户在其环境中做威胁狩猎，他们实现威胁狩猎的方法主要是自动化的威胁狩猎加上人工狩猎。其价值在于某些异常是EDR的IOA无法通过技术直接检测的，所以需要狩猎团队从海量日志中基于文件、命令行、注册表等信息进一步狩猎异常，另外Overwatch与Falcon Intelligence同属于一个大部门下的两个小团队，所以情报团队所产出的实时全球情报会同步给Overwatch，Overwatch可以根据客户的行业进行特定的狩猎，这比等待威胁情报的更新效果要强。

十一、夏洛特AI

Charlotte AI 是一款专注于安全的生成式人工智能助手，可帮助各种技能水平的用户提高和简化阻止违规行为的能力，同时降低安全操作的复杂性。

Charlotte AI 对简单的英语提示提供直观、实时的响应。Charlotte AI 简化了确定环境中风险和恶意活动的过程，并减少了手动审查和过滤大量数据的需要。可以快速确定组织中已检测到哪些威胁参与者或已针对行业中的其他组织，查找受高风险漏洞影响的端点等等。 

Charlotte AI在生产中目前还没上线，属于官方还在内测阶段的安全模块，从已有资料来看Crowdtrike希望借助大模型进一步提升他的威胁分析能力，主要的形式是Chatgpt一样与分析师交互式问答，例如可以询问目前环境中有没有某个APT组织的活动行为、目前全网xxx漏洞有哪些主机、调查某个主机在数仓中的日志，主要还是加速分析师的调查时间，其他的能力暂时没有看到。

十二、IT自动化

管理的资产库存、最大限度地降低风险并优化系统效率，无需额外的工具或复杂的流程。Falcon for IT 能够使用通用语法实时资产查询来检索环境中全面的上下文主机详细信息。 

这块的的功能就是Crowdstrike提供了一个交互式的SQL让使用者可以查询全局资产信息如进程、用户、浏览器插件，在对全局资产盘点和应急响应时候较为有效。其实Crowdstrike的端点安全提供了交互的SHELL连接到电脑上执行命令，IT自动化应该就是基于这个能力封装了一层做批量化。

Crowdstrike官网对自身产品有句话概括的特别好：Unified platform. One agent. Complete protection.