FALCON 180: Falcon Forensics Fundamentals
Last updated
Last updated
CrowdStrike Falcon Forensics le permite responder y recuperarse rápidamente mediante la recopilación, el enriquecimiento y la correlación automatizados de datos forenses. El personal de respuesta puede optimizar la recopilación de datos de triaje forense puntuales e históricos para analizar incidentes de ciberseguridad, así como para investigarlos con mayor rapidez y precisión.
Falcon Forensics escanea los puntos finales de su entorno para ayudar en la búsqueda de actividad de actores de amenazas y lo ayuda a identificar y apuntar a las máquinas específicas que requieren más investigación.
Falcon Forensics recopila una instantánea de los datos de clasificación forense después de ejecutarse en cada sistema.
El recopilador sube la instantánea de los datos de triaje forense a la nube de CrowdStrike.
Este enfoque de "transmisión" minimiza el impacto forense en el almacenamiento en disco local, ya que solo es necesario escribir el ejecutable, ya que los artefactos recopilados no se escriben en el disco antes de la carga.
Falcon Forensics es una herramienta de clasificación de respuesta a incidentes que recopila artefactos de metadatos como:
Amcache
Background activity monitor (BAM)
Defender
Groups
Users
Dependiendo del recopilador que se utilice, es importante tener en cuenta que hay una cantidad máxima de entradas de eventos que se pueden procesar.
Clasifica los puntos finales de interés para un posterior análisis forense.
Reduce el tiempo dedicado a tomar imágenes.
Reduce la cantidad de datos que necesitan analizarse.
Reduce el tiempo necesario para analizar datos.
Reduce la cantidad de recursos necesarios para las investigaciones.
Antes de repasar el procedimiento de implementación, revisemos los requisitos de implementación para su entorno:
Un entorno de red donde los equipos host pueden conectarse a dominios específicos de CrowdStrike.
Una herramienta de implementación en su entorno o en una estación de trabajo central donde puede ejecutar comandos de PowerShell (PowerShell está disponible para todas las plataformas).
El último ejecutable de Falcon Forensics.
Una clave de cliente de la API de CrowdStrike de la plataforma Falcon.
El mecanismo de implementación recomendado para Falcon Forensics es utilizar la respuesta en tiempo real de Falcon y PowerShell Falcon (PSFalcon).
Sin embargo, puede implementar el archivo ejecutable utilizando herramientas y procedimientos de administración de software empresarial normales si lo desea.
La API forense se puede utilizar para crear configuraciones personalizadas que le permitan adaptar las colecciones a sus necesidades.
El propósito de la API Forense es permitir a los usuarios modificar de forma granular la cantidad de información que se recopila de los endpoints. Esto permite adaptar las recopilaciones a la respuesta a incidentes, la evaluación de vulnerabilidades y la búsqueda de amenazas.
En este módulo, explorará un ejemplo de un flujo de trabajo de configuración de la API Forense con CURL.
Crear una configuración es el primer paso para usar la API de configuración. Esto se realizará mediante una operación POST a través de su programa de API preferido o usando el propio CURL.
Como se mencionó anteriormente, este ejemplo utilizará CURL:
Collections: Indica a la API qué recopiladores debe ejecutar FFC.
Collector: Indica a la API qué recopiladores debe ejecutar FFC. Los recopiladores se pueden usar varias veces.
Collector Name (name): Este es el nombre del recopilador. Debe ser único. Como se mencionó anteriormente, se pueden usar varios tipos de recopiladores. Por ejemplo, si se utiliza el recopilador del sistema de archivos, se pueden usar diferentes directorios o tipos de archivo. El campo Nombre se utiliza para identificar de forma única qué recopilador del sistema de archivos recopila archivos específicos.
Options: Algunos recopiladores tienen opciones configurables que permiten refinar los datos que se recopilan. Por ejemplo, con los recopiladores del navegador se puede especificar el límite de registros, que es la cantidad de registros que obtendrá ese recopilador.
Self_destruct: Indica al recopilador si necesita autolimpiarse. Es un simple true/false.
Is_default: Indica al recopilador si esta es la configuración que debe usar. Debe establecerlo en true si desea que se use la configuración.
Config Name (name): Nombre de la configuración. Debe ser único.
Tag: Se utiliza para etiquetar colecciones y facilitar la búsqueda.
Platform: Plataforma en la que debe ejecutarse esta configuración: Linux, Mac o Windows.
El id es la parte importante a tener aquí, ya que puede actualizar la configuración haciendo una solicitud PUT al id, sin embargo, puede extraer estos id desde el punto final “GET /forensics/queries/configurations/v1” que devolverá todos los id que se pueden usar.
Luego, puedes introducir la identificación en ese punto final para obtener los detalles:
Esta operación se utiliza para actualizar o sobrescribir una configuración. Necesitará usar los siguientes campos: "id", "name" y "platform". Puede cambiar el nombre y la plataforma, pero el id debe coincidir con la configuración que intenta modificar. No necesita incluir la etiqueta ni otros campos a menos que desee cambiarlos.
Supongamos que queremos agregar usuarios a la configuración anterior. Usaremos ese id como parte de los metadatos:
La última operación consiste en eliminar la configuración si decide que ya no desea utilizarla. Una vez eliminada, ya no estará disponible. CrowdStrike sugiere crear una configuración diferente y dejar "is_default" en "false" para poder reactivarla posteriormente.
Recibirá un mensaje 200 indicando que la configuración se ha eliminado. Si ejecuta un comando GET contra la API de configuración, verá que ya no está.
Una llamada al comando GET generará el siguiente mensaje si no tiene otras configuraciones:
Falcon Forensics utiliza una variedad de paneles para brindar a los usuarios múltiples ángulos para escanear y recopilar datos relevantes de su entorno.
Falcon Forensics se compone de 8 paneles independientes:
Estado de la implementación
Búsqueda de navegadores
Información del host
Búsqueda avanzada de eventos
Búsqueda de eventos
Pistas de búsqueda de Windows
Cronología del host
Registro de eventos de archivos
Este panel muestra una descripción general de alto nivel de las colecciones de Falcon Forensics recibidas hasta el momento en su investigación.
Comience con un rango de tiempo para filtrar los resultados. Para un filtrado más exhaustivo, los usuarios pueden añadir parámetros adicionales:
Empresa
Plataforma
ID de colección específica
AID
Nombre del equipo
IsAdmin
Los widgets que se muestran en el panel de Estado de Implementación son:
Recuento de IOC: muestra el número de indicadores de compromiso (IOC) observados durante la recopilación.
Nota: Falcon Intel debe estar habilitado para ver este widget.
Cobertura del sensor: indica el número de recopilaciones ejecutadas en hosts con y sin el sensor instalado.
Recopilaciones actualizadas: número total de recopilaciones observadas en el periodo especificado.
Estadísticas del SO: número de sistemas operativos observados en la recopilación.
Desglose del SO.
Implementación por hosts.
Implementación por SO.
Estado de la colección
Hosts únicos
Los usuarios pueden hacer clic en el icono del menú de acciones (indicado por los 3 puntos verticales) y acceder a páginas más detalladas para una investigación más profunda.
Al hacer clic en cualquiera de los widgets, los usuarios podrán consultar las colecciones individuales.
Por ejemplo, al hacer clic en el contador de IOC y seleccionar "Ver eventos de recuento de IOC", accederemos a la búsqueda avanzada de eventos y mostraremos la consulta CQL (lenguaje de consulta CrowdStrike) utilizada para obtener los datos.
Este panel muestra una descripción general de alto nivel de los datos del navegador recopilados y permite al usuario profundizar a través de interacciones.
Puede aplicar parámetros para limitar su búsqueda. Estos parámetros incluyen:
Empresa
Nombre del equipo
Hora de inicio de la recopilación
Nombre del navegador
Nombre de usuario
Plataforma
URL
Los widgets incluidos en el Panel de Búsqueda de Navegadores son:
Recuento total de IOC: muestra el recuento total de IOC personalizados observados en la colección.
Visitas por nombre de equipo: muestra el número de visitas a cualquier sitio web contabilizadas por el nombre del equipo.
Visitas por usuario: gráfico que muestra el número de visitas a navegadores específicos por nombre de usuario.
Los 10 navegadores más usados
Los 10 sitios web más visitados
Los 10 tipos de descarga más comunes
Amenazas de los IOC: Indica los sitios web marcados por los IOC durante la recopilación
Resumen del historial del navegador
Borrar el historial del navegador
Cuentas de navegador
Descargas del navegador
Cookies del navegador
Proxies del navegador
Extensiones del navegador
El panel de información del host brinda detalles sobre los datos recopilados de hosts, usuarios o eventos específicos.
Los usuarios pueden aplicar parámetros para limitar su búsqueda. Estos parámetros incluyen:
Empresa
Nombre del equipo
Plataforma
Nombre del archivo
Nombre de usuario
Nombre del grupo Unix
Dirección local IP4/6
Dirección remota IP4/6
ID de la colección
Los widgets que se muestran en el panel de información del host incluyen:
Información del sistema: muestra una amplia gama de información relacionada con el sistema, como la hora de inicio de la recopilación, el CID, el AID, el nombre del equipo, la plataforma y más. Los usuarios pueden hacer clic en el icono de menú abierto a la izquierda del sistema y acceder a RTR para acceder al host, a los eventos de información del sistema y a la búsqueda de eventos por hora de recopilación, nombre del equipo y plataforma.
Cobertura del sensor: porcentaje de equipos cubiertos por el sensor y cuáles no.
Módulos FFC: recuento de eventos desglosado por #event_simpleName
Eventos: Lista completa de eventos recopilados. Recomendamos usar la búsqueda avanzada para facilitar la gestión de esta lista.
Usuarios
Información del proceso
Información del proceso de red
Interfaces de red (solo Windows)
Servicios (solo Windows)
Eventos de Shimcache (solo Windows)
Eventos de red
Resumen de archivos IOC: Eventos de archivo con IOC
Resumen de archivos del host: Resultados limitados a 200. Utilice la interacción de búsqueda base para obtener resultados completos al exportar.
Resumen de archivos sospechosos
Resumen de archivos críticos (solo para Mac y Linux)
La página de búsqueda de eventos le proporciona una poderosa herramienta de búsqueda personalizada que le permite analizar, explorar y buscar actividades sospechosas o maliciosas en su entorno.
Haga clic en cualquier término dentro de un resultado de búsqueda para expandir el menú contextual.
Haga clic en "Añadir a la Mesa de Trabajo de Incidentes" para seleccionar un incidente pegando la URL o buscando por nombre. Luego, agregue un nuevo nodo a la Mesa de Trabajo.
Haga clic en "Añadir valor" para buscar o en "Excluir valor de la búsqueda" para modificar la consulta.
Haga clic en "Añadir como columna" para cambiar el formato de visualización a "Tabla" con una columna para ese término.
Haga clic en "Copiar al portapapeles" para copiar el valor del término al portapapeles.
Haga clic en Acciones y seleccione "Ver consulta de LogScale" para obtener la consulta generada.
Haga clic en Acciones y seleccione "Ver en búsqueda avanzada" para abrir su consulta en la página de búsqueda avanzada de eventos.
El panel de búsqueda avanzada de eventos permite a los usuarios buscar datos recopilados por Falcon Forensics.
Los campos de evento y sus detalles se pueden ver debajo del bloque de consulta. Las interacciones con los campos de evento permiten a los usuarios analizar los datos y organizarlos a su gusto.
Esta sección del panel de Búsqueda avanzada de eventos permite a los usuarios ver, ingresar y editar consultas de lenguaje de consulta de CrowdStrike (CQL).
El menú desplegable de resultados personalizados permite a los usuarios personalizar la visualización de sus resultados. Pueden elegir entre una tabla, un gráfico de barras, una lista de eventos y más.
Este menú desplegable permite a los usuarios revisar y cargar consultas recientes en la pestaña "Recientes". También pueden guardar consultas. Las consultas guardadas se pueden encontrar y cargar con este mismo menú desplegable en la pestaña "Guardados".
Los campos relacionados y el resultado de la consulta se muestran debajo del campo de entrada de la consulta CQL. Ambos campos se actualizan en tiempo real a medida que se manipula la consulta CQL.
El panel de Windows Hunting Leads es uno de los más complejos del ecosistema de Falcon Forensics. Los usuarios pueden aplicarlo a través de grupos de paneles específicos para buscar en su entorno e ingestas actividades sospechosas.
Las opciones de filtrado disponibles en los paneles de Windows Hunting Leads son:
Empresa
Intervalo de tiempo
Grupos de paneles
Etiquetas de colección
CID de origen
El aspecto clave del panel de Windows Hunting Leads son los grupos de paneles. Los usuarios verán hasta 25 paneles de datos en su búsqueda, según los grupos de paneles seleccionados.
Los grupos de paneles asociados al panel son:
Eventos:
Instalación del servicio PowerShell/CMD: Servicio de Windows instalado con cmd.exe o PowerShell.
Instalación de un servicio decodificado similar a PS Empire: Servicio instalado con PowerShell; la consulta intenta decodificar contenido codificado en Base64.
CMD y echo como un nuevo proceso: Proceso iniciado con cmd.exe y echo en la línea de comandos.
Instalación del servicio Echo: Servicio instalado con
CMD/PowerShell que incluye echo en la línea de comandos.
Actividad del volcador de contraseñas: El evento 4656, que contiene SAM_Domain 0x705 y lsass.exe, indica posible actividad del volcador de contraseñas.
Ejecución desde la Papelera de Reciclaje
Archivos que se ejecutan desde la raíz del reciclador (amcache): El ejecutable se ejecuta desde la Papelera de reciclaje, tal como se detecta en amcache.
Archivos que se ejecutan desde la raíz del reciclador (shimcache): El ejecutable se ha ejecutado desde la Papelera de reciclaje, tal como se detecta en shimcache.
Procesos que se ejecutan desde la Papelera de reciclaje: Procesos que se ejecutan desde la Papelera de reciclaje mediante pslist.
Sistema de archivos
Archivos ejecutables de sistema ocultos en SYSTEMROOT: El ejecutable se encuentra en el directorio SYSTEMROOT y tiene definidos los atributos Oculto o Sistema.
Extensiones de archivo sospechosas: Busca archivos DLL renombrados que parezcan sospechosos, como .dl1.
Identifica archivos ejecutables de WinRaR renombrados: Busca archivos rar.exe con nombres distintos a *.SFX.
Posible omisión de inicio de sesión
Script de inicio de sesión por lotes: Busca máquinas configuradas con un script de inicio de sesión por lotes.
Escalada de privilegios mediante funciones de accesibilidad e IFEO: Busca máquinas con el depurador de Opciones de Ejecución de Archivos de Imagen (IFEO) configurado para binarios de accesibilidad.
Escalada de privilegios mediante binarios de sistema reemplazados: Identifica los binarios de funciones de accesibilidad que puedan haberse reemplazado.
Nombres de usuario predeterminados para sistemas con clave de contraseña predeterminada: Busca máquinas con la contraseña predeterminada.
Malware conocido
Indicadores de Mimikatz: Busca indicadores obvios de que se ha utilizado Mimikatz.
Almacenamiento de contraseñas sin cifrar en LSASS: Busca sistemas configurados para permitir el almacenamiento de contraseñas sin cifrar en la memoria LSASS.
Inyección de código Poweliks: Busca código Poweliks en claves de registro que coincidan con el código JavaScript mshta.
Archivos de enlace maliciosos: Busca código JavaScript en archivos lnk.
Detección del perfil predeterminado de Cobalt Strike: Busca posibles procesos asociados con el perfil predeterminado de Cobalt Strike.
PowerShell malicioso: Busca comandos maliciosos de PowerShell en el registro operativo de PowerShell (PowerShell v5+).
Detección de Hikit: Busca firmas de Hikit en la precarga.
Conficker: Busca firmas de Conficker en los datos de tareas.
Registro
Opciones de ejecución de archivos de imagen: búsqueda amplia de procesos que tienen IFEO habilitado
Windows XP
Trabajos de RunDLL: busca trabajos que contengan rundll32.exe (solo Win XP)
El panel de control de la Cronología del Host ofrece una vista completa de la actividad en un host para facilitar las investigaciones forenses, la búsqueda de amenazas y la respuesta a incidentes. Consolida y visualiza la telemetría del host recopilada por el agente Falcon, lo que permite a los equipos de seguridad analizar eventos pasados y detectar anomalías.
La cronología del host se puede filtrar mediante los siguientes parámetros:
Empresa
Nombre del host
Hora de inicio de la recopilación
Fecha de interés
Periodo de tiempo
Etiqueta de recopilación
CID de origen
Muestra una cronología de las actividades en un host, como la ejecución de procesos, las conexiones de red y la modificación de archivos.
Permite a los analistas reconstruir una cadena de ataque mediante la revisión de eventos históricos.
Ayuda a los equipos de respuesta a identificar indicadores de ataque (IOA) mediante el análisis de patrones de comportamiento malicioso.
Proporciona información sobre cómo se produjo una vulneración y qué acciones realizó el atacante.
Registra y correlaciona la creación de procesos, los cambios en archivos y las modificaciones del registro.
Permite a los equipos de seguridad rastrear la ejecución de malware y evaluar su impacto.
El panel de control del Registro de eventos de archivos permite a los usuarios acceder a información detallada sobre un archivo específico: qué máquinas lo tienen, las marcas de tiempo relacionadas con él y más.
Al igual que la mayoría de los paneles de Falcon Forensics, los usuarios pueden filtrar y aplicar parámetros a sus búsquedas para optimizar los resultados.
Los filtros disponibles asociados con el panel Registro de eventos de archivos son:
Empresa
Nombre del equipo
Plataforma
Tipo de archivo
Nombre de grupo Unix
Nombre de usuario
Ruta del archivo
Nombre del archivo (el más importante para este panel)
Etiqueta de colección
Hora de inicio de la colección
Identificador de la colección de Forensics
CID de origen
Tras realizar la búsqueda, los usuarios verán los siguientes paneles con resultados para facilitar su búsqueda:
Cambios de directorio: número de directorios modificados
Cambios de archivo: número de archivos modificados y tipo de cambio
Descripción general de la línea de tiempo de archivos: proporciona una vista cronológica de las actividades relacionadas con los archivos en los puntos finales monitoreados.
Inventario de archivos del host: proporciona una lista completa de los archivos presentes en un endpoint monitoreado. Incluye metadatos clave como nombres de archivo, rutas, tamaños, valores hash (MD5, SHA-256), marcas de tiempo de creación y modificación, y detalles de propiedad de los archivos.
Archivos sospechosos: resalta los archivos que exhiben un comportamiento potencialmente malicioso o anómalo.
Archivos críticos (solo para Mac y Linux): muestra una lista de archivos del sistema y de aplicaciones esenciales para la integridad y seguridad del sistema. Registra los cambios en estos archivos, incluyendo modificaciones, eliminaciones o intentos de acceso no autorizado.
