FALCON 104: Getting Started with the Endpoint Security Module

Module 1: Introduction to Endpoint security

Welcome to the Endpoint security module

Bienvenido a la capacitación sobre seguridad de endpoints.

La seguridad de endpoints simplemente significa proteger los endpoints. Un endpoint es cualquier dispositivo que se conecta a la red corporativa.

Antes de profundizar en la seguridad de endpoints, veamos algunos ejemplos de endpoints que podrían enfrentar amenazas en la ciberseguridad moderna. A continuación, se presentan algunos ejemplos:

But why is endpoint security important? What kind of threats are we looking at?

Ransomware Attack

WannaCry, uno de los primeros ataques globales de ransomware reportados, se produjo en mayo de 2017. El ataque se propagó rápidamente e infectó más de 230.000 computadoras en un día en 150 países, causando daños estimados en miles de millones de dólares.

La seguridad de endpoints protege los dispositivos detectando y bloqueando actividades de cifrado sospechosas o la ejecución de malware.

Phishing and Credential Theft

Las estafas de compromiso de correo electrónico empresarial (BEC) son uno de los ataques más comunes. Los atacantes acceden al endpoint mediante correos electrónicos de phishing y luego roban o hacen un uso indebido de las credenciales.

La seguridad del endpoint identifica archivos adjuntos o URL maliciosos y detecta comportamientos de inicio de sesión inusuales.

Malware Attack using PowerShell

Los ciberdelincuentes también intentan acceder a la red de una organización mediante un correo electrónico de phishing que contiene un enlace malicioso. En lugar de enviar un archivo de malware ejecutable tradicional, el atacante utiliza una herramienta administrativa legítima, como PowerShell, para ejecutar código malicioso directamente en la memoria, sin dejar artefactos en el disco.

La seguridad de endpoints detecta el uso anómalo de aplicaciones legítimas y detiene las actividades no autorizadas.

Insider Threats

Las amenazas internas, en particular las que involucran a empleados descontentos, son uno de los tipos de amenazas más difíciles de detectar y prevenir. A diferencia de los atacantes externos, los atacantes internos ya tienen acceso legítimo a los sistemas y a la información confidencial.

La seguridad de endpoints desempeña un papel fundamental en la identificación de comportamientos anómalos y la prevención de la exfiltración de datos.

La seguridad de endpoints, o protección de endpoints, es el enfoque de ciberseguridad para defender endpoints, como computadoras de escritorio, portátiles y dispositivos móviles, de actividades maliciosas.

La seguridad de endpoints complementa la seguridad de red, la gestión de identidades y accesos, y la seguridad en la nube para ofrecer una estrategia de defensa integral. Suele integrarse en marcos de ciberseguridad más amplios, lo que permite a las organizaciones:

1. Ampliar los perímetros de seguridad al personal remoto y móvil.

2. Proporcionar telemetría detallada para investigaciones avanzadas.

3. Responder ante amenazas en tiempo real directamente desde los dispositivos protegidos.

Una estrategia de seguridad de puntos finales es esencial porque cada punto final remoto puede ser el punto de entrada para un ataque.

El módulo de detección de endpoints está diseñado para identificar, categorizar y priorizar las amenazas de seguridad en endpoints en tiempo real. Proporciona a los analistas del SOC la visibilidad y las herramientas necesarias para investigar y responder eficazmente a las amenazas detectadas.

El módulo de seguridad CrowdStrike Falcon Endpoint incluye:

1. Capacidades de monitorización

2. Herramientas de firewall

3. Control de dispositivos USB

4. Capacidades de investigación forense

5. Capacidades de configuración

Monitor section overview

La sección Monitor le ayuda a comprender y trabajar con detecciones e incidentes, así como a revisar archivos en cuarentena y remediaciones.

Let's dive a bit into the Monitor section

Activity dashboard

Proporciona la información desde una vista aérea de su entorno.

CrowdScore incidents

Proporciona puntuaciones de incidentes y datos básicos para obtener rápidamente contexto sobre el posible ataque y comprender cómo priorizar el trabajo en cada incidente.

Endpoint detections

Proporciona las acciones que puede estar tomando un adversario, las acciones de prevención que tomó Falcon, si las hubo, y detalles adicionales sobre los comandos, ejecutables y archivos involucrados.

Quarantined files

Proporciona una lista de archivos en cuarentena donde puede revisarlos, liberar un archivo, deshacer una liberación de archivo, descargar un archivo y eliminar un archivo.

On-demand scans

Ejecute análisis inmediatamente o según una programación específica. Estos análisis están diseñados para detectar y poner en cuarentena archivos ejecutables portátiles (PE), como archivos .exe y .dll, que contienen malware, impidiendo así su ejecución en hosts Windows.

Remediation

Muestra las acciones de remediación que Falcon ha tomado en las detecciones y le permite refinar la lista de detecciones usando filtros, que le permiten enfocarse en atributos que incluyen tipo de remediación, tiempo, gravedad, táctica y técnica.

Firewall section overview

La sección Firewall del módulo de seguridad de Endpoint le permite crear reglas de firewall, grupos de reglas y políticas para definir con precisión qué tráfico de red está permitido y qué tráfico está bloqueado.

Ver la actividad del firewall para ver toda la actividad asociada con las coincidencias de reglas y políticas del firewall.

Active temporalmente el modo Monitor en una política de firewall para:

1. Permitir el tráfico que normalmente estaría bloqueado por la política.

2. Mostrar "Se bloquearía" en el campo "Acción realizada" de la página de actividad del firewall para cualquier evento asociado.

USB device control section overview

Los entornos de trabajo dinámicos actuales han expuesto los endpoints a dispositivos externos, como unidades USB. Estos dispositivos también sirven como vectores de malware, exfiltración no autorizada de datos y otros riesgos de seguridad. Un control sólido de las conexiones de los dispositivos es esencial para proteger la información confidencial.

Aquí es donde la funcionalidad de control de dispositivos USB dentro de la seguridad de endpoints se convierte en un componente crucial de su estrategia de ciberseguridad.

USB device info

Muestra el número de serie del dispositivo USB, la clase del dispositivo, la descripción del proveedor y más.

Host info

Muestra el ID del agente y el nombre de host.

Policy info

Muestra las acciones realizadas en respuesta al intento de conexión (permitido o bloqueado), así como los criterios utilizados para hacer coincidir el dispositivo USB con una configuración de política.

Event time

Muestra la hora del intento de conexión.

Forensics section overview

La sección Análisis forense del módulo de seguridad de endpoints le permite recopilar datos de clasificación forense de estaciones de trabajo y servidores dentro de su entorno.

Falcon Forensics integra flujos de datos de inteligencia y los correlaciona con artefactos forenses para un análisis más eficaz.

Esto le permite revisar las correlaciones de datos entre los indicadores de compromiso (IOC) conocidos y los artefactos forenses para identificar rápidamente posibles eventos maliciosos.

Configure section overview

La sección Configurar del módulo de seguridad de endpoints le permite configurar y administrar algunas áreas administrativas relacionadas con la seguridad de endpoints.

Las áreas administrativas de la sección Configurar incluyen las siguientes:

Prevention policies

Las políticas de prevención se utilizan para gestionar la actividad que activará las detecciones y prevenciones en sus hosts.

Las políticas se asignan a los hosts dentro de los grupos de hosts. La configuración de prevención disponible varía según la plataforma.

Custom IOA rule groups

Los grupos de reglas de IOA personalizadas contienen reglas de IOA personalizadas individuales. Estos grupos se añaden a las políticas de prevención.

Las reglas de IOA personalizadas individuales utilizan un subconjunto compatible de la sintaxis de expresiones regulares para determinar qué actividad activará una detección de IOA personalizada y si dicha actividad también se bloqueará o eliminará.

Exclusions

Si Falcon muestra detecciones que no desea ver o impide actividades que desea permitir, puede crear exclusiones para silenciar las detecciones de rutas de archivos conocidas y permitir que se ejecuten procesos confiables.

IOC management

Agregue sus propios indicadores de compromiso (IOC) personalizados para obtener mayor visibilidad, a la vez que añade falsos positivos a su lista de permitidos y ejecutables a su lista de bloqueados para un entorno personalizado.

La página de Administración de IOC es donde puede ver, agregar, editar, exportar y eliminar IOC personalizados, y donde puede consultar el registro de auditoría de IOC personalizado.

Mobile policies

Después de implementar Falcon for Mobile e inscribir los dispositivos móviles, use la consola de Falcon para configurar las políticas móviles.

Las políticas móviles consisten en la configuración de los sensores que se aplican a los hosts según los grupos de hosts asignados.

Si protege sus aplicaciones Android mediante la contenedorización, use las políticas móviles para especificar qué aplicaciones proteger.

Module 2: Understanding detections

How Falcon works

La consola Falcon proporciona información para ayudarlo a comprender la seguridad general de su organización y tomar medidas más rápidas contra amenazas avanzadas en sus hosts.

Types of threats

• Known threats: Para las amenazas conocidas, Falcon ofrece capacidades de detección de indicadores de compromiso (IOC) y antivirus basado en la nube (Cloud AV).

• Unknown and zero-day threats: Para amenazas desconocidas y de día cero, Falcon aplica la detección IOA mediante técnicas de aprendizaje automático para crear modelos predictivos que pueden detectar actividades maliciosas nunca antes vistas con gran precisión.

  Impulsado por el modelo de datos Threat Graph de CrowdStrike, este análisis IOA reconoce patrones de comportamiento para detectar nuevos ataques.

1. Falcon monitoriza la actividad en su entorno para identificar archivos y comportamientos sospechosos y le informa sobre ellos en el panel de Actividad.

2. Todos los datos recopilados se pueden observar como eventos en Investigar.

3. Cuando un conjunto de eventos se considera relevante, probablemente por ser sospechoso o malicioso, el sensor activa una detección.

4. Ajuste las detecciones que ve mediante la configuración de su política de prevención.

Los incidentes de CrowdScore reúnen detecciones relacionadas, procesos asociados y las conexiones entre ellos para mostrar la actividad coordinada que debe priorizar para su investigación.

How detections are triggered and recorded

La consola Falcon proporciona información sobre archivos y comportamientos sospechosos en forma de detecciones individuales.

How detections are triggered

La mayoría de las detecciones se activan según la configuración de su política de prevención.

Si tiene Falcon Prevent, sus políticas de prevención también controlan qué actividades detectadas se previenen.

How detections are recorded

• Agent ID (AID): Cada sensor de su entorno se identifica de forma única mediante su ID de Agente (AID). Esto significa que si tiene 5000 sensores, tendrá 5000 AID únicos.

• Customer ID (CID): El ID del cliente (CID) se utiliza para identificar los entornos de los clientes. Cada entorno tiene un CID único.

• Pattern ID: Cada detección está asociada a un patrón, y cada patrón tiene un ID único, llamado ID de patrón.