X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >

Questions fréquentes – CrowdStrike Falcon Insight

Pour voir la Plateforme Falcon en action, profitez d’une évaluation gratuite du module NGAV :

Qu'est-ce que Falcon Insight ?

Falcon Insight™ est le module EDR (Endpoint Detection and Response) de la plateforme de protection des endpoints CrowdStrike® Falcon™. Falcon Insight joue le rôle d'enregistreur pointé sur les endpoints, y consignant l'activité pour détecter les incidents qui ont échappé aux mesures préventives. Ceci apporte aux clients une visibilité totale, en temps réel, sur tout ce qui se déroule sur leurs endpoints du point de vue de la sécurité. Le risque de défaillance silencieuse permettant à un intrus de demeurer dans l'environnement en échappant à la détection est ainsi éliminé. Falcon Insight détecte la présence des indicateurs d'attaque qui pourraient avoir éludé d'autres mécanismes de défense et permet la traque des menaces, en temps réel comme sur données historiques, sur l'ensemble d'un environnement. En plus de détecter rapidement les attaques sophistiquées, Falcon Insight vous aide à réagir de façon rapide et efficace, pour vous permettre de reprendre vos activités normales sans délai.

Quelle est la préparation nécessaire pour configurer Falcon Insight et détecter les incidents?

Falcon Insight est une solution EDR intelligente, capable de détecter automatiquement les incidents sans nécessiter de réglages fins ou de configurations élaborées pour devenir pleinement fonctionnelle. Il le fait en combinant une visibilité totale sur les endpoints avec l'analyse comportementale sur la base des indicateurs d'attaque. L'analyse des événements se fait en temps réel, et Insight détecte automatiquement les traces des comportements suspects, cernant avec précision l'activité d'un attaquant qui aurait pu passer inaperçue sans cela. Grâce aux indicateurs d'attaque, les équipes de sécurité ne sont plus obligées de déterminer ce qu'elles doivent rechercher ni de programmer leurs propres recherches.

Bien que Falcon Insight ne nécessite pas de réglages fins ou de configurations complexes, il offre aussi aux clients la possibilité de créer leurs propres recherches s'ils le souhaitent, en remontant jusqu'à 90 jours. Ceci peut être utile aux équipes de sécurité qui désirent effectuer une traque des menaces active dans leur environnement. Falcon Insight repose sur une architecture native au cloud ; de ce fait, les résultats de requêtes sont obtenus en quelques secondes.

Est-il possible d'utiliser Falcon Insight pour l'intervention sur incident?

Certainement. CrowdStrike Falcon est largement utilisé pour l'intervention sur incident.  Falcon Insight offre une visibilité à distance sur tous les endpoints de l'environnement, ce qui permet d'identifier immédiatement qui est à l'origine d'une attaque, en quoi elle consiste, où et comment elle s'est produite. De plus, Insight permet aux équipes d'intervenants de prendre les mesures de correction nécessaires en temps réel, réduisant l'exposition et le délai de récupération.  L'architecture cloud de Falcon Insight permet une intervention et une résolution des incidents nettement plus rapides. Elle permet aux équipes de consulter les preuves informatiques, et ce même si l'endpoint en question a été détruit.

Qu'est-ce qu'une défaillance silencieuse?

Une défaillance silencieuse existe lorsqu'une attaque a infiltré le système de défense d'une organisation sans déclencher d'alertes, ce qui permet aux attaquants de résider dans un environnement pendant plusieurs jours, voire plusieurs mois, sans être détectés. Falcon Insight protège contre les défaillances silencieuses en enregistrant toutes les activités pertinentes d'un endpoint pour les soumettre à une inspection approfondie, en temps réel et a posteriori. Cette analyse en profondeur, proactive, permet de déceler les signes d'activités malveillantes qui n'auraient peut-être pas pu être détectées autrement.

Quelles sont les informations que Falcon Insight recueille dans l'environnement d'un client?

CrowdStrike Falcon est conçu pour optimiser la visibilité sur les événements historiques et en temps réel se déroulant sur les endpoints. Pour ce faire, il rassemble les données d'événements nécessaires à la compréhension du mécanisme de l'attaque et à la réponse qu'il faut lui opposer, mais rien de plus. Le réglage par défaut est la surveillance continuelle des événements système centrés sur l'exécution des processus, à la recherche d'activités suspectes. Lorsqu'une telle activité est découverte, une collecte de données supplémentaire est déclenchée pour mieux comprendre la situation et préparer une réponse appropriée, selon les besoins ou les souhaits de l'équipe. Il faut noter que le type de données collectées change au gré des améliorations apportées à Falcon Insight, pour s'adapter aux nouvelles cybermenaces du paysage informatique. Les informations relatives à l'activité au niveau des endpoints sont collectées par l'intermédiaire de l'agent Falcon et sont mises à la disposition du client sur la console de gestion Falcon, qui est sécurisée.

Les informations présentées par Falcon Insight sont-elles actualisées?

Les informations sont constamment recueillies en temps réel, donnant aux équipes de sécurité la possibilité d'observer un attaquant ou un cyberadversaire à l'œuvre. Ceci assure que les informations affichées sont toujours les plus actuelles et pertinentes. Ceci marque une différence avec les autres solutions EDR qui ont besoin d'interroger les endpoints : les informations ne sont donc pas plus récentes que la dernière requête EDR ou la dernière analyse effectuée. 

Jusqu'à quand peut-on remonter pour visualiser les données avec Falcon Insight ?

Toutes les données de télémétrie collectées sur l'ensemble des endpoints peuvent être conservées jusqu'à 90 jours.

Est-il possible d'utiliser les informations recueillies par Falcon Insight dans des produits de sécurité déjà en service, tels qu'un SIEM?

Oui. L'API Falcon Data Replicator fournit l'ensemble des données concernant l'événement. Le client peut alors les insérer dans son entrepôt ou sa couche de données locaux. De plus, un large ensemble d'API sophistiquées et faciles à utiliser permettent aux applications de se connecter à la plateforme Falcon et autres sources de données externes.

Est-il possible d'effectuer une recherche proactive des cybermenaces avec Falcon Insight?

Oui. L'architecture cloud de Falcon Insight permet d'exécuter une traque proactive des menaces à grande échelle. La traque des menaces renforce la protection d'une organisation contre les attaquants et joue un rôle de premier plan dans la détection précoce d'attaques et de cyberadversaires. Falcon Insight permet aux équipes de sécurité d'effectuer des recherches sur les données collectées pendant une période de 90 jours au maximum. Les résultats de la recherche sont disponibles en quelques secondes et permettent de relier entre eux les divers indices.

De plus, les organisations qui ne disposent pas des ressources nécessaires pour exécuter leur propre traque des menaces en recueillent tout de même les avantages grâce à Falcon OverWatch™, le composant de traque des menaces de la plateforme Falcon. L'équipe d'experts en sécurité Falcon OverWatch travaille pour le client 24/7 à la recherche proactive de menaces et au blocage des compromissions.

Quel type d'infrastructure faut-il adopter pour implémenter Falcon Insight ?

Le client n'a besoin d'installer aucune infrastructure particulière pour Falcon Insight. Falcon Insight utilise la plateforme Falcon, dont l'architecture est entièrement basée sur le cloud. Ceci permet aux clients de bénéficier plus rapidement de la protection et réduit le coût de total de possession en éliminant l'achat de matériels sur site, ainsi que leur déploiement et leur entretien. La sécurité cloud de CrowdStrike empêche tout attaquant d'acquérir la technologie CrowdStrike pour tenter de la modifier ou de l'esquiver. Si un cyberadversaire s'en prenait à Falcon, ses tentatives d'attaque seraient immédiatement communiquées au cloud, où elles seraient détectées. La sécurité basée sur le cloud permet à CrowdStrike de voir une plus large part du paysage des cybermenaces. Cette perspective élargie donne à Falcon de plus grandes quantités de données à analyser, ce qui améliore sa capacité de protection.

Comment Falcon Insight peut-il m'aider à intervenir en cas d'incident et à apporter les mesures de correction nécessaires ?

Falcon Insight offre un ensemble d'opérations intégrées, qu'il exécute sur les systèmes lors de l'intervention sur incident. Certaines de ces opérations de résolution d'incident servent lors de l'investigation de la menace, afin de comprendre entièrement le risque posé par la menace et l'importance de ce risque. Ces opérations aident les équipes d'intervenants à comprendre les menaces, plus rapidement et plus complètement. D'autres opérations ont pour but d'agir sur un système pour contenir ou éliminer une cybermenace. Diverses méthodes peuvent être employées, par exemple en arrêtant le processus malveillant, en supprimant des fichiers, en nettoyant le registre Windows ou bloquant le trafic réseau. Ces commandes aident les intervenants à agir rapidement et en connaissance de cause. Tous ces outils réduisent sensiblement le temps d'intervention nécessaire en cas de menaces sophistiquées.

Comment le prix de Falcon Insight est-il établi ?

La licence Falcon est accordée sur la base d'un abonnement par endpoint. Le prix débute à 59,99 dollars par endpoint par an pour l'antivirus de nouvelle génération CrowdStrike Falcon Prevent. Pour de plus amples informations, vous pouvez nous contacter.