Falcon Insight™ ist das EDR-Modul (Endgeräteerkennung und Abwehr) des CrowdStrike® Falcon®-Endgeräteschutzes Falcon Insight agiert wie ein digitaler Videorekorder (DVR) auf Ihrem Endgerät: zeichnet die Aktivität auf, um Vorfälle zu erfassen, die nicht durch die Präventionsmaßnahmen erfasst wurden. Es stellt sicher, dass Kunden umfassenden Einblick in alles haben, was auf ihren Endgeräten geschieht und für die Sicherheit relevant ist – eliminiert das Risiko eines „nicht angezeigten Fehlers“, durch den Eindringlinge sich unerkannt weiter in Ihrer Umgebung umtun können. Falcon Insight erfasst Indikatoren für Angriffe (IOAs), die anderen Schutzmethoden möglicherweise entgangen sind, und ermöglicht präventives Aufspüren von Bedrohungen in einer ganzen Umgebung, sowohl in Echtzeit als auch in der Vergangenheit. Und Falcon Insight hilft Ihnen nicht nur, ausgeklügelte moderne Angriffe rasch zu erkennen, sondern auch wirksam auf Bedrohungen zu reagieren und diese zu beheben, sodass Sie ihr Geschäft rasch wieder aufnehmen können.
Häufig gestellte Fragen zu Falcon Insight
Erfahren Sie mehr über den Endgeräteschutz der nächsten Generation
Bei Falcon Insight handelt es sich um eine intelligente EDR-Lösung, die Vorfälle automatisch erkennt und die uneingeschränkt funktionsfähig ist, ohne dass dafür vorgängige Feineinstellung oder Konfiguration erforderlich wären. Das gelingt durch die Kombination umfassender Endgerätetransparenz mit IOA-Verhaltensanalysen. So lassen sich Ereignisse in Echtzeit analysieren und Spuren verdächtigen Verhaltens automatisch erkennen. Ebenso können Angreiferaktivitäten ausfindig gemacht werden, die sonst vielleicht übersehen worden wären. Dank IOAs müssen Sicherheitsteams nicht mehr herausfinden, wonach sie suchen sollen, und keine eigenen Suchen mehr erstellen.
Auch wenn Falcon Insight weder Konfiguration noch Feineinstellung benötigt, können Benutzer ihre eigenen Suchen schreiben und dabei um bis zu 90 Tage zurückgehen. Das ist nützlich für Sicherheitsteams, die präventiv Bedrohungen in ihren Umgebungen suchen möchten. Da Falcon Insight auf einer Cloud-nativen Architektur aufbaut, werden die Ergebnisse innerhalb von maximal fünf Sekunden ausgegeben.
Durchaus. CrowdStrike Falcon wird häufig für Incident Response verwendet. Falcon Insight bietet Einblicke in alle Endgeräte der Umgebung aus der Ferne. Sie können unverzüglich das „Wer, Was, Wann, Wo und Wie“ eines Angriffs einsehen. Außerdem versetzt Insight Responder Sie in die Lage, auf Bedrohungen in Echtzeit zu reagieren und diese zu beheben. Das reduziert das Ausgesetztsein und die Zeit zur Wiederherstellung. Die Cloud-basierte Architektur von Falcon Insight beschleunigt die Abwehr und die Behebung deutlich und ermöglicht es Sicherheitsteams, auf forensische Informationen auch dann noch zuzugreifen, wenn das Endgerät zerstört ist.
Von einem nicht angezeigten Fehler spricht man, wenn die Schutzmethoden eines Unternehmens einen Angriff ohne Alarm durchlassen und die Angreifer sich tage-, wochen- oder monatelang in einer Umgebung aufhalten können. Falcon Insight bietet Schutz gegen nicht angezeigte Fehler, indem es alle interessanten Aktivitäten auf einem Endgerät aufzeichnet und bessere Einblicke ermöglicht, sowohl in Echtzeit als auch für die Vergangenheit. Diese gründliche, präventive Analyse findet schädliche Aktivitätenmuster, die anders möglicherweise nicht entdeckt worden wären.
CrowdStrike Falcon ist für die Maximierung des Kundeneinblicks in Sicherheitsereignisse konzipiert, in Echtzeit ebenso wie mit Bezug auf vergangene Ereignisse. Dazu erfasst es die Ereignisdaten, die für das Identifizieren und Verstehen von Angriffen sowie deren Abwehr nötig sind – aber nicht mehr. Dieses Standardset von Systemereignissen mit Schwerpunkt auf der Ausführung von Prozessen wird ständig auf verdächtige Aktivitäten überwacht. Wird eine solche Aktivität erkannt, startet eine zusätzliche Datenerfassung, die dem besseren Verständnis der Situation dient und eine zeitgerechte Abwehr des Ereignisses (bei Bedarf und auf Wunsch) ermöglicht. Die speziell erfassten Daten ändern sich abhängig von Änderungen in der Bedrohungslandschaft. Informationen zur Aktivität auf dem Endgerät werden über den Falcon-Agent erfasst und dem Kunden über die sichere Falcon Webmanagement-Konsole zur Verfügung gestellt.
Die Informationen werden laufend in Echtzeit erfasst, was den Sicherheitsteams „Schulter-Surfen“ bei Gegnern oder Angreifern ermöglicht. So wird sichergestellt, dass die angezeigten Informationen immer aktuell und relevant sind. Das unterscheidet Falcon Insight von EDR-Lösungen, die Endgeräte abfragen müssen – deren Informationen sind nur so gut wie die zuletzt durchgeführte Abfrage oder der letzte Scan.
Alle von den Endgeräten erfassten Telemetrie-Daten können 90 Tage lang aufbewahrt werden.
Ja. Die Falcon Data Replicator-API bietet vollständige Ereignisdaten, die Kunden in ihr lokales Data Warehouse / ihre lokale Datenschicht übernehmen können. Außerdem ermöglichen zahlreiche komplexe und benutzerfreundliche APIs das Verbinden von Anwendungen mit der Falcon-Plattform und anderen externen Datenquellen.
Ja. Die Cloud-Architektur von Falcon Insight ermöglicht präventives Aufspüren von Bedrohungen in beispiellosem Ausmaß. Das Aufspüren von Bedrohungen erhöht den Schutz eines Unternehmens vor Angreifern und spielt eine wesentliche Rolle bei der Früherkennung von Angriffen und Gegnern. Mit Falcon Insight können Sicherheitsteams auf die gesamten bis zu 90 Tage lang aufbewahrten Daten zugreifen, in Sekundenschnelle Abfrageergebnisse erhalten und problemlos von einem Hinweis zum nächsten navigieren.
Außerdem können auch Unternehmen, die aktuell über keine Sicherheitsressourcen zum Aufspüren von Bedrohungen verfügen, mithilfe von Falcon OverWatch™, der verwalteten Komponente der Falcon-Plattform zum Aufspüren von Bedrohungen, davon profitieren. Das Falcon OverWatch-Team aus erfahrenen Sicherheitsexperten arbeitet rund um die Uhr für Kunden, um präventiv Bedrohungen aufzuspüren und Sicherheitsverletzungen zu stoppen.
Kunden müssen keine Infrastruktur für Falcon Insight bereitstellen. Falcon Insight nutzt die Falcon-Plattform, die zu 100 % Cloud-basiert ist. So sind Kunden schneller geschützt und die Gesamtbetriebskosten verringern sich, da lokale Hardware-Anschaffung, -Bereitstellung und -Instandhaltung wegfallen. Die Cloud-basierte Sicherheit macht es Angreifern auch unmöglich, in den Besitz der CrowdStrike-Technologie zu kommen und zu versuchen, diese zu manipulieren oder zu umgehen. Wenn ein Angreifer versucht, Falcon zu überwinden, werden seine Versuche unverzüglich an die Cloud gesendet und dort entdeckt. Durch die Cloud-basierte Sicherheit hat CrowdStrike auch einen besseren Überblick über die Bedrohungslandschaft. Aufgrund dieses besseren Überblicks kann Falcon mehr Daten analysieren, und das wiederum verbessert den Schutz.
Falcon Insight bietet eine Reihe integrierter Vorgänge, die auf Systemen ausgeführt werden, während ein Vorfall abgewährt wird. Einige dieser Abwehrvorgänge werden zur Untersuchung einer Bedrohung eingesetzt, um ein umfassendes Verständnis des Bedrohungsrisikos und der Bedrohungsreichweite zu gewinnen. Diese Vorgänge helfen Respondern, Bedrohungen rascher und besser zu verstehen. Andere Vorgänge dienen dem Ergreifen von Maßnahmen in einem System, die eine Bedrohung eindämmen oder beheben. Das geschieht etwa durch Stoppen schädlicher Prozesse, Löschen von Dateien, Bereinigung der Windows-Registry oder Eindämmung des Netzwerkdatenverkehrs. Diese Befehle helfen Respondern, rasch und entschlossen einzugreifen. In ihrer Kombination tragen Sie dazu bei, die Reaktionszeit bei ausgeklügelten Bedrohungen drastisch zu senken.
Falcon wird auf Abonnementbasis pro Endgerät lizenziert. Unser CrowdStrike Falcon Prevent-Virenschutz der nächsten Generation kann ab $59,99 pro Endgerät und Jahr abonniert werden. Wenn Sie weitere Informationen benötigen, wenden Sie sich bitte an uns und fordern Sie ein Angebot an. Das Produkt kann auch direkt auf dem AWS Marketplace erworben werden.