一键导入
deploying-edr-agent-with-crowdstrike
在企业端点上部署和配置 CrowdStrike Falcon EDR 代理,实现实时威胁检测、行为分析和自动化响应。 适用于将端点接入 EDR 覆盖范围、配置检测策略,或将 Falcon 遥测数据与 SIEM 平台集成的场景。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
菜单
在企业端点上部署和配置 CrowdStrike Falcon EDR 代理,实现实时威胁检测、行为分析和自动化响应。 适用于将端点接入 EDR 覆盖范围、配置检测策略,或将 Falcon 遥测数据与 SIEM 平台集成的场景。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
基于 SOC 职业分类
通过分析 Zeek dns.log 中的高熵子域名查询、超量查询量、超长查询长度以及异常 DNS 记录类型,检测 DNS 隧道和数据外泄中的隐蔽通道通信。适用于:当需要狩猎基于 DNS 的 C2 或数据外泄通道、调查异常 DNS 查询模式、或响应涉及 DNS 隧道工具(iodine、dnscat2、DNSExfiltrator)的威胁情报时使用。
实施 Google 的 BeyondCorp 零信任访问模型,通过 IAP、Access Context Manager 和 Chrome Enterprise Premium,消除网络边界的隐式信任,强制执行基于身份的访问控制,实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。
在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。
攻击活动溯源归因分析涉及系统性地评估证据,以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH(竞争假设分析)收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹,以构建置信度加权的溯源归因评估。
从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置,以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。
使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程,包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。
| name | deploying-edr-agent-with-crowdstrike |
| description | 在企业端点上部署和配置 CrowdStrike Falcon EDR 代理,实现实时威胁检测、行为分析和自动化响应。 适用于将端点接入 EDR 覆盖范围、配置检测策略,或将 Falcon 遥测数据与 SIEM 平台集成的场景。 |
| domain | cybersecurity |
| subdomain | endpoint-security |
| tags | ["endpoint","edr","CrowdStrike","Falcon","threat-detection","sensor-deployment"] |
| version | 1.0.0 |
| author | mahipal |
| license | Apache-2.0 |
在以下情况下使用本技能:
不适用于部署其他 EDR 解决方案(Carbon Black、SentinelOne)或 Falcon 云工作负载防护(使用专用云部署指南)。
1. 登录 Falcon 控制台:https://falcon.crowdstrike.com
2. 导航:主机设置和管理 → 传感器下载
3. 下载对应的安装包:
- Windows:WindowsSensor_<版本>.exe
- macOS:FalconSensorMacOS_<版本>.pkg
- Linux:falcon-sensor_<版本>_amd64.deb / .rpm
4. 从传感器下载页面复制客户 ID(CID)
- CID 格式:<32位十六进制>-<2位校验码>
通过命令行静默安装:
WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<YOUR_CID>
SCCM 部署:
1. 在 SCCM 中创建应用程序
2. 部署类型:脚本安装程序
3. 安装命令:WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<CID>
4. 检测方法:注册表项存在
- HKLM\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default
5. 部署到目标集合
6. 部署目的:必需(强制安装)
Microsoft Intune 部署:
1. 导航:设备 → Windows → 配置文件
2. 创建 Win32 应用部署
3. 上传 .intunewin 包(封装后的传感器安装包)
4. 安装命令:WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<CID>
5. 检测规则:文件存在 C:\Windows\System32\drivers\CrowdStrike\csagent.sys
6. 分配给设备组
GPO 部署:
# 创建启动脚本,检查是否已安装
$sensorPath = "C:\Windows\System32\drivers\CrowdStrike\csagent.sys"
if (-not (Test-Path $sensorPath)) {
Start-Process -FilePath "\\fileserver\CrowdStrike\WindowsSensor.exe" `
-ArgumentList "/install /quiet /norestart CID=<CID>" -Wait
}
# Debian/Ubuntu
sudo dpkg -i falcon-sensor_7.18.0-17106_amd64.deb
sudo /opt/CrowdStrike/falconctl -s -f --cid=<YOUR_CID>
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# RHEL/CentOS
sudo yum install falcon-sensor-7.18.0-17106.el8.x86_64.rpm
sudo /opt/CrowdStrike/falconctl -s -f --cid=<YOUR_CID>
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# 验证传感器正在运行并已连接
sudo /opt/CrowdStrike/falconctl -g --rfm-state
# 预期输出:rfm-state=false(传感器正在与云通信)
# 安装传感器包
sudo installer -pkg FalconSensorMacOS_7.18.pkg -target /
# 设置 CID
sudo /Applications/Falcon.app/Contents/Resources/falconctl license <YOUR_CID>
# 通过 MDM 配置文件授予完整磁盘访问和系统扩展权限
# macOS Ventura+ 必须(手动批准或 MDM PPPC 配置文件)
# MDM 载荷:com.crowdstrike.falcon.Agent → SystemExtension + Full Disk Access
# 验证传感器状态
sudo /Applications/Falcon.app/Contents/Resources/falconctl stats
在 Falcon 控制台中,导航至配置 → 防护策略:
推荐的防护策略设置:
机器学习:
- 云端 ML:激进(额外防护,可能增加误报)
- 传感器 ML:适中
- 广告软件和 PUP:适中
行为保护:
- 写入时检测:已启用(在文件创建时检测恶意软件)
- 传感器 ML 检测:已启用
- 仅解释器:已启用(检测基于脚本的攻击)
漏洞利用缓解:
- 漏洞利用行为防护:已启用
- 内存扫描:已启用(检测内存中的攻击)
- 代码注入:已启用
勒索软件:
- 勒索软件防护:已启用
- 卷影副本保护:已启用
- MBR 保护:已启用
为以下群组创建独立策略:
实时响应(RTR):
- 为所有传感器组启用 RTR
- 配置 RTR 管理员和 RTR 响应者角色
- 启用脚本执行(供 IR 团队使用)
- 启用文件提取(用于取证)
网络隔离:
- 为特定主机组预授权隔离操作
- 配置隔离排除项(允许管理流量)
自动响应:
- 对高可信度检测启用自动修复
- 配置勒索软件检测的终止进程操作
- 对恶意软件文件检测启用隔离
# Windows:检查 Falcon 传感器状态
sc query csagent
# 预期:RUNNING
# 检查传感器版本
reg query "HKLM\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default" /v AgentVersion
# 验证云连接
# 在 Falcon 控制台:主机管理 → 主机 → 搜索主机名
# 状态应显示"在线"且最后访问时间戳 < 5 分钟
测试检测能力:
# CrowdStrike 提供测试检测样本
# 从 Falcon 控制台 → 主机设置下载 CsTestDetect.exe
# 在端点上运行以生成测试检测
.\CsTestDetect.exe
# 验证检测在 60 秒内出现在 Falcon 控制台
# Falcon SIEM 连接器(流式 API)
# 在 Falcon 控制台配置:支持 → API 客户端和密钥
# 创建权限范围为:事件流 → 读取 的 API 客户端
# 使用 falcon-siem-connector 或 Falcon 数据复制器(FDR)
# Splunk 集成:
# 从 Splunkbase 安装 CrowdStrike Falcon 事件流技术附加组件
# 配置:设置 → 数据输入 → CrowdStrike Falcon 事件流
# 输入 API 客户端 ID 和密钥
# 索引:crowdstrike_events
# Elastic 集成:
# 使用带 CrowdStrike 模块的 Elastic Agent
# 配置:Fleet → 代理策略 → 添加集成 → CrowdStrike
| 术语 | 定义 |
|---|---|
| Falcon 传感器 | 轻量级内核模式代理(25-30 MB),收集端点遥测数据并执行防护策略 |
| CID(客户 ID) | 将传感器与 CrowdStrike Falcon 租户关联的唯一标识符 |
| RFM(降级功能模式) | 因云连接丢失导致传感器以有限能力运行的状态 |
| 传感器分组标签 | 安装时应用的标签,用于自动将主机分配到组和策略 |
| RTR(实时响应) | 允许事件响应人员通过 Falcon 与端点交互的远程 Shell 能力 |
| IOA(攻击指标) | 基于攻击者技术而非静态特征的行为检测 |
/install /quiet CID=<CID> APP_PROXYNAME=proxy.corp.com APP_PROXYPORT=8080。