Die Falcon Search Engine von CrowdStrike ist eine schnelle und große Suchmaschine für Cybersicherheit. CrowdStrike hat die größte durchsuchbare Bedrohungsdatenbank der Cybersicherheitsbranche geschaffen, die über 100 Milliarden Sicherheitsereignisse pro Tag aufnimmt und 400 Millionen schädliche Dateien indiziert, die in Echtzeit durchsucht werden können. Durch die Nutzung eines einzigartigen Indizierungsansatzes versetzt die Falcon Search Engine Kunden in die Lage, aus den Daten Vorteile zu schöpfen und ihre Malware-Recherchekapazitäten im Security Operations-Center (SOC) und für Sicherheitsexperten allgemein deutlich zu beschleunigen und zu verbessern.

Wer schneller agieren kann als die Gegner, und die Bedrohungen im Kontext versteht, hat den taktischen Vorteil, den er benötigt, um Organisationen gegen die heutigen ausgeklügelten Angriffe verteidigen zu können. Die gegenwärtige Realität von Sicherheitsexperten hingegen ist, dass ihre Recherche-Tools einfach zu langsam sind. Es kann Stunden oder Tage dauern, bis sie einen Angriff verstehen und Schutzmaßnahmen ergreifen können. Sie haben mit langsamen Abfragen, unzusammenhängenden, unvollständigen Daten und zu vielen Fehlalarmen zu kämpfen, und das macht es schwierig, Bedrohungen auf den Grund kommen und ihnen strategisch entgegenzuwirken. Suchmaschinen haben die Recherche-Geschwindigkeit in allen anderen Lebensbereichen revolutioniert, und die Falcon Search Engine leistet dasselbe für Cybersicherheit.

Die Falcon Search Engine beruht auf einer zum Patent angemeldeten Indizierungstechnologie. Diese überlegene Indizierung ermöglicht den Zugriff auf weitere Rohdaten ohne Beeinträchtigung der Inhalte, und liefert Suchergebnisse dennoch in Echtzeit. Der Index ist in einem hoch skalierbaren Index-Cluster mit mehreren Knoten und Zeitrahmen-basierter Sharding-Strategie gespeichert, was extrem schnelle, auf Dateiinhalte bezogene Suchergebnisse ermöglicht – nicht nur Metadaten oder Tags. Die einzigartige Indizierung reduziert Suchzeiten von Stunden, Tagen oder Wochen auf Minuten und Millisekunden.

CrowdStrike Falcon MalQuery ist die Malware-Such- und -Analysekomponente der Falcon Search Engine. Es wurde entwickelt, um Malware-Researchern, Sicherheitsforensik-, Vorfallsreaktions- und Cyber-Threat-Intelligence-Teams die Möglichkeit zu geben, historische und verwandte Malware-Samples für weitere Untersuchungen zu finden.

Falcon MalQuery ist ein hochentwickeltes, Cloud-basiertes Malware-Recherche-Tool, mit dem Sicherheitsexperten und Bedrohungs-Researcher eine enorme Sammlung von Malware-Samples rasch und effizient durchsuchen können. Der Kern von Falcon MalQuery ist eine gewaltige, über mehrere Jahre hinweg geschaffene Sammlung von Malware-Samples, die speziell für rasche Suchen indiziert ist.

CrowdStrike Falcon MalQuery ist die Malware-Such- und -Analysekomponente der Falcon Search Engine.

Falcon MalQuery ist eine Cloud-basierte Anwendung, auf die über die Falcon-Management-Konsole zugegriffen wird. Es wird als Dienst angeboten; Benutzer benötigen daher ein gültiges Abonnement. Eine Demo der Funktionsweise von Falcon MalQuery ist im CrowdStrike Tech Center verfügbar.

Der Falcon MalQuery-Dienst bezweckt insbesondere die Beschleunigung und Verbesserung der Malware-Recherche-Ressourcen im modernen SOC der nächsten Generation. Es wurde konzipiert für die Ermöglichung und Unterstützung einer Reihe von Sicherheitsfunktionen, etwa Malware-Recherche, Sicherheitsforensik, Vorfallsabwehr und Intelligence von Cyber-Bedrohungen.

Falcon MalQuery ist eine hocheffiziente Suchmaschine, die Sicherheitsexperten und -forschern Zeit erspart, indem sie sofortigen Zugriff etwa auf folgende wesentlichen Informationen ermöglicht:

• Byte-Sequenzen oder Kombinationen aus Byte-Mustern einschließlich ASCII und Unicode

• YARA-basiertes Nachschlagen von Dateien/Samples in der gesamten Geschichte der im Sampleset enthaltenen Samples – einschließlich der Möglichkeit, ausgewählte passende Samples herunterzuladen
• Ergebnisse wie zugehörige Hashes, Malware-Disposition, Dateiattribute, Malware-Familie und Zuordnung des Gegners durch Links zu geeigneten CrowdStrike Falcon® Intelligence Premium™ Intelligence-Berichten

Es gibt eine Reihe wichtiger Unterscheidungsmerkmale:

• Geschwindigkeit: Falcon MalQuery ist die schnellste Malware-Suchmaschine in der Sicherheitsbranche – mehr als 250-mal schneller als andere Such-Tools. Das wird ermöglicht durch die zum Patent angemeldete „n-gram“-Indizierungstechnologie.
• Klarheit: Die Suchergebnisse kommen aus der größten und vollständigsten in der Branche verfügbaren Malware-Sammlung. Falcon MalQuery indiziert sowohl die Metadaten der Datei als auch den tatsächlichen Inhalt der Datei und stellt so sicher, dass alle Daten für den Benutzer feststellbar sind. Diese Ergebnisse werden dann durch Threat Intelligence ergänzt, sodass der Schweregrad und Kontext der Bedrohung klar sind.
• Schutz: Schnellere und genauere Suchergebnisse ermöglichen Sicherheitsexperten das Erstellen besserer Schutzregeln. Mit diesen Regeln können Sicherheitsexperten rasch navigieren und nach neuen Bedrohungen jagen. Sie können auch an andere zur Verfügung stehende Sicherheitslösungen weitergegeben werden und stellen so die präventive Abwehr der Bedrohungen von morgen sicher.

Die Falcon MalQuery-App unterstützt folgende Suchtypen:

• Fuzzy-Suche nach Byte-Sequenzen oder Kombinationen aus Byte-Mustern, einschließlich ASCII- und Unicode-Zeichenfolgen.
• Exakte Suche, die ähnlich wie Fuzzy-Suche funktioniert, jedoch alle Ergebnisse vor der Ausgabe an den Benutzer validiert.
• YARA-Suche ermöglicht Benutzern das Nachschlagen von Dateien/Samples nach vollwertigen YARA-Regeln. Diese Funktion ist um Größenordnungen schneller als andere Suchmaschinen, da sie den einzigartigen Index der Falcon Search Engine von CrowdStrike nutzt, sodass Abfragen mit Falcon MalQuery nur wenige Sekunden oder Minuten dauern, nicht wie bei anderen Suchmaschinen Stunden.

Falcon MalQuery arbeitet vom Dateityp unabhängig, bei Bedarf können auch neue Dateitypen hinzugefügt werden. Derzeit sind u. a. folgende Dateitypen indiziert: Composite Document Files (CDF), kompiliertes Java, Dalvik Dex, Microsoft Word (DOC, DOCX), ELF 32-/64-Bit, ausführbare Dateien (EXE), EMAIL, HTML-Dokumente, Hangul Word Processor-Datei (HWP), Java-Archivdaten, Windows-Verknüpfung (LNK), Mach-0, PDF, PE32, PE64, Perl-Script, PowerPoint (PPT, PPTX), Python-Script, Python-Byte-kompilierte Dateien, Rich Text (RTF), ASCII-Text, Microsoft Excel (XLS, XLSX), Shockwave Flash (SWF).

Ja. Auch Organisationen, die nicht über die Falcon-Endgeräteschutzlösung von CrowdStrike verfügen, können Falcon MalQuery kaufen und verwenden. Es gibt eine jährliche Abonnementgebühr, und Kunden können mittels der Falcon MalQuery-App in der Falcon-Management-Konsole auf diesen Dienst zugreifen. Für Informationen zum Abonnement wenden Sie sich bitte per E-Mail an [email protected]

Falcon MalQuery wird auf Abonnementbasis lizenziert, und zwar abhängig von der Anzahl der pro Monat durchgeführten Malware-Suchen. Wenn Sie weitere Informationen benötigen, kontaktieren Sie uns bitte.