| name | deploying-edr-agent-with-crowdstrike |
| description | 在企业端点上部署和配置 CrowdStrike Falcon EDR 代理,实现实时威胁检测、行为分析和自动化响应。 适用于将端点接入 EDR 覆盖范围、配置检测策略,或将 Falcon 遥测数据与 SIEM 平台集成的场景。
|
| domain | cybersecurity |
| subdomain | endpoint-security |
| tags | ["endpoint","edr","CrowdStrike","Falcon","threat-detection","sensor-deployment"] |
| version | 1.0.0 |
| author | mahipal |
| license | Apache-2.0 |
使用 CrowdStrike 部署 EDR 代理
使用场景
在以下情况下使用本技能:
- 将 CrowdStrike Falcon 传感器部署到 Windows、macOS 或 Linux 端点
- 为不同端点组配置 Falcon 防护和检测策略
- 将 CrowdStrike 遥测数据与 SIEM(Splunk、Elastic、Sentinel)集成以进行关联检测
- 排查传感器连接、性能或检测问题
不适用于部署其他 EDR 解决方案(Carbon Black、SentinelOne)或 Falcon 云工作负载防护(使用专用云部署指南)。
前置条件
- 具有 Falcon 管理员角色的 CrowdStrike Falcon 控制台访问权限
- 客户 ID(CID)和 Falcon 传感器安装包
- 目标端点的管理员/root 访问权限
- 网络访问:端点必须能访问 CrowdStrike 云(ts01-b.cloudsink.net 的 443 端口)
- 部署工具:SCCM、Intune、GPO、Ansible 或手动安装
操作流程
步骤 1:获取 Falcon 传感器安装包和 CID
1. 登录 Falcon 控制台:https://falcon.crowdstrike.com
2. 导航:主机设置和管理 → 传感器下载
3. 下载对应的安装包:
- Windows:WindowsSensor_<版本>.exe
- macOS:FalconSensorMacOS_<版本>.pkg
- Linux:falcon-sensor_<版本>_amd64.deb / .rpm
4. 从传感器下载页面复制客户 ID(CID)
- CID 格式:<32位十六进制>-<2位校验码>
步骤 2:部署 Falcon 传感器 - Windows
通过命令行静默安装:
WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<YOUR_CID>
SCCM 部署:
1. 在 SCCM 中创建应用程序
2. 部署类型:脚本安装程序
3. 安装命令:WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<CID>
4. 检测方法:注册表项存在
- HKLM\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default
5. 部署到目标集合
6. 部署目的:必需(强制安装)
Microsoft Intune 部署:
1. 导航:设备 → Windows → 配置文件
2. 创建 Win32 应用部署
3. 上传 .intunewin 包(封装后的传感器安装包)
4. 安装命令:WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<CID>
5. 检测规则:文件存在 C:\Windows\System32\drivers\CrowdStrike\csagent.sys
6. 分配给设备组
GPO 部署:
# 创建启动脚本,检查是否已安装
$sensorPath = "C:\Windows\System32\drivers\CrowdStrike\csagent.sys"
if (-not (Test-Path $sensorPath)) {
Start-Process -FilePath "\\fileserver\CrowdStrike\WindowsSensor.exe" `
-ArgumentList "/install /quiet /norestart CID=<CID>" -Wait
}
步骤 3:部署 Falcon 传感器 - Linux
sudo dpkg -i falcon-sensor_7.18.0-17106_amd64.deb
sudo /opt/CrowdStrike/falconctl -s -f --cid=<YOUR_CID>
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
sudo yum install falcon-sensor-7.18.0-17106.el8.x86_64.rpm
sudo /opt/CrowdStrike/falconctl -s -f --cid=<YOUR_CID>
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
sudo /opt/CrowdStrike/falconctl -g --rfm-state
步骤 4:部署 Falcon 传感器 - macOS
sudo installer -pkg FalconSensorMacOS_7.18.pkg -target /
sudo /Applications/Falcon.app/Contents/Resources/falconctl license <YOUR_CID>
sudo /Applications/Falcon.app/Contents/Resources/falconctl stats
步骤 5:配置防护策略
在 Falcon 控制台中,导航至配置 → 防护策略:
推荐的防护策略设置:
机器学习:
- 云端 ML:激进(额外防护,可能增加误报)
- 传感器 ML:适中
- 广告软件和 PUP:适中
行为保护:
- 写入时检测:已启用(在文件创建时检测恶意软件)
- 传感器 ML 检测:已启用
- 仅解释器:已启用(检测基于脚本的攻击)
漏洞利用缓解:
- 漏洞利用行为防护:已启用
- 内存扫描:已启用(检测内存中的攻击)
- 代码注入:已启用
勒索软件:
- 勒索软件防护:已启用
- 卷影副本保护:已启用
- MBR 保护:已启用
为以下群组创建独立策略:
- 工作站(激进设置)
- 服务器(适中设置以避免服务器工作负载的误报)
- 关键基础设施(最高防护,配合例外列表)
步骤 6:配置响应策略
实时响应(RTR):
- 为所有传感器组启用 RTR
- 配置 RTR 管理员和 RTR 响应者角色
- 启用脚本执行(供 IR 团队使用)
- 启用文件提取(用于取证)
网络隔离:
- 为特定主机组预授权隔离操作
- 配置隔离排除项(允许管理流量)
自动响应:
- 对高可信度检测启用自动修复
- 配置勒索软件检测的终止进程操作
- 对恶意软件文件检测启用隔离
步骤 7:验证部署
# Windows:检查 Falcon 传感器状态
sc query csagent
# 预期:RUNNING
# 检查传感器版本
reg query "HKLM\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default" /v AgentVersion
# 验证云连接
# 在 Falcon 控制台:主机管理 → 主机 → 搜索主机名
# 状态应显示"在线"且最后访问时间戳 < 5 分钟
测试检测能力:
# CrowdStrike 提供测试检测样本
# 从 Falcon 控制台 → 主机设置下载 CsTestDetect.exe
# 在端点上运行以生成测试检测
.\CsTestDetect.exe
# 验证检测在 60 秒内出现在 Falcon 控制台
步骤 8:SIEM 集成
# Falcon SIEM 连接器(流式 API)
# 在 Falcon 控制台配置:支持 → API 客户端和密钥
# 创建权限范围为:事件流 → 读取 的 API 客户端
# 使用 falcon-siem-connector 或 Falcon 数据复制器(FDR)
# Splunk 集成:
# 从 Splunkbase 安装 CrowdStrike Falcon 事件流技术附加组件
# 配置:设置 → 数据输入 → CrowdStrike Falcon 事件流
# 输入 API 客户端 ID 和密钥
# 索引:crowdstrike_events
# Elastic 集成:
# 使用带 CrowdStrike 模块的 Elastic Agent
# 配置:Fleet → 代理策略 → 添加集成 → CrowdStrike
关键概念
| 术语 | 定义 |
|---|
| Falcon 传感器 | 轻量级内核模式代理(25-30 MB),收集端点遥测数据并执行防护策略 |
| CID(客户 ID) | 将传感器与 CrowdStrike Falcon 租户关联的唯一标识符 |
| RFM(降级功能模式) | 因云连接丢失导致传感器以有限能力运行的状态 |
| 传感器分组标签 | 安装时应用的标签,用于自动将主机分配到组和策略 |
| RTR(实时响应) | 允许事件响应人员通过 Falcon 与端点交互的远程 Shell 能力 |
| IOA(攻击指标) | 基于攻击者技术而非静态特征的行为检测 |
工具与系统
- CrowdStrike Falcon 控制台:托管所有 Falcon 模块的云端管理平台
- Falcon SIEM 连接器:将检测和审计事件流式传输到 SIEM 平台
- Falcon 数据复制器(FDR):将原始端点遥测数据流式传输到 S3/云存储供威胁狩猎使用
- CrowdStrike Falcon API(OAuth2):用于自动化、集成和自定义工作流的 RESTful API
- PSFalcon:用于 CrowdStrike Falcon API 自动化的 PowerShell 模块
常见误区
- 安装时缺少 CID:传感器安装了但从未连接到 Falcon 云。务必在安装时传入 CID,而不是事后配置。
- 未配置代理:在有 Web 代理的环境中,需在安装时配置代理:
/install /quiet CID=<CID> APP_PROXYNAME=proxy.corp.com APP_PROXYPORT=8080。
- macOS 系统扩展被阻止:macOS 需要明确批准内核/系统扩展。部署前使用 MDM 预先批准 CrowdStrike 扩展。
- 安全产品冲突:同时运行多个 EDR/AV 产品会导致性能问题和误报。在 Falcon 部署前协调排除项或卸载旧版 AV。
- 传感器版本固定:Falcon 默认自动更新传感器。对于受变更控制的环境,在测试新版本前在控制台中固定传感器版本。