ECOPETROL 
EDR Falcon Crowdstrike 
Propuesta OP1 – 0x1 - 28-10-2020
 
 

1.1.11 FALCON CROWDSTRIKE VS MICROSOFT DEFENDER 

 
Windows  Defender  Advanced  Threat  Protection  se  basa  principalmente  en  la 
funcionalidad integrada en Windows 10, pero se ha actualizado a Windows 7 y 8. 
 
 
Prevent:  no  se  pueden  tomar  acciones  de  prevención  /  bloqueo  en  las  correlaciones 
de  comportamiento  realizadas  en  la  nube.  Sólo  puede  bloquear  malware  conocido 
que es analizado estáticamente por el agente antivirus de Windows Defender. 
 
Detect:   La  plataforma  de  seguridad  en  la  nube  detecta  ataques  mediante  el  análisis 
de  comportamiento  y  el  aprendizaje  automático.  Puede  investigar  visualmente  la 
evidencia en los puntos finales para descubrir el alcance del incidente. 
 
Respond:  ofrece  hunting  con  180  días  de  datos  históricos  y  tiene  una  consola  de 
respuesta en vivo para Windows 10 19H1 y versiones posteriores. 
 
Hunt: el servicio Threat Experts utiliza "IA entrenada por Hunter". 
 
Puntos débiles 
 
- Microsoft  aún  no  ha  unificado  la  administración  de  sus  características  de 
seguridad  y  deja  a los clientes con muchas consolas de administración, políticas 
y herramientas de administración. 
 
- Las  funcionalidades  completas  de  la  solución  solo  están  disponibles  para 
Windows 10; algunas funciones se han adaptado a Windows 7 y 8. 
 
- Dado  que Windows Defender está integrado en el sistema operativo, los clientes 
deben  actualizarse  a  nuevas  versiones  de  Win  10  para  obtener  nuevas 
funciones, en lugar de solo una actualización del sensor.  
 
- La  funcionalidad  de  EDR  no  está  disponible  para  Linux,  solo  la  opción  de 
antivirus. 
 
- Es vulnerable a ataques que pueden manipular datos de eventos de Windows.  
 
- Dado  que  Windows  Defender  NO  se  ejecuta  "en  línea"  con  operaciones 
maliciosas,  y  solo  reacciona  a  ellas  de  forma  asincrónica;  NO  ofrece  una 
verdadera  protección  contra  los  indicadores  de  ataque,  especialmente  si  no 
está fuera de línea. 
 
 
 
 

España | México | Colombia   

 
 
 

ECOPETROL 
EDR Falcon Crowdstrike 
Propuesta OP1 – 0x1 - 28-10-2020
 
 
 
- Microsoft  combina  características  pagas  y  gratuitas,  lo  que  confunde  a  los 
clientes  y  su  estructura  de  paquetes  hace  que  compren  productos  y 
características no deseadas. 
 
- Microsoft  carece  de  competencia  en  cualquier  cosa  más  allá  de  la 
funcionalidad  básica  de  EPP  y  no  tiene una búsqueda de amenazas real ni una 
oferta de MDR. 
 
 
Funcionalidad  Crowdstrike  Windows  Justificación 

Defender Antivirus 
incluye análisis basado 
Machine Learning  Cumple  Parcialmente 
en ML, pero sólo en 
Windows 

Defender Antivirus en 

No depende de firmas  Cumple  No cumple  su núcleo se basa en 
AV basado en firmas 

Debido al retraso en la 

recopilación de 
eventos, la mayor 
Protección basada en 
Cumple  Parcialmente  parte de la 
el comportamiento 
funcionalidad basada 
en el comportamiento 
solo se detecta 

ATP incluye paneles 

para amenazas 
Threat Intelligence 
Cumple  Parcialmente  específicas, pero no 
integrada 
busca indicadores ni 
atribuciones a actores. 

Los clientes pueden 

configurar el control 
Device Control  Cumple  Parcialmente  de dispositivos a través 
de Intune, pero está 
limitado a Windows 10 

Microsoft Defender 
ATP se ha basado en 
EDR  Cumple  Parcialmente  EDR a través de su 
adquisición de 
Hexadite 
 

España | México | Colombia   

 
 
 

ECOPETROL 
EDR Falcon Crowdstrike 
Propuesta OP1 – 0x1 - 28-10-2020
 
 
Las capacidades de 
búsqueda de 
amenazas están 
Threat Hunting Platform  Cumple  Parcialmente  limitadas por la falta 
de una colección 
completa de eventos 
en endpoints 

Microsoft usa su 

Repositorio de datos 
Cumple  Cumple  Intelligent Security 
global 
Graph para los datos 

La respuesta en vivo 
proporciona una 
Consultas y Respuestas  remediación remota, 
Cumple  Parcial 
en tiempo real  pero solo para las 
últimas versiones de 
Win 10 

El servicio de expertos 
en amenazas utiliza 
Gestion de Threat  principalmente "IA 
Cumple  Parcial 
Hunting  entrenada por 
cazadores" en vez de 
analistas humanos 

Brinda visibilidad de los 

productos habilitados 
en los endpoints, pero 
IT Hygiene  Cumple  Parcial 
carece de visibilidad 
de los sistemas no 
administrados 

Threat and 
Vulnerability 
Management analiza 
Vulnerability 
Cumple  Cumple  el riesgo de las 
Assessment 
versiones y 
configuraciones de la 
aplicación 

Análisis de Malware   Cumple  Cumple  ATP se integra con su 

España | México | Colombia   

 
 
 

ECOPETROL 
EDR Falcon Crowdstrike 
Propuesta OP1 – 0x1 - 28-10-2020
 
 
sandbox basado en la 
nube para el análisis 
de malware 

ATP no tiene 
Búsqueda de Malware  Cumple  No cumple  funcionalidad de 
búsqueda de malware 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

España | México | Colombia