FAQ CrowdStrike Falcon OverWatch

O Falcon OverWatch™ da CrowdStrike é um serviço de investigação gerenciada responsável pela detecção de invasões, atividades nocivas e adversários que poderiam, de outra forma, passar despercebidos. Além disso, o Falcon OverWatch investiga proativamente ações de malware furtivas e destrutivas, notificando os clientes e protegendo conforme necessário. Saiba mais sobre as três metodologias de Investigação Proativa de Ameaças

O Falcon OverWatch possui um propósito diferente daquele dos MSSPs porque, tradicionalmente, estes são utilizados para gerenciar os produtos de segurança do cliente, como firewalls, IDS/IPS, SIEMs e Web Gateways etc. Por mais que eles ofereçam uma detecção básica e serviços de alerta, costumam ser amplamente baseados nos alertas do produto de segurança gerenciado, cabendo ao cliente a responsabilidade de investigar, priorizar e determinar o que precisa ser feito para responder ao incidente. Historicamente, MSSPs se concentravam principalmente em monitorar as soluções de segurança do perimetral, como firewalls, UTMs (gerenciamento unificado de ameaças) e Web Gateways, uma abordagem que se mostrou ineficiente, já que invasores habilidosos são capazes de se infiltrar nas empresas sem serem detectados por essas soluções.

O Falcon OverWatch, por sua vez, não gerencia os produtos de segurança do cliente. Pelo contrário, o OverWatch busca proativamente por ameaças para o cliente, indo além da detecção passiva e automática oferecida pelas tecnologias de segurança atuais. O OverWatch busca, encontra, investiga e pode até responder a indicadores ainda "quentes" que direcionam a ataques que, de outra forma, passariam despercebidos. OverWatch também oferece alertas acionáveis com recomendações de correção, fornecendo uma análise detalhada que permite que clientes determinem o que ocorreu e como responder ao incidente. Além disso, os MSSPs, historicamente, não detectam ataques avançados. Porém, o OverWatch detecta diariamente ataques que passaram despercebidos pelos MSSPs do cliente. Isso pode ser confirmado com os serviços de simulação de adversários da CrowdStrike®, que permite aos clientes testarem as habilidades dos seus MSSPs de detectarem ataques avançados.

Todos os dias, o Falcon OverWatch identifica e impede ataques que outras defesas de segurança não conseguiram detectar, quanto menos bloquear. Na média, o Falcon OverWatch impede mais de 15.000 tentativas de ataque por ano.

Com o agente da CrowdStrike Falcon®, não há a necessidade de estabelecer um baseline. Durante uma investigação, o Falcon OverWatch compara a atividade de cada usuário, processo ou estação de trabalho com outros do ambiente do usuário.

Um exemplo típico seria o seguinte: Falcon OverWatch observa que um usuário, "Bob," utilizou um protocolo de desktop remoto (RDP) para acessar um servidor e executar comandos suspeitos. O Falcon OverWatch investiga todos os logins àquele sistema, comparando interatividades e logins de RDP, e também investiga o uso de RDPs pelo Bob em todo o ambiente. Em outro exemplo, o OverWatch encontra um processo suspeito e investiga quantas vezes e onde um arquivo suspeito foi executado no ambiente. Por ser um serviço de investigação gerenciada, Falcon OverWatch pode levar essa análise ainda mais além, buscando determinar a prevalência desse arquivo em todo o conjunto de dados, e se apresenta características similares em outro lugar.

O OverWatch interage sistematicamente com as equipes de inteligência de ameaças, Serviços CrowdStrike e respostas à incidentes.. A equipe OverWatch colabora com as equipes de Falcon Intelligence™ e de resposta de segurança de forma bidirecional, auxiliando com atribuições e identificações das atividades e malwares encontrados durante as investigações. Em casos de resposta a incidentes nos quais o Falcon OverWatch for acionado, a equipe trabalha em conjunto com os Serviços CrowdStrike para trocar informações oriundas das investigações.

Investigações retroativas ocorrem quando o Falcon OverWatch analisa dados históricos em busca de evidências de uma invasão. Essas investigações ocorrem frequentemente. Durante uma invasão, artefatos investigados como IPs, domínios, hashes e outros são coletados. Esses artefatos são carregados à base de dados da inteligência CrowdStrike para criar alertas na interface do usuário da plataforma Falcon do cliente no futuro. Falcon OverWatch também busca por ocorrências históricas desses indicadores, investigando qualquer acesso e notificando o cliente, quando apropriado.

Falcon OverWatch é extremamente eficiente em escalar o volume de eventos, sistemas e funcionários. Com uma missão centrada em identificar invasões furtivas e direcionadas, o Falcon OverWatch não somente analisa detecções na plataforma Falcon, mas também utiliza detecções internas e ferramentas de análise exclusivas do OverWatch. Isso dá ao OverWatch a habilidade de aprimorar sua plataforma de detecção e eliminar falsos positivos, aumentando a fidelidade das detecções e diminuindo a carga de análises. Por fim, o Falcon OverWatch promove uma quantidade extensiva de automação de inteligência, eliminando tarefas rotineiras e aumentando a proporção de alertas onde for possível.

O Falcon OverWatch oferece níveis de serviço em camadas que sem somam, permitindo que as empresas escolham a opção que melhor se adequa às suas exigências comerciais e de recursos:

• Falcon OverWatch Standard é o nível de serviço de entrada, com investigações proativas 24/7 que fornecem notificações por e-mail e alertas da equipe Falcon OverWatch, poucos momentos após uma detecção.
• Falcon OverWatch Premium é o maior nível do OverWatch da CrowdStrike, incluindo todos os serviços Standard, notificações escaladas e contato direto. Verificações de saúde e configuração de solução proativas, acesso direto aos membros da equipe OverWatch, e recomendações de segurança e briefings trimestrais garantem que você fique à frente dos invasores e impeça um grande ataque.

A licença do Falcon é baseada em uma assinatura por endpoint. Os preços partem de US$ 59,99/ano por endpoint para o nosso Antivírus de Última Geração CrowdStrike Falcon Prevent. Para mais informações, por favor entre em contato, solicite um orçamento, ou compre agora mesmo através do AWS Marketplace.