CrowdStrike: Weitere XDR-Funktionen, neue Graphentechnik und Humio for Falcon

Rationalisierung und Vereinfachung des Sicherheitsbetriebs

23. Juni 2022, 12:30 Uhr | Anna Molder
LANline-Cartoon Security
© Wolfgang Traub

CrowdStrike, Anbieter von Cloud-basiertem Schutz von Endgeräten, präsentierte einige Portfolioerweiterungen. Unter anderem stellte das Unternehmen Funktionen für das Falcon XDR-Modul (Extended Detection and Response) vor. Die neue Graph-Datenbank Asset Graph soll Unternehmen bei der proaktiven Identifizierung und Beseitigung von blinden Flecken auf der Angriffsfläche unterstützen. Darüber hinaus biete Humio for Falcon eine langfristige Datenspeicherung mit indexfreier Suche und Analyse von angereicherten Sicherheitstelemetrien.

Falcon XDR biete nun unter anderem auf XDR-Erkennung basierende Falcon-Fusion-Workflows. Falcon Fusion (das CrowdStrike-eigene SOAR-Framework) ist nativ in Falcon XDR integriert, es automatisiere nun zahlreiche Arbeitsabläufe direkt auf Basis der Falcon XDR-Erkennung, darunter Ticket-Erstellung über ServiceNow, Benachrichtigungen per E-Mail, Slack oder Webhook sowie Incident-Details von Statusänderungen bis hin zu Teamzuweisungen und Kommentaren. Zudem verfüge Falcon XDR über einen Zeitstrahl für XDR-Ereignisse sowie eine grafische Visualisierung von benutzerdefinierten XDR-Erkennungen.

Bei Asset Graph handelt es sich um eine Graph-Datenbank, die auf der CrowdStrike-eigenen Security Cloud basiert und IT- und Sicherheitsverantwortlichen einen 360-Grad-Blick auf alle Assets sowie einen Einblick in die Angriffsfläche von Geräten, Benutzern, Konten, Anwendungen, Cloud-Workloads, Betriebstechnik (OT) und vieles mehr bieten soll.

Asset Graph überwache und verfolge die komplexen Interaktionen zwischen Assets nach, sodass ein einziger, ganzheitlicher Überblick über die von diesen Assets ausgehenden Risiken entsteht. Laut CrowdStrike visualisiert Asset Graph die Beziehungen zwischen allen Assets zusammen mit dem umfassenden Kontext, der für eine angemessene Sicherheitshygiene und ein proaktives Sicherheits-Management erforderlich ist, um das Risiko im Unternehmen zu reduzieren.

Die Falcon-Plattform hat CrowdStrike speziell mit einer Cloud-nativen Architektur entwickelt, um große Mengen an zuverlässigen Sicherheits- und Unternehmensdaten zu nutzen und Lösungen über einen einzigen Agenten bereitzustellen, um Angreifern einen Schritt voraus zu sein. Die Graphen-Techniken, die ihren Ursprung im Threat Graph haben, bilden eine leistungsstarke, nahtlose und verteilte Datenstruktur, die zu einer einzigen Cloud - der Security Cloud - verbunden ist und die Falcon-Plattform antreibt, so die Anbieterangaben.

Die Grundlage der Falcon-Plattform bilden die Graphentechniken Threat Graph, Intel Graph und nun Asset Graph. Der Threat Graph nutze Billionen von Sicherheitsdatenpunkten von Millionen von Sensoren, angereichert mit Bedrohungsdaten und Quellen von Drittanbietern, um Bedrohungsaktivitäten zu identifizieren und miteinander zu verknüpfen. Durch die Analyse und Korrelation großer Datenmengen über Angreifer, ihre Opfer und ihre Tools biete Intel Graph Einblicke in die Veränderungen von Taktiken und Techniken.

Der Asset Graph ermögliche nun neue Falcon-Module und darauf aufbauende Funktionen zur Definition, Überwachung und Erkundung der Beziehungen zwischen Assets innerhalb einer Organisation. Das erste Modul von Falcon, das Asset Graph nutzt, ist Falcon Discover. Dieses umfasse nun verbesserte Dashboards, hochgradig anpassbare Filter und Freigabeoptionen sowie eine weitere Integration von Drittanbieterdaten mit ServiceNow.

Humio for Falcon ist eine Funktion, mit der sich die Datenaufbewahrung von Falcon-Telemetriedaten für einen Zeitraum von einem Jahr oder mehr verlängern lasse. Dadurch sollen Unternehmen ihre Fähigkeiten zur Analyse von Bedrohungen und zur Bedrohungsjagd verbessern und gleichzeitig Compliance-Anforderungen einhalten können. Die Funktion verbinde die Sicherheitsplattform Falcon mit den Suchfunktionen von CrowdStrikes zentralem Logging-Angebot Humio.

Die Funktion soll Sicherheitsteams die Möglichkeit geben, Sicherheits- und IT-Telemetriedaten von der Falcon-Plattform zu speichern, die über Endpunkte, Workloads und Identitäten hinweg angereichert und kontextualisiert sind, um die Herausforderung der Operationalisierung der ständig wachsenden Datenmengen zu bewältigen. Humio for Falcon helfe Sicherheitsteams, alle Daten in ihrer Umgebung zu analysieren und darauf zu reagieren, und das sowohl in Echtzeit als auch auf Basis historischer Daten. Dank der längeren Datenaufbewahrung durch die Komprimierung der aufgenommenen Daten sollen Sicherheitsteams potenzielle Bedrohungen in ihren Umgebungen mit tiefgreifenden, kontextbezogenen Analysen und Suchergebnissen jeglicher Größenordnung im Sekundentakt durch eine moderne, indexfreie Architektur aufdecken und erkennen können.


Verwandte Artikel

CrowdStrike GmbH

XDR

IT-Security