falcon-edr - RunkIntel

# CrowdStrike Falcon EDR > EDR · Vendor: [[_crowdstrike|CrowdStrike]] > [!latam] Presença no Brasil e LATAM > O CrowdStrike Falcon EDR tem crescimento acelerado no Brasil, adotado por grandes corporações financeiras, empresas de energia e MSSPs premium. A CrowdStrike denomina grupos de ameaça com nomes de animais - **Lazarus Group** é rastreado como **SILENT CHOLLIMA** e **Volt Typhoon** como **VANGUARD PANDA** - nomenclatura amplamente adotada por analistas de CTI brasileiros. O relatório anual **CrowdStrike Global Threat Report** é referência obrigatória para profissionais de segurança no Brasil, com cobertura de tendências que afetam diretamente organizações do setor financeiro e infraestrutura crítica da América Latina. ## Visão Geral O **CrowdStrike Falcon EDR** é o módulo de detecção e resposta a endpoints da plataforma Falcon. Diferente de soluções tradicionais, o Falcon EDR opera com um único agente leve instalado no endpoint - sem necessidade de kernels separados, bancos de assinaturas locais ou múltiplos processos em background. Todo o processamento analítico ocorre na nuvem, no **Threat Graph**, um banco de dados de grafos distribuído que ingere e correlaciona trilhões de eventos por semana provenientes de milhões de sensores ao redor do mundo. A interface de investigação exibe **árvores de processo** (process trees) completas para cada detecção, permitindo que analistas visualizem a cadeia de eventos desde o processo pai até os processos filhos, conexões de rede, escrita de arquivos e modificações de registro - tudo com timestamps precisos e identificadores de assets (AID). O módulo de **Real-Time Response (RTR)** permite que analistas abram uma shell remota no endpoint afetado diretamente do console, executem scripts de remediação e isolem a máquina da rede sem interrupção da telemetria. **Dados do produto:** - Categoria: EDR - Vendor: [[_crowdstrike|CrowdStrike]] - Query language: Falcon Threat Graph QL / Event Search - Formatos de integração: Sigma, STIX, MISP ## Query Language O Falcon EDR utiliza a linguagem de busca proprietária **Falcon Threat Graph QL / Event Search** no console Falcon. A sintaxe é baseada em filtros encadeados com pipes, similar ao Splunk SPL, permitindo queries ad hoc sobre o histórico de eventos armazenado no Threat Graph. Para exportar eventos brutos para um SIEM externo (Splunk, Elastic, Microsoft Sentinel), a CrowdStrike oferece o **Falcon Data Replicator (FDR)**, que replica todos os eventos do sensor para um bucket S3 configurável pelo cliente - possibilitando correlações customizadas fora do console Falcon. ### Exemplos de queries ``` -- Detectar PowerShell com download de payload event_platform=Win event_simpleName=ProcessRollup2 | where FileName = "powershell.exe" AND CommandLine CONTAINS "DownloadString" | select timestamp, aid, ComputerName, CommandLine -- Detectar conexão de rede em processo incomum event_platform=Win event_simpleName=NetworkConnectIP4 | where LocalPort != 80 AND LocalPort != 443 | where ImageFileName NOT IN ("/chrome.exe", "/firefox.exe", "/svchost.exe") | select timestamp, aid, ComputerName, RemoteIP, RemotePort, ImageFileName -- Detectar escrita em chave de Run do registro (persistência) event_platform=Win event_simpleName=RegWriteValue | where RegObjectName CONTAINS "\\CurrentVersion\\Run" | select timestamp, aid, ComputerName, RegObjectName, RegStringValue, ImageFileName ``` As **Custom IOA Rules (Indicators of Attack)** permitem criar regras comportamentais customizadas que disparam alertas ou bloqueios com base em padrões observados nas queries acima - essencial para cobertura de TTPs específicas de atores rastreados. ## Integração com Ameaças O Falcon EDR é treinado contra TTPs observadas em campo por grupos rastreados pelo [[_crowdstrike|CrowdStrike Intelligence]]. Exemplos de detecções cobertas: - **[[g0032-lazarus-group|Lazarus Group]]** (SILENT CHOLLIMA): cadeias de comando via [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]], uso de `cmd.exe` para staging de payloads, técnicas de bypasse de AMSI. O Falcon correlaciona sequências de execução características do grupo. - **[[g0016-apt29|APT29 / Cozy Bear]]** (COZY BEAR): exfiltração via [[t1567-002-exfiltration-cloud-storage|T1567.002 - Exfiltration to Code Repository]], uso de OneDrive/Dropbox como C2, timestomping de artefatos. O Threat Graph detecta padrões de acesso anômalos a cloud storage. - **[[lockbit|LockBit Operators]]**: comportamento ransomware - enumeração rápida de compartilhamentos, deleção de shadow copies ([[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]]), cifração em massa. Regras comportamentais bloqueiam antes da fase de cifração. - **[[qilin|Qilin]]**: ransomware-as-a-service com foco em ESXi - Falcon detecta execução de comandos de gerenciamento de VMs em contextos não administrativos. - **[[g1017-volt-typhoon|Volt Typhoon]]** (VANGUARD PANDA): living-off-the-land ([[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]]), uso de `netsh`, `wmic`, `ntdsutil` sem arquivos de malware. Custom IOA rules cobrem essas sequências de LOLBin. CVEs catalogadas no vault com seções de detecção Falcon incluem [[cve-2024-3400|CVE-2024-3400]] (PAN-OS) e [[cve-2024-0012|CVE-2024-0012]] (PAN-OS) - as notas contém as IOA rules específicas recomendadas pela CrowdStrike para identificar exploração dessas vulnerabilidades na telemetria do sensor. ## Casos de Uso no RunkIntel As notas de CVEs no vault seguem o padrão de incluir uma seção de **Detecção - CrowdStrike Falcon**, contendo: 1. Query Event Search para identificar exploração ativa 2. IOA Rule recomendada (se públicada pela CrowdStrike) 3. Indicadores de comprometimento observados em telemetria Falcon Ao criar notas de CVEs com exploit público confirmado (como [[cve-2024-3400|CVE-2024-3400]] e [[cve-2024-0012|CVE-2024-0012]]), consultar os advisories da CrowdStrike e o repositório de Custom IOA Rules público. Isso permite que analistas que usam Falcon implementem detecções diretamente a partir das notas do vault. ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | Nenhuma CVE catalogada | - | - | - | - | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-daté AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Falcon EDR") SORT patch-daté DESC ``` %% ## Notas Relacionadas **Vendor:** [[_crowdstrike|CrowdStrike]] **Produtos relacionados:** [[falcon-prevent|Falcon Prevent (NGAV)]] · [[falcon-overwatch|Falcon OverWatch]] **Malwares detectados:** [[s0154-cobalt-strike]] · [[lockbit]] · [[s0559-sunburst]] · [[s0368-notpetya]] **Atores monitorados:** [[g0032-lazarus-group|Lazarus Group]] · [[g0016-apt29|APT29 / Cozy Bear]] · [[lockbit|LockBit Operators]] · [[g1017-volt-typhoon|Volt Typhoon]] · [[qilin|Qilin]] **Técnicas relacionadas:** [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] · [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] · [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] · [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] **CVEs com detecção Falcon:** [[cve-2024-3400|CVE-2024-3400]] · [[cve-2024-0012|CVE-2024-0012]] **Setores:** [[financial]] · [[government]] · [[infraestrutura-crítica]]