X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >

FAQ CrowdStrike Falcon Malquery

Quer ver a plataforma Falcon da CrowdStrike em ação? Comece com uma avaliação gratuita do antivírus de última geração:

O que é o Falcon Search Engine?

O Falcon Search Engine® da CrowdStrike é um mecanismo de busca rápido e massivo para cibersegurança. A CrowdStrike® construiu o maior banco de dados de ameaças pesquisáveis ​​do indústria de cibersegurança, ingerindo mais de 100 bilhões de eventos de segurança por dia e indexando 400 milhões de arquivos maliciosos que podem ser pesquisados ​​em tempo real. Através de uma abordagem de indexação exclusiva, o mecanismo de busca Falcon permite que os clientes aproveitem os dados para acelerar e melhorar significativamente suas funcionalidades de pesquisa de malware no centro de operações de segurança (SOC) e para profissionais de segurança em geral.

Por que a CrowdStrike lançou o Falcon Search Engine?

Se mover mais rápido do que os adversários e entender as ameaças em contexto é fundamental para obter a vantagem tática necessária para defender as organizações dos sofisticados ataques de hoje. A realidade para os profissionais de segurança hoje é que suas ferramentas de pesquisa são muito lentas. Pode levar horas ou dias para se entender um ataque e tomar uma ação protetora. Eles precisam lidar com consultas lentas, conjuntos de dados incompletos e desarticulados e muitos falsos positivos, dificultando a compreensão e a interrupção estratégica de ameaças. Os mecanismos de busca revolucionaram a velocidade com que a pesquisa é conduzida em todos os outros aspectos da vida moderna, e o Falcon Search Engine faz o mesmo para a cibersegurança.

Por que o Falcon Search é o mecanismo de busca mais rápido para a cibersegurança?

O Falcon Search Engine é desenvolvido com base em uma tecnologia de indexação (patente pendente). Essa indexação superior garante o acesso a mais dados brutos, sem comprometer o conteúdo, enquanto segue fornecendo resultados de pesquisa em tempo real. O índice é armazenado em um cluster de índice altamente escalonável e de vários nós, com uma estratégia de sharding baseada no período de tempo, fornecendo resultados de pesquisa extremamente rápidos com base no conteúdo do arquivo - não apenas em metadados ou tags. Essa indexação exclusiva reduz o tempo de pesquisa de horas, dias ou semanas para minutos e milissegundos.

O que é o Falcon MalQuery™ e qual sua relação com o Falcon Search Engine?

O CrowdStrike Falcon MalQuery é o componente de busca e inteligência de malware do Falcon Search Engine. Ele foi projetado para permitir que pesquisadores de malware, equipes de análise forense de segurança, resposta a incidentes e de inteligência contra ciberameaças encontrem amostras de malware históricas e relacionadas para futuras investigações.

O Falcon MalQuery é uma ferramenta avançada de busca de malware baseada em nuvem, projetada para permitir que profissionais de segurança e pesquisadores de ameaças pesquisem uma enorme coleção de amostras de malware com velocidade e eficiência. No centro do Falcon MalQuery está uma coleção massiva de vários anos de amostras de malware indexadas de forma exclusiva para busca rápida.

Como uso o Falcon MalQuery?

O Falcon MalQuery é uma aplicação baseada em nuvem que é acessada através do console de gerenciamento Falcon. É oferecido como um serviço e, como tal, um usuário precisa de uma assinatura válida. Uma demonstração de como o Falcon MalQuery funciona em operação está disponível no CrowdStrike Tech Center.

Quem usa o Falcon MalQuery?

O serviço Falcon MalQuery foca em acelerar e melhorar as funcionalidades de pesquisa de malware no centro de operações de segurança (SOC) moderno, de última geração. Ele foi projetado para habilitar e apoiar uma variedade de funções de segurança, como busca de malware, análise forense de segurança, resposta a incidentes e inteligência contra ciberameaças.

Que informações o MalQuery gera para o usuário?

O Falcon MalQuery é um mecanismo de busca altamente eficiente que economiza tempo dos pesquisadores e outros profissionais de segurança, fornecendo acesso instantâneo a informações vitais, incluindo:

  • Sequências ou combinações de padrões de bytes, incluindo ASCII e Unicode
  • Pesquisas de arquivo/amostra com base em regras YARA em todo o histórico dentro do conjunto de amostras - incluindo a capacidade de baixar amostras correspondentes selecionadas
  • Resultados como hashes relacionados, disposição de malware, atributos de arquivo, família de malware e atribuição de adversários com links para os relatórios de inteligência do Falcon X Premium™ apropriados.

Qual a diferença entre o Falcon MalQuery e outras ferramentas e soluções para pesquisas de malware?

Existem vários diferenciadores chave:

  • Velocidade: O Falcon MalQuery é o mecanismo de busca de malware mais rápido da indústria de segurança - acima de 250 vezes mais rápido que outras ferramentas de pesquisa. Isso é possível graças à tecnologia de indexação "n-gram" (patente pendente).
  • Clareza: Os resultados de busca vêm dos maiores e mais completos conjuntos de malwares disponíveis na indústria. O Falcon MalQuery indexa tanto os metadados do arquivo quanto seu conteúdo real para garantir que todos os dados estejam acessíveis para o usuário. Em seguida esses resultados são ampliados com inteligência de ameaças, esclarecendo a gravidade e o contexto da ameaça.
  • Proteção: Resultados de pesquisa mais rápidos e precisos permitem que os profissionais de segurança criem melhores regras de proteção. Essas regras capacitam os profissionais de segurança a alternar e investigar rapidamente novas ameaças, além de permitir a implementação de regras de proteção para outras soluções de segurança que você possa ter à sua disposição, garantindo uma defesa proativa contra as ameaças de amanhã.

Que tipos de pesquisa o Falcon MalQuery suporta?

O Falcon MalQuery suporta os seguintes tipos de pesquisa:

  • Fuzzy searching (Pesquisa difusa): é suportado para sequências de bytes ou combinações de padrões de bytes, incluindo sequências ASCII e Unicode.
  • Exact searches (Pesquisas exatas): semelhantes às pesquisas "difusas", mas validam todos os resultados antes de devolvê-los ao usuário.
  • YARA hunting (Investigação YARA): permite que os usuários executem pesquisas de arquivo/amostra com base em regras YARA com funcionalidades completas. Essa funcionalidade é ordens de magnitude mais rápida que outros mecanismos de busca, porque utiliza a indexação exclusiva do CrowdStrike Falcon Search Engine, para que as consultas levem alguns segundos ou minutos com o Falcon MalQuery, em vez de horas como com outros mecanismos de busca.

Quais tipos de arquivo são suportados no Falcon MalQuery?

O Falcon MalQuery é agnóstico ao tipo de arquivo e novos tipos de arquivos podem ser adicionados conforme necessário. Tipos de arquivo atualmente indexados incluem: CDF (Composite Document Files), Java compilada, Dalvik Dex, Microsoft Word (DOC, DOCX), ELF de 32/64 bits, executáveis ​​(EXE), EMAIL, documentos HTML, Arquivo do processador Hangul Word (HWP), dados de arquivo Java, atalho do Windows (LNK), Mach-0, PDF, PE32, PE64, script Perl, PowerPoint (PPT, PPTX), script Python, compilação de bytes Python, Rich Text (RTF), ASCII Text, Microsoft Excel (XLS, XLSX), Shockwave Flash (SWF).

O Falcon MalQuery é oferecido como um serviço independente?

Sim, você não precisa usar a solução de proteção de endpoint CrowdStrike Falcon para usar o Falcon MalQuery. Há um valor de assinatura anual e os clientes podem acessar o serviço usando a aplicação Falcon MalQuery localizada no console de gerenciamento Falcon. Para obter informações sobre como assinar, ligue para 1.888.512.8906 ou entre em contato pelo email [email protected]

Como o Falcon MalQuery é licenciado?

A licença do Falcon MalQuery é baseada em assinatura, com base no número de buscas de malware realizadas por mês. Para mais informações, por favor, entre em contato conosco.