4falcon Sensor para Mac - Documentación - Apoyo - Halcón

29/8/2019 Falcon Sensor para Mac | Documentación | Apoyo | Halcón
Quedan 2 días
Guía de implementación de Falcon Sensor para Mac
Versión 4.16 - Última actualización: 13 de junio de 2019
Contenido:
Requisitos del sistema

Sistemas operativos
Requisitos de red
Soporte de proxy
Evite la interferencia con la fijación de certificados
URL de la lista blanca
Instalación estándar
Instalación del sensor Falcon para Mac
Aprobar extensiones de kernel
Verificación de la instalación del sensor
Desinstalar la protección para el sensor Falcon
Instalación del sensor en una plantilla de máquina virtual
Desinstalar el Falcon Sensor para Mac
Solución de problemas de una instalación
Verifique que el sensor aparezca en la consola Falcon
Verifique que el sensor esté funcionando
Verifique que los componentes del sensor estén instalados
Solución de problemas generales del sensor
Verifique que el sensor esté conectado a la nube
https://falcon.crowdstrike.com/support/documentation/22/falcon-sensor-for-mac 1/55
Verifique que los componentes del sensor interoperen:

Quedan 2 días
Verifique que la solicitud sobre ejecutables se responda a tiempo desde la nube
Determinar si los procesos fueron bloqueados
Registros
Contenido de registro normal
Apéndice A - Direcciones IP
IP comerciales en la nube
Falcon en las direcciones IP de GovCloud
IP en la nube de la UE
Revisión histórica
Quedan 2 díasRequisitos del sistema
Instalar el sensor Falcon para Mac requiere privilegios elevados.
Falcon en GovCloud es compatible con el sensor Falcon para Mac 4.6 y versiones posteriores.
Sistemas operativos
Sistemas operativos compatibles Sistemas operativos no compatibles
macOS Mojave 10.14 y posterior (sensor 4.13.7501 y Todas las versiones anteriores de OS X, incluidas:
posterior) OS X El Capitan 10.11 (último compatible con la versión
macOS High Sierra 10.13 y posterior (sensor 3.6.5703 y 4.12.7401)
posterior) OS X Yosemite 10.10 (último compatible con la versión
macOS Sierra 10.12 y posterior 3.5.5603)
No admitimos hosts que se ejecutan en contenedores, como Docker.
Quedan 2 díasRequisitos de red
Soporte de proxy
El sensor Falcon para Mac admite estos tipos de conexiones proxy:
Auto Proxy Discovery
Configuración automática de proxy (PAC)
Proxy web (HTTP)
CrowdStrike no es compatible con la autenticación de proxy.
Evite la interferencia con la fijación de certificados
El sensor Falcon utiliza la fijación de certificados para defenderse de los ataques de hombre en el medio. Algunas
configuraciones de red, como la inspección profunda de paquetes, interfieren con la validación del certificado.
Para evitar interferencias con la validación del certificado, desactive la inspección profunda de paquetes (también llamada
"intercepción HTTPS", "intercepción TLS" o "inspección SSL") o configuraciones de red similares. Otras fuentes comunes de
interferencia con la fijación de certificados incluyen sistemas antivirus, firewalls o servidores proxy.
URL de la lista blanca
Dependiendo de su entorno de red, es posible que deba incluir en la lista blanca el tráfico TLS entre su red y las direcciones de
red de nuestra nube:
Nube comercial (la mayoría de los clientes):

ts01-b.cloudsink.net
Quedan 2 días
lfodown01-b.cloudsink.net
Halcón para GovCloud:
ts01-laggar-gcw.cloudsink.net
lfodown01-laggar-gcw.cloudsink.net
Falcon EU Cloud:
ts01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net
Si su red requiere una lista blanca por dirección IP en lugar de FQDN, consulte Direcciones IP en la nube para obtener una lista
de las direcciones IP que utilizamos.
Utilizamos AWS para algunas comunicaciones entre hosts y la nube CrowdStrike.
Quedan 2 díasInstalación estándar
Quedan 2 díasInstalación del sensor Falcon para Mac
1. Descargue el instalador del sensor desde Hosts> Descargas de sensores . Utiliza el navegador Chrome.
2. Copie su suma de verificación de ID de cliente (CCID) de Hosts> Descargas de sensores .
3. Ejecute el instalador del sensor en su dispositivo utilizando uno de estos dos métodos:
Haga doble clic en el .pkg archivo.
Ejecute este comando en una terminal, reemplazando <installer .pkg> con la ruta y el nombre del archivo de su
paquete de instalación:
sudo installer -verboseR -package <installer .pkg> -target /
4. Cuando se le solicite, ingrese las credenciales administrativas para el instalador.
5. Ejecute falconctl , instalado con el sensor Falcon, para proporcionar su suma de comprobación de ID de cliente (CCID).
sudo /Library/CS/falconctl license 0123456789ABCDEFGHIJKLMNOPQRSTUV-WX
Este comando es ligeramente diferente si está instalando con la protección de desinstalación.
En este ejemplo, reemplace 0123456789ABCDEFGHIJKLMNOPQRSTUV-WX con su CID.
macOS 10.13 High Sierra y versiones posteriores: Apple requiere que se aprueben las extensiones del kernel antes
de cargarse. Recomendamos que use el MDM de Apple para aprobar la com.crowdstrike.sensor extensión del kernel
antes de instalar. Si su organización no puede usar MDM, siga las instrucciones del sistema operativo para aprobar
manualmente la extensión del kernel después de la licencia. La aprobación manual debe realizarse en el host, ya
que Apple impide que los administradores aprueben de forma remota las extensiones del kernel.
Aprobar extensiones de kernel

¿Qué sucede si no se aprueban las extensiones del núcleo CrowdStrike?

Quedan 2 días
Cuando las extensiones del núcleo CrowdStrike no están aprobadas:
Esos sistemas no aparecen en la consola Falcon
No verá ningún evento de tales sistemas macOS
Si intenta agregar su CID, es posible que obtenga este error:
Error: System policy prevents loading of CrowdStrike kernel extension ID com.crowdstrike.sensor
Si ejecuta el comando de terminal “licencia falconctl” nuevamente, puede recibir este error:
Error: This machine is already licensed
ESCENARIO 1: INSTALACIÓN MANUAL DEL SENSOR FALCON
Este escenario también es aplicable si su MDM (Administración de dispositivos móviles) no admite la lista blanca de kext o si
utiliza DevOps / scripts para implementar el producto.
1. Siga los pasos de instalación mencionados anteriormente .
2. Después de ingresar la credencial para la instalación, se le solicitará que apruebe la extensión del kernel desde el panel
Seguridad y privacidad como se muestra a continuación.
Cuando se muestra esta pantalla, el usuario final debe aprobar la extensión del núcleo de CrowdStrike. Si no ve el mensaje,
Quedan 2 días
apruebe la extensión del núcleo desde Preferencias del sistema:
1. En la Mac donde está instalando el sensor, haga clic en el ícono superior izquierdo de Apple> Preferencias del sistema
2. Haga clic en Seguridad y privacidad
3. En la pestaña General, haga clic en Permitir para aprobar la extensión del núcleo CrowdStrike
Nota: Esta solicitud de aprobación solo está presente en el panel de preferencias de Seguridad y privacidad
durante 30 minutos después de la alerta. Hasta que el usuario apruebe la extensión del kernel, los intentos de
carga futuros harán que vuelva a aparecer la solicitud de aprobación pero no activará otra alerta de usuario. Si no
Quedan 2 días
ve esta opción de aprobación, reinicie la máquina para obtener nuevamente la solicitud de aprobación.
La aprobación de la extensión del núcleo se requiere solo una vez. Si el sensor Falcon se reinstala o actualiza
posteriormente, no verá otra solicitud de aprobación.
ESCENARIO 2: EL SISTEMA MACOS SE ADMINISTRA A TRAVÉS DE MDM QUE ADMITE LA

APROBACIÓN DE KEXT COMO JAMF
Cuando administra sistemas macOS por MDM como JAMF, puede aprobar la extensión del kernel por adelantado. Para hacerlo,
consulte este artículo de Apple . Como se menciona en el artículo de Apple, en el MDM cree una Política de extensión del
núcleo para permitir la carga de las extensiones del núcleo asociadas con CrowdStrike. Para hacerlo, recomendamos lo
siguiente:
1. Si sus sistemas macOS no tienen una política de extensión del kernel, use su herramienta MDM para crear una (
instrucciones de Apple ) con el Identificador de equipo X9E956P446 de CrowdStrike , y aplíquela a los sistemas macOS
antes de instalar CrowdStrike Falcon.
2. Si su macOS ya tiene una política de extensión de kernel de MDM, agregue el ID de equipo de CrowdStrike X9E956P446
en AllowTeamIdentifiers.
3. Si sus Mac tienen una política de MDM que se muestra como pendiente, reinicie la Mac.
En cualquier momento, puede verificar que la extensión del kernel esté aprobada y cargada ejecutando el siguiente comando
de terminal en macOS:
kextstat | grep crowd
Si com.crowdstrike.sensor se muestra, indica que las extensiones del kernel están aprobadas y cargadas con éxito.
Verificación de la instalación del sensor

Después de la instalación, el sensor funciona en silencio. Para confirmar que el sensor está funcionando, ejecute este comando
Quedan 2 días
en una terminal:
sysctl cs
El resultado muestra una lista de detalles sobre el sensor, incluida su ID de agente (AID), versión, ID de cliente y más. Si su
salida es diferente, consulte Solución de problemas de una instalación .
Desinstalar la protección para el sensor Falcon
Sensor versión 5.10.9003 y posterior
Proteja los sensores de la desinstalación no autorizada mediante políticas de actualización de sensores. Habilite la protección
de desinstalación y mantenimiento en las políticas de actualización del sensor para proteger los hosts. Para obtener más
información, lea nuestra Guía de grupos y políticas .
Actualizaciones de sensores con protección de desinstalación habilitada y actualizaciones de nube deshabilitadas
Use esta ruta de actualización si su organización no puede usar actualizaciones administradas en la nube. Use el modo de
mantenimiento masivo para actualizar usando otras herramientas, como JAMF.
1. Descargue el instalador del sensor desde Hosts > Descargas de sensores . Utiliza el navegador Chrome.
2. En la política de actualización del sensor que desea actualizar, active el modo de mantenimiento masivo . Asegúrese de
que la versión del sensor se actualiza fuera de la versión de compilación está seleccionada y Desinstalar y la protección de
mantenimiento está activada.
3. Recupere el token de mantenimiento masivo para incluirlo en el paquete de implementación. Este token no cambia, por lo
que no necesitará modificar su paquete de implementación cada vez que ingrese al modo de mantenimiento masivo.
4. Crea un script llamado falcon_maintenance_token.py .
5. Agregue esto al script de Python, reemplazando <your bulk maintenance token here> con su token de mantenimiento masivo
Quedan 2 días
real:
#!/usr/bin/env python
from __future__ import print_function
mtoken = "<your bulk maintenance token here>"
try:
while True:
print(mtoken)
except IOError:
pass
6. Ejecute o configure su herramienta de implementación para ejecutar los siguientes comandos, reemplazando <installer
.pkg> :
./falcon_maintenance_token.py | sudo /Library/CS/falconctl unload --maintenance-token
sudo installer -verboseR -package <installer .pkg> -target /
7. Para mayor seguridad, apague el modo de mantenimiento masivo después de completar sus actualizaciones. Esto
restaura el token de mantenimiento por sensor y deshabilita el token de mantenimiento masivo.
Sensor versión 3.10.6103–4.28.8907
Puede establecer una contraseña en un host para proteger su sensor de alteraciones no autorizadas. Una vez que establezca
la contraseña, debe proporcionarla cada vez que alguien intente descargar, desinstalar, reparar o actualizar manualmente el
sensor.
Seleccionar una contraseña :

Su contraseña puede contener otros caracteres ASCII común, incluyendo a - z , A - Z , 0 - 9 , caracteres de símbolos
Quedan 2 días
comunes como !@#$% , y espacios.
ESTABLECER UNA CONTRASEÑA
DURANTE LA INSTALACIÓN
Al ejecutar el comando de licencia como parte de la instalación:
1. Incluir el parámetro --password:
sudo /Library/CS/falconctl license 0123456789ABCDEFGHIJKLMNOPQRSTUV-WX --password
2. Cuando se le solicite, ingrese la contraseña de su sensor.
3. Cuando se le solicite, confirme la contraseña de su sensor.
DESPUÉS DE LA INSTALACIÓN
Ejecute este comando desde la Terminal:
sudo /Library/CS/falconctl installguard
CAMBIAR O ELIMINAR UNA CONTRASEÑA EXISTENTE
No puede cambiar o eliminar directamente una contraseña existente. Debe desinstalar y reinstalar el sensor.
1. Desinstale el sensor con su contraseña existente.
2. Vuelva a instalar el sensor con la nueva contraseña o sin contraseña.

Quedan 2 días
ACTUALIZAR UN SENSOR CON LA PROTECCIÓN DE DESINSTALACIÓN
ACTUALIZACIÓN EN LA NUBE
Si actualiza sus sensores a través de Falcon, sus sensores protegidos contra la desinstalación se actualizan al igual que los
sensores sin contraseña. Este es el método de actualización del sensor más común.
ACTUALIZACIÓN MANUAL
Si administra las actualizaciones del sensor fuera de Falcon, debe descargar manualmente el sensor con su contraseña. Esta
situación solo se aplica si ha llegado a un acuerdo específico con CrowdStrike sobre las actualizaciones de sus sensores.
1. Descargue el sensor:
sudo /Library/CS/falconctl unload --password
2. Cuando se le solicite, ingrese su contraseña para continuar.
3. Instale la versión más nueva del sensor Falcon para Mac.
RESTABLECER UNA CONTRASEÑA PERDIDA
Si pierde la contraseña de un host, póngase en contacto con Soporte para restablecer la contraseña. Un usuario con el rol de
administrador de Falcon (o equivalente) debe enviar la AID o el nombre del host a nuestro equipo de soporte.
INSTALACIÓN AUTOMATIZADA PROTEGIDA POR CONTRASEÑA
En lugar de ingresar la contraseña del sensor en la línea de comando en el momento de la instalación, puede crear un script
para proporcionar la contraseña falconctl . Por ejemplo, siga un proceso como este para usar Python:
1. Cree un script llamado (por ejemplo) falcon_password.py .

Quedan 2 días
2. Agregue el siguiente contenido al script de Python:
#!/usr/bin/env pythonfrom __future__ import print_function
password = "examplepass"
try:
while True:
print(password)
except IOError:
pass
3. Canalice la salida del script a falconctl :.
/falcon_password.py | sudo /Library/CS/falconctl installguard
Instalación del sensor en una plantilla de máquina virtual
Siga estos pasos para configurar una plantilla de máquina virtual con un sensor Falcon.
Estos pasos son necesarios para que cada VM creada a partir de la plantilla tenga una ID de agente (AID) única. De
lo contrario, la consola Falcon mostrará la actividad de todos estos hosts como si la actividad viniera de un solo
host.
1. Instale el sensor normalmente.
2. Abre una terminal.
3. Ejecute este comando para descargar (detener) el sensor:

Quedan 2 días
Sensor versión 5.10.9003 y posterior:
Con la protección de desinstalación y mantenimiento habilitada: sudo /Library/CS/falconctl unload --maintenance-token
Con la protección de desinstalación y mantenimiento deshabilitada: sudo /Library/CS/falconctl unload
Cuando se le solicite, ingrese su token de mantenimiento para continuar.
Sensor versión 3.10.6103–4.28.8907:
Sin contraseña: sudo /Library/CS/falconctl unload
Con una contraseña: sudo /Library/CS/falconctl unload --password
Cuando se le solicite, ingrese su contraseña para continuar.
Sensor versión 3.9 y anterior: sudo sh /Library/CS/unload.sh
4. Ejecute ambos comandos para eliminar los archivos utilizados para asociar el AID del host:
sudo rm /Library/CS/registry.base
sudo rm /Library/CS/registry.tdb
5. Apaga la máquina virtual.
6. Use su software de virtualización para convertir la VM en una imagen de plantilla.
Cuando cada VM creada a partir de esta plantilla se conecta por primera vez a la nube CrowdStrike, automáticamente
asignamos a la VM un AID único.
MODIFICAR SU PLANTILLA DE VM
Si modifica su plantilla más tarde, asegúrese de que su plantilla no se conecte a la nube CrowdStrike mientras el sensor esté
Quedan 2 días
instalado. Siga estos pasos para que su plantilla no tenga asignada una AID.
1. Desinstale el sensor antes de habilitar la red en la plantilla.
2. Modifique su plantilla según sea necesario.
3. Inhabilite las redes en su plantilla nuevamente.
4. Instale el sensor Falcon en su plantilla.
5. Haga una instantánea de su plantilla de VM y clónela según sea necesario.
Quedan 2 díasDesinstalar el Falcon Sensor para Mac
Sensor versión 5.10.9003 y posterior
Mueva el host a una política de actualización del sensor con Desinstalar y la protección de mantenimiento desactivada, luego
desinstale el sensor. Para obtener más información, lea nuestra Guía de grupos y políticas .
Ejecute este comando en una línea de comando:
Con la protección de desinstalación y mantenimiento deshabilitada: sudo /Library/CS/falconctl uninstall
Con la protección de desinstalación y mantenimiento habilitada: sudo /Library/CS/falconctl uninstall --maintenance-token
Si el sensor está fuera de línea y la protección de desinstalación y mantenimiento está habilitada, use el botón Revelar
token de mantenimiento en la página de administración de host para obtener el token de un solo uso requerido para
desinstalar el sensor. Ingrese este token cuando se lo solicite falconctl .
Si el sensor está fuera de línea y el modo de mantenimiento masivo está habilitado, revele el token de mantenimiento
masivo dentro de la política. Ingrese este token cuando falconctl se lo solicite.
Sensor versión 3.10 y posterior
Ejecute este comando en una línea de comando:
1. Sin contraseña: sudo /Library/CS/falconctl uninstall
2. Con una contraseña: sudo /Library/CS/falconctl uninstall --password
Quedan 2 díasSolución de problemas de una instalación
Verifique que el sensor aparezca en la consola Falcon
Una vez que se instala el sensor, el host se conecta a la consola Falcon. Puede confirmar la instalación de un sensor revisando
sus hosts.
Para ver una lista completa de los sensores recién instalados, use el Informe del sensor en la consola Falcon.
Verifique que el sensor esté funcionando
Para validar que el sensor Falcon para Mac se está ejecutando en un host, ejecute este comando en una terminal:
sysctl cs.
El resultado muestra una lista de detalles sobre el sensor, incluida su ID de agente (AID), versión, ID de cliente y más.
Verifique que los componentes del sensor estén instalados
Para ver una lista de las extensiones de kernel instaladas con el sensor CrowdStrike, ejecute este comando en una terminal:
kextstat | grep crowd
La salida muestra la com.crowdstrike.sensor extensión del kernel:
190 0 0xffffff7f8351e000 0xef000 0xef000 com.crowdstrike.sensor (53.03) F356DB5C-4044-3DD9-810E-0620678E4A20 <189 43 7 5
4 3 2
Quedan 2 días 1>
Si las extensiones del núcleo no se instalaron, verifique que las extensiones del núcleo estén aprobadas.
Quedan 2 díasSolución de problemas generales del sensor
Verifique que el sensor esté conectado a la nube
Sensor versión 4.18.8013 y posterior:
1. Ejecute este comando de terminal para determinar si el host puede conectarse a la nube:
sudo /Library/CS/falconctl stats
2. En la salida, busque la sección Información de la nube. Un valor de State: connected indica que el host está conectado a
la nube CrowdStrike. Cualquier otro resultado indica que el host no puede conectarse a la nube CrowdStrike. Revise
nuestros Requisitos de red y verifique la configuración de su red.
Cloud Info
IP: ts01-b.cloudsink.net
Port: 443
State: connected Cloud Activity
Attempts: 1
Connects: 1
3. En la salida, busque la sección Eventos enviados y el evento SensorHeartbeatMacV4. Asegúrese de que los latidos del
sensor se envíen cada dos minutos. Verifica que la conexión se establezca y negocie con la nube.
Events Sent 1m 5m 1h 4h 8h 12h 1d
SensorHeartbeatMacV4 1 3 30 121 167 167 167
4. En la salida, busque las secciones Sumas de eventos y Sumas de acuse de recibo. Los recuentos de límites ignorados,
Quedan 2 días
reenviados y reenviados deben ser bajos. Si son altos, puede indicar problemas en la conexión a la nube.
Event Sums 1m 5m 1h 4h 8h 12h 1d

Sent 51 141 1855 7872 21333 21333 21333
Received 9 10 76 266 705 705 705
Ignored 0 0 0 0 0 0 0
Resent 16 22 22 22 22 22 22
Resend Limit 0 0 0 0 0 0 0
Overflow 0 0 0 0 0 0 0
Acknowledgement Sums 1m 5m 1h 4h 8h 12h 1d

Sent 7 8 74 264 703 703 703
Received 51 141 1855 7872 21333 21333 21333
Ignored 0 0 0 0 0 0 0
Resent 0 0 0 0 0 0 0
Resend Limit 0 0 0 0 0 0 0
Overflow 0 0 0 0 0 0 0
Sensor versión 4.16.7801 y anterior:
1. Ejecute este comando en una terminal para determinar si el host puede conectarse a la nube:
sysctl comms
2. En la salida, busque esta línea:
cs.comms.cloud_connection_state:
Un valor de 102 indica que el host está conectado directamente a la nube CrowdStrike. Un valor de 126 indica que el host está
conectado a la nube CrowdStrike a través de un proxy.
Cualquier otro resultado indica que el host no puede conectarse a la nube CrowdStrike. Revise nuestros Requisitos de red y
verifique la configuración de su red.
CORTAFUEGOS DE PUNTO FINAL
Si está utilizando un firewall de punto final en su host, debe configurarse para permitir el acceso a los dominios CrowdStrike.
Quedan 2 días
Los clientes han informado que estos productos requieren una configuración adicional cuando se usan con el sensor Falcon:
Ad-Aware Pro Security
Avast! Seguridad de internet
AVG Internet Security
Bullguard Internet Security
Dr. Web Security Space
MyInternetSecurity Preventon A / V + Firewall
No amenazar la seguridad de Internet
VIPRE Internet Security
ZoneAlarm Internet Security Suite
Chili internet Security v 19.4.0.239
ESET Node32 Smart Security v 9.0.349.0
BITDEFENDER Total Security 2016 v 20.0.23.1252 / 20.0.24.1290
Trustport Internet Security v 2015 15.0.4.5437
Verifique que los componentes del sensor interoperen:
VERIFIQUE LOS RETRASOS EN LA COLA:
1. Ejecute el siguiente comando varias veces durante 5 minutos para ver la profundidad de la cola actual. Una profundidad
Quedan 2 días
de la cola superior a 300 durante un período de 5 minutos puede indicar que el sensor se está quedando atrás. Tenga en
cuenta que no es raro (especialmente al inicio) tener una explosión de veinte a treinta mil eventos).
sysctl cs.queue.queue_depth
2. Ejecute el siguiente comando para ver la profundidad de la cola del puente. Al final de la salida están los valores del
puente. Los valores del kernel deben coincidir con los valores de usuario correspondientes. Una gran diferencia es una
indicación de que el procesamiento se está quedando atrás. El valor del tamaño de la cola del evento aquí debe ser
inferior a 100.
sudo /Library/CS/falconctl stats
Verifique que la solicitud sobre ejecutables se responda a tiempo desde la

nube
Ejecute el siguiente comando:
sysctl cs.block_wait
Los valores en receiver_called y receiver_satisfied deberían coincidir o casi coincidir. Una diferencia entre estos valores puede
indicar un retraso o una falla para que el sensor obtenga una respuesta de la nube sobre un ejecutable. En estas situaciones,
es posible que el usuario final note una desaceleración del sistema.
Determinar si los procesos fueron bloqueados
Ejecute los siguientes comandos:
sysctl cs.kill_process
sysctl
Quedan 2 días cs.block_wait.filter_true
Los números resultantes indican la cantidad de veces que se bloqueó un ejecutable o se cerró un proceso en ejecución. Para
más detalles sobre lo que fue bloqueado o asesinado, consulte la consola Falcon.
Quedan 2 díasRegistros
Proporcionar registros a nuestro equipo de soporte puede ayudar a diagnosticar problemas con los sensores. Los registros se
almacenan utilizando la interfaz de registro unificada de Apple y están bajo sus respectivos identificadores de proceso. Para
ver o transmitir los registros de las últimas veinte horas:
$ log show --predicate 'subsystem == "com.crowdstrike.falcond"' --last 20h
Consulte la página del manual de registro para obtener detalles sobre la transmisión, el formateo y la búsqueda de registros.
Contenido de registro normal
Un registro de inicio normal incluye mensajes similares a estos:
El sensor se está iniciando.
El sensor está localizando e inicializando la configuración.
El sensor está verificando las comunicaciones (ya sea para usar proxy o no y en qué host / puerto).
El sensor se conecta y configura SSL.
El sensor se conectó y está enviando su primer mensaje a la nube CrowdStrike.
El sensor recibió una respuesta de la nube. Todas las tareas de inicio están completas.
Quedan 2 díasApéndice A - Direcciones IP
IP comerciales en la nube
Si está utilizando GovCloud, consulte Falcon en las direcciones IP de GovCloud . Si está utilizando EU Cloud, vea Falcon en las
IP de Cloud de la UE .
Puede usar estas direcciones IP para incluir en la lista blanca el tráfico SSL por dirección IP en lugar de por FQDN.
Servidores a plazo
Nombre DNS público: ts01-b.cloudsink.net
IPs:
13.56.127.239
13.57.54.63
50.18.194.39
52.52.117.52
52.52.119.33
52.52.149.168
52.52.239.58
52.53.77.89
52.8.134.130
52.8.160.82
Quedan 2 días
52.8.172.89
52.8.173.58
52.8.19.75
52.8.32.113
52.8.45.162
52.8.5.240
52.8.54.244
52.8.61.206
52.9.104.148
52.9.212.176
52.9.77.209
52.9.82.94
52.9.87.98
54.183.105.3
54.183.122.156
54.183.140.32
54.183.142.105
54.183.148.116
54.183.148.43
Quedan 2 días
54.183.234.42
54.183.24.162
54.183.252.86
54.183.34.154
54.183.39.68
54.183.51.31
54.183.51.69
54.183.52.221
54.193.117.199
54.193.27.226
54.193.29.47
54.193.67.98
54.193.87.57
54.193.90.171
54.193.93.19
54.215.131.232
54.215.154.80
54.215.169.199
54.215.169.38
Quedan 2 días
54.215.176.108
54.215.183.157
54.215.226.55
54.219.112.243
54.219.115.12
54.219.137.54
54.219.140.50
54.219.141.250
54.219.145.181
54.219.147.253
54.219.148.161
54.219.149.89
54.219.149.92
54.219.151.1
54.219.151.27
54.219.153.248
54.219.158.53
54.219.159.84
54.219.161.141
Quedan 2 días
54.241.138.180
54.241.146.67
54.241.148.127
54.241.150.134
54.241.161.60
54.241.162.180
54.241.162.64
54.241.164.212
54.241.175.140
54.241.175.52
54.241.179.52
54.241.181.242
54.241.184.161
54.241.185.201
54.241.186.124
54.241.197.58
54.67.105.202
54.67.119.89
54.67.123.150
Quedan 2 días
54.67.123.234
54.67.26.184
54.67.33.233
54.67.48.56
54.67.54.116
54.67.6.201
54.67.68.88
54.67.92.206
54.67.96.255
54.67.99.247
Descargar LFO
Nombre DNS público: lfodown01-b.cloudsink.net
IPs:
13.56.121.58
50.18.198.237
52.8.141.1
54.183.120.141
54.183.135.80
54.183.215.154
Quedan 2 días
54.193.86.245
54.215.170.42
54.219.179.25
54.241.161.242
54.241.181.78
54.241.182.78
54.241.183.151
54.241.183.229
54.241.183.232
54.67.108.17
54.67.114.188
54.67.122.238
54.67.17.131
54.67.24.156
54.67.4.108
54.67.41.192
54.67.5.136
54.67.51.32
54.67.72.218
Quedan 2 días
54.67.78.134
Falcon en las direcciones IP de GovCloud
Si es un cliente de la nube comercial, consulte IP de la nube comercial .
API Falcon
Nombre DNS público: https://falconapi.laggar.gcw.crowdstrike.com
Nombre DNS de Elastic Load Balancer: falconapi-laggar01-g-1129225957.us-gov-west-1.elb.amazonaws.com
IPs:
52.61.62.106
52.222.97.32
52.222.110.105
96.127.102.213
52.222.106.92
52.61.91.152
96.127.111.249
52.61.83.43
52.61.14.36
96.127.61.45
Quedan 2 días
52.61.47.238
52.61.98.65
52.61.51.33
52.61.12.7
96.127.115.124
96.127.77.26
96.127.90.193
52.222.71.144
52.61.53.91
52.61.61.248
2620: 108: D00F :: 34de: 6a5c
2620: 108: D00F :: 34de: 6e69
2620: 108: D00F :: 34de: 4790
2620: 108: D00F :: 343d: 0c07
2620: 108: D00F :: 343d: 0e24
2620: 108: D00F :: 343d: 2fee
2620: 108: D00F :: 343d: 3321
2620: 108: D00F :: 343d: 355b
2620: 108: D00F :: 343d: 3df8

Quedan 2 días
2620: 108: D00F :: 343d: 532b
2620: 108: D00F :: 343d: 5b98
2620: 108: D00F :: 343d: 6241
2620: 108: D00F :: 607f: 66d5
2620: 108: D00F :: 607f: 6ff9
2620: 108: D00F :: 607f: 737c
2620: 108: D00F :: 607f: 3d2d
2620: 108: D00F :: 607f: 4d1a
2620: 108: D00F :: 607f: 5ac1
Falcon UI
Nombre DNS público: https://falcon.laggar.gcw.crowdstrike.com
Nombre DNS de Elastic Load Balancer: laggar-falconui01-g-245478519.us-gov-west-1.elb.amazonaws.com
IPs:
96.127.58.128
52.61.57.16
52.61.46.226
52.61.68.8
52.61.66.97
52.61.93.127
Quedan 2 días
96.127.39.199
52.61.14.45
52.61.77.66
52.61.68.44
52.61.49.230
52.222.20.118
52.222.14.13
52.61.29.15
52.61.90.103
52.222.46.86
52,61,66,9
52.61.54.66
52.61.86.16
52.61.96.202
2620: 108: D00F :: 34de: 0e0d
2620: 108: D00F :: 34de: 1476
2620: 108: D00F :: 34de: 2e56
2620: 108: D00F :: 343d: 0e2d
2620: 108: D00F :: 343d: 1d7d

Quedan 2 días
2620: 108: D00F :: 343d: 2ee2
2620: 108: D00F :: 343d: 31e6
2620: 108: D00F :: 343d: 3642
2620: 108: D00F :: 343d: 4209
2620: 108: D00F :: 343d: 4261
2620: 108: D00F :: 343d: 442c
2620: 108: D00F :: 343d: 4408
2620: 108: D00F :: 343d: 4d42
2620: 108: D00F :: 343d: 5610
2620: 108: D00F :: 343d: 5a67
2620: 108: D00F :: 343d: 5d7f
2620: 108: D00F :: 343d: 60ca
2620: 108: D00F :: 607f: 27c7
Manguera de halcón
Nombre DNS público: https://firehose.laggar.gcw.crowdstrike.com
Nombre DNS de Elastic Load Balancer: falconhose-laggar01-g-720386815.us-gov-west-1.elb.amazonaws.com
IPs:
52.61.25.210
96.127.89.44
Quedan 2 días
52.222.108.7
52.61.2.4
52.61.7.132
96.127.98.128
96.127.77.234
96.127.111.3
96.127.108.36
52.61.57.211
52.61.89.212
52.222.14.131
52.61.87.201
52.222.59.20
52.61.60.100
52.61.13.204
52.61.95.243
52.61.55.125
52.61.93.190
52.222.97.81
2620: 108: D00F :: 34de: 6c07

Quedan 2 días
2620: 108: D00F :: 34de: 0e83
2620: 108: D00F :: 34de: 3b14
2620: 108: D00F :: 34de: 6151
2620: 108: D00F :: 343d: 0dcc
2620: 108: D00F :: 343d: 0204
2620: 108: D00F :: 343d: 377d
2620: 108: D00F :: 343d: 39d3
2620: 108: D00F :: 343d: 3c64
2620: 108: D00F :: 343d: 0784
2620: 108: D00F :: 343d: 57c9
2620: 108: D00F :: 343d: 59d4
2620: 108: D00F :: 343d: 5dbe
2620: 108: D00F :: 343d: 5ff3
2620: 108: D00F :: 607f: 6c24
2620: 108: D00F :: 607f: 6f03
2620: 108: D00F :: 607f: 4dea
2620: 108: D00F :: 607f: 6280
Descargar LFO
Nombre DNS público: https://lfodown01-laggar-gcw.cloudsink.net

Quedan 2 días
Nombre DNS de Elastic Load Balancer: ELB-Laggar-P-LFO-DOWNLOAD-1265997121.us-gov-west-1.elb.amazonaws.com
IPs:
52.222.5.255
52.61.82.75
52.222.96.101
96.127.113.82
52.61.56.86
52.61.77.149
52.222.76.145
52.222.48.202
52.222.79.100
96.127.67.59
52.222.47.146
52.61.67.79
52.222.109.240
52.61.75.201
52.222.42.221
52.61.22.52
52.61.25.208
Quedan 2 días
52.61.83.139
52.61.12.4
96.127.84.208
52.61.15.206
2620: 108: D00F :: 34de: 6df0
2620: 108: D00F :: 34de: 2add
2620: 108: D00F :: 34de: 2f92
2620: 108: D00F :: 34de: 30ca
2620: 108: D00F :: 34de: 4c91
2620: 108: D00F :: 34de: 4f64
2620: 108: D00F :: 343d: 0c04
2620: 108: D00F :: 343d: 0fce
2620: 108: D00F :: 343d: 1634
2620: 108: D00F :: 343d: 19d0
2620: 108: D00F :: 343d: 3856
2620: 108: D00F :: 343d: 434f
2620: 108: D00F :: 343d: 4bc9
2620: 108: D00F :: 343d: 4d95
2620: 108: D00F :: 343d: 538b

Quedan 2 días
2620: 108: D00F :: 607f: 7152
2620: 108: D00F :: 607f: 433b
2620: 108: D00F :: 607f: 54d0
Proxy del sensor
Nombre DNS público: https://ts01-laggar-gcw.cloudsink.net
Nombre DNS de Elastic Load Balancer: sensorproxy-laggar-g-524628337.us-gov-west-1.elb.amazonaws.com
IPs:
52.61.9.57
52.61.83.154
52.61.77.158
52.222.88.238
52.61.79.49
96.127.99.184
52.61.56.64
96.127.93.126
96.127.84.121
52.222.93.101
96.127.87.84
52.61.60.160
Quedan 2 días
52.61.17.222
52.61.91.2
52.61.39.242
52.222.112.47
52.61.14.159
52.61.75.52
52.61.22.116
52.61.94.17
96.127.108.32
52.61.2.52
52.222.5.73
52.61.67.36
52.61.29.159
52.61.46.138
52.61.48.55
52.61.45.67
52.61.84.183
52.222.9.132
52.61.9.149
Quedan 2 días
52.61.57.53
52.61.42.7
52.61.48.85
52.61.12.47
96.127.84.6
52.61.30.118
52.222.50.175
52.61.66.117
52.61.43.207
52.61.80.233
52.61.0.222
52.61.45.69
52.222.46.55
96.127.111.252
52.61.11.242
52.61.50.149
96.127.79.217
52.61.33.0
52.61.27.7
Quedan 2 días
52.61.9.241
52.61.64.8
52.61.63.233
52.61.73.17
52.61.44.118
96.127.94.143
96.127.114.88
52.61.34.40
52.61.41.144
52.61.36.126
52.222.26.218
96.127.78.183
52.222.118.98
52.61.35.7
52.61.32.177
52.61.23.238
52.222.75.2
52.61.49.225
52.222.74.53
Quedan 2 días
52.61.96.38
52.61.43.119
96.127.106.86
52.61.93.50
52.61.20.24
96.127.63.238
52.61.91.144
96.127.54.242
52.222.108.82
52.61.35.122
52.61.72.80
52.222.57.109
52.61.50.148
52.222.32.109
52.61.28.59
52.61.63.172
52.61.11.166
52.61.77.105
52.61.34.34
Quedan 2 días
52.222.116.143
52.222.118.71
2620: 108: D00F :: 34de: 6c52
2620: 108: D00F :: 34de: 702f
2620: 108: D00F :: 34de: 748f
2620: 108: D00F :: 34de: 7647
2620: 108: D00F :: 34de: 7662
2620: 108: D00F :: 34de: 1ada
2620: 108: D00F :: 34de: 206d
2620: 108: D00F :: 34de: 2e37
2620: 108: D00F :: 34de: 0549
2620: 108: D00F :: 34de: 32af
2620: 108: D00F :: 34de: 396d
2620: 108: D00F :: 34de: 4a35
2620: 108: D00F :: 34de: 4b02
2620: 108: D00F :: 34de: 0984
2620: 108: D00F :: 34de: 5d65
2620: 108: D00F :: 343d: 00de
2620: 108: D00F :: 343d: 0ba6

Quedan 2 días
2620: 108: D00F :: 343d: 0bf2
2620: 108: D00F :: 343d: 0c2f
2620: 108: D00F :: 343d: 0e9f
2620: 108: D00F :: 343d: 11de
2620: 108: D00F :: 343d: 0234
2620: 108: D00F :: 343d: 1418
2620: 108: D00F :: 343d: 1674
2620: 108: D00F :: 343d: 17ee
2620: 108: D00F :: 343d: 1b07
2620: 108: D00F :: 343d: 1c3b
2620: 108: D00F :: 343d: 1d9f
2620: 108: D00F :: 343d: 1e76
2620: 108: D00F :: 343d: 20b1
2620: 108: D00F :: 343d: 2100
2620: 108: D00F :: 343d: 2222
2620: 108: D00F :: 343d: 2228
2620: 108: D00F :: 343d: 237a
2620: 108: D00F :: 343d: 2307
2620: 108: D00F :: 343d: 247e

Quedan 2 días
2620: 108: D00F :: 343d: 27f2
2620: 108: D00F :: 343d: 2990
2620: 108: D00F :: 343d: 2a07
2620: 108: D00F :: 343d: 2b77
2620: 108: D00F :: 343d: 2bcf
2620: 108: D00F :: 343d: 2c76
2620: 108: D00F :: 343d: 2d43
2620: 108: D00F :: 343d: 2d45
2620: 108: D00F :: 343d: 2e8a
2620: 108: D00F :: 343d: 3037
2620: 108: D00F :: 343d: 3055
2620: 108: D00F :: 343d: 31e1
2620: 108: D00F :: 343d: 3294
2620: 108: D00F :: 343d: 3295
2620: 108: D00F :: 343d: 3840
2620: 108: D00F :: 343d: 3935
2620: 108: D00F :: 343d: 3ca0
2620: 108: D00F :: 343d: 3fac
2620: 108: D00F :: 343d: 3fe9

Quedan 2 días
2620: 108: D00F :: 343d: 4008
2620: 108: D00F :: 343d: 4275
2620: 108: D00F :: 343d: 4324
2620: 108: D00F :: 343d: 4850
2620: 108: D00F :: 343d: 4911
2620: 108: D00F :: 343d: 4b34
2620: 108: D00F :: 343d: 4d69
2620: 108: D00F :: 343d: 50e9
2620: 108: D00F :: 343d: 54b7
2620: 108: D00F :: 343d: 0995
2620: 108: D00F :: 343d: 09f1
2620: 108: D00F :: 343d: 5b90
2620: 108: D00F :: 343d: 5b02
2620: 108: D00F :: 343d: 5d32
2620: 108: D00F :: 343d: 5e11
2620: 108: D00F :: 343d: 6026
2620: 108: D00F :: 607f: 6a56
2620: 108: D00F :: 607f: 6c20
2620: 108: D00F :: 607f: 6ffc

Quedan 2 días
2620: 108: D00F :: 607f: 7258
2620: 108: D00F :: 607f: 36f2
2620: 108: D00F :: 607f: 3fee
2620: 108: D00F :: 607f: 4eb7
2620: 108: D00F :: 607f: 4fd9
2620: 108: D00F :: 607f: 5479
2620: 108: D00F :: 607f: 5406
2620: 108: D00F :: 607f: 5754
2620: 108: D00F :: 607f: 5d7e
2620: 108: D00F :: 607f: 5e8f
2620: 108: D00F :: 34de: 58ee
2620: 108: D00F :: 343d: 4f31
2620: 108: D00F :: 607f: 63b8
IP en la nube de la UE
Servidores a plazo
Nombre DNS público: ts01-lanner-lion.cloudsink.net
IPs:
Quedan 2 días
3.121.187.176
3.121.6.180
3.121.238.86
Descargar LFO
Nombre DNS público: lfodown01-lanner-lion.cloudsink.net
IPs:
18.184.114.155
18.194.8.224
3.121.13.180
Quedan 2 díasRevisión histórica
Versión Fecha de revisión Detalles de revisión Completado por:
1.0 01/02/2016 Versión inicial. Nick Cangie
Se agregó el segundo comando de desinstalación del

1.1 17/05/2016 sensor. Cambio de marca como guía de implementación del Nick Cangie
sensor.
1,2 16/06/2016 Actualización de estilos. Nick Cangie
Agregar instrucciones para la liberación del registro. Se

1.3 06/07/2016 Nick Cangie
agregó el comando CLI para la instalación manual.
2,0 24/10/2016 GA para nueva interfaz de usuario. Nick Cangie
Actualización de salida de kextstat. Eliminando el

2.1 01/04/2017 Nick Cangie
comando pkgutil de la sección de limpieza.
GA para instaladores sin CID. Actualización de salida de

3.0 22/05/2017 Nick Cangie
kextstat.
3.1 18/09/2017 Se eliminaron las referencias de marca a "Falcon Host" Scott P
3.2 20/09/2017 Actualizado para v3.6 del sensor Falcon para Mac Aaron Beck
Se agregó información sobre las instalaciones en macOS

3,3 29/09/2017 Aaron Beck
High Sierra 10.13
3.4 12/05/2017 Ubicación revisada de descargas. Scott P
Guía reorganizada, pasos de plantilla de VM correctos

4.0 4.0 23/01/2018 Scott P
agregados, sistemas operativos compatibles actualizados.
4.1 30/01/2018 Direcciones IP actualizadas Scott P
Quedan 2 días Se agregó la nueva sintaxis falconctl para la versión del

4.2 4.2 01/02/2018 Scott P
sensor 3.10
Se agregó un script de ejemplo para automatizar la

4.3 4.3 05/09/2018 Scott P
instalación protegida por contraseña
Se agregaron direcciones IP y compatibilidad con la

4.4 22/08/2018 Krista A
versión del sensor para Falcon en GovCloud
Se agregó información de soporte de Mojave, se actualizó

4.5 4.5 20/09/2018 Krista A
la información de soporte de El Capitan
4.6 27/11/2018 Se movió El Capitan a sistemas operativos no compatibles Krista A
4.7 01/11/2019 Pasos actualizados de instalación del sensor Justin D
Se revisaron los pasos generales de solución de problemas

4.8 02/02/2019 Justin D
del sensor
4.9 13/03/2019 Se eliminaron las direcciones de nube heredadas Erin S
4.10 13/03/2019 Errores tipográficos Erin S
Instrucciones actualizadas para restablecer la contraseña

4.11 03/04/2019 Erin S
del sensor
4.12 08/05/2019 Falcon agregado para IPs en la nube de la UE Erin S
Comportamiento revisado de aprobación de extensión de

4.13 10/05/2019 Justin D

4falcon Sensor para Mac - Documentación - Apoyo - Halcón

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

4falcon Sensor para Mac - Documentación - Apoyo - Halcón

Cargado por

Copyright:

Formatos disponibles

29/8/2019 Falcon Sensor para Mac | Documentación | Apoyo | Halcón

Guía de implementación de Falcon Sensor para Mac

Versión 4.16 - Última actualización: 13 de junio de 2019

Requisitos del sistema

Verifique que los componentes del sensor interoperen:

Quedan 2 díasRequisitos del sistema

Instalar el sensor Falcon para Mac requiere privilegios elevados.

Sistemas operativos compatibles Sistemas operativos no compatibles

No admitimos hosts que se ejecutan en contenedores, como Docker.

Quedan 2 díasRequisitos de red

El sensor Falcon para Mac admite estos tipos de conexiones proxy:

Auto Proxy Discovery

Configuración automática de proxy (PAC)

Proxy web (HTTP)

CrowdStrike no es compatible con la autenticación de proxy.

Evite la interferencia con la fijación de certificados

URL de la lista blanca

Nube comercial (la mayoría de los clientes):

Halcón para GovCloud:

Utilizamos AWS para algunas comunicaciones entre hosts y la nube CrowdStrike.

Quedan 2 díasInstalación estándar

Quedan 2 díasInstalación del sensor Falcon para Mac

2. Copie su suma de verificación de ID de cliente (CCID) de Hosts> Descargas de sensores .

Haga doble clic en el .pkg archivo.

sudo installer -verboseR -package <installer .pkg> -target /

4. Cuando se le solicite, ingrese las credenciales administrativas para el instalador.

sudo /Library/CS/falconctl license 0123456789ABCDEFGHIJKLMNOPQRSTUV-WX

Este comando es ligeramente diferente si está instalando con la protección de desinstalación.

En este ejemplo, reemplace 0123456789ABCDEFGHIJKLMNOPQRSTUV-WX con su CID.

Aprobar extensiones de kernel

¿Qué sucede si no se aprueban las extensiones del núcleo CrowdStrike?

Esos sistemas no aparecen en la consola Falcon

No verá ningún evento de tales sistemas macOS

Si intenta agregar su CID, es posible que obtenga este error:

Error: System policy prevents loading of CrowdStrike kernel extension ID com.crowdstrike.sensor

Error: This machine is already licensed

ESCENARIO 1: INSTALACIÓN MANUAL DEL SENSOR FALCON

1. Siga los pasos de instalación mencionados anteriormente .

2. Haga clic en Seguridad y privacidad

ESCENARIO 2: EL SISTEMA MACOS SE ADMINISTRA A TRAVÉS DE MDM QUE ADMITE LA

kextstat | grep crowd

Verificación de la instalación del sensor

Desinstalar la protección para el sensor Falcon

Sensor versión 5.10.9003 y posterior

Actualizaciones de sensores con protección de desinstalación habilitada y actualizaciones de nube deshabilitadas

4. Crea un script llamado falcon_maintenance_token.py .

from __future__ import print_function

mtoken = "<your bulk maintenance token here>"

./falcon_maintenance_token.py | sudo /Library/CS/falconctl unload --maintenance-token

sudo installer -verboseR -package <installer .pkg> -target /

Sensor versión 3.10.6103–4.28.8907

Seleccionar una contraseña :

ESTABLECER UNA CONTRASEÑA

Al ejecutar el comando de licencia como parte de la instalación:

1. Incluir el parámetro --password:

sudo /Library/CS/falconctl license 0123456789ABCDEFGHIJKLMNOPQRSTUV-WX --password

2. Cuando se le solicite, ingrese la contraseña de su sensor.

3. Cuando se le solicite, confirme la contraseña de su sensor.

Ejecute este comando desde la Terminal:

sudo /Library/CS/falconctl installguard

CAMBIAR O ELIMINAR UNA CONTRASEÑA EXISTENTE

1. Desinstale el sensor con su contraseña existente.

from future import print_function

#!/usr/bin/env pythonfrom future import print_function