IntermedioCrowdStrikeFalconEDRXDRSOCthreat hunting

CrowdStrike Falcon: Guía Técnica para Analistas SOC

Guía técnica de CrowdStrike Falcon para analistas SOC: arquitectura cloud-native, consola Falcon, detecciones vs incidentes, queries CQL, acciones de respuesta, Falcon X threat intelligence y OverWatch managed hunting.

MalwareIntel Research··13 min lectura
Serie: EDR/XDR Telemetría por Vendor — Parte 3

CrowdStrike en contexto

CrowdStrike es uno de los vendors EDR/XDR dominantes del mercado. Fundada en 2011 por George Kurtz y Dmitri Alperovitch, la compañía ganó visibilidad pública en 2016 cuando investigó el hackeo del Comité Nacional Demócrata (DNC) atribuido a APT28 y APT29. Desde entonces, se ha posicionado como el referente en EDR cloud-native, superando los 100.000 clientes.

Este artículo no es una guía de producto ni marketing. Es un análisis técnico de cómo funciona Falcon por dentro, orientado a analistas SOC que trabajan con la herramienta o la evalúan.

Arquitectura: cloud-native desde el diseño

El agente: Falcon Sensor

El Falcon Sensor es el componente que se instala en cada endpoint. A diferencia de los antivirus tradicionales que dependían de firmas locales y updates periódicos, el sensor de Falcon es un agente ligero que opera como recolector de telemetría y ejecutor de acciones de respuesta.

Características del sensor:

  • Un solo agente, múltiples módulos. El sensor ejecuta todas las funciones de Falcon (EDR, prevención, control de dispositivos, vulnerability management) sin necesidad de agentes separados. Los módulos se activan/desactivan por licencia.
  • Consumo de recursos. El sensor consume típicamente entre 1% y 3% de CPU y entre 40 y 80 MB de RAM en operación normal. Este consumo puede aumentar durante escaneos o recolección de artefactos.
  • Kernel-level hooks. En Windows, el sensor usa un driver de kernel (csagent.sys) para obtener visibilidad de procesos, archivos, registro y red. En Linux, usa eBPF o kernel modules según la distribución y versión del kernel.
  • Updates sin reinicio. Las actualizaciones del sensor no requieren reinicio del endpoint en la mayoría de los casos. Las definiciones de IOAs se actualizan continuamente desde la nube.

Nota sobre el incidente del 19 de julio de 2024: Una actualización defectuosa del Channel File 291 del sensor provocó BSOD masivos en sistemas Windows a nivel global, afectando a aproximadamente 8,5 millones de dispositivos. CrowdStrike implementó posteriormente cambios en su proceso de QA y despliegue escalonado de actualizaciones. Este incidente demostró el riesgo inherente de un agente con acceso al kernel desplegado en millones de endpoints.

Threat Graph: el cerebro de la nube

Toda la telemetría de los sensores se envía al Threat Graph, la base de datos de grafos distribuida de CrowdStrike en la nube. Threat Graph es el motor de correlación que procesa más de un trillón de eventos semanales de todos los clientes de Falcon.

Qué hace Threat Graph:

  • Correlación cross-tenant anonimizada. Si un nuevo malware se detecta en un cliente, los IOCs y patrones de comportamiento se propagan automáticamente a la protección de todos los demás clientes. Sin compartir datos identificativos.
  • Análisis de grafos de relaciones. Threat Graph modela las relaciones entre procesos, archivos, conexiones, usuarios y endpoints como un grafo, permitiendo trazar el recorrido completo de un ataque.
  • Scoring en tiempo real. Cada evento se evalúa en contexto: un PowerShell con parámetros sospechosos ejecutado desde Word en un endpoint donde antes se detectó un email de phishing recibe un score diferente que el mismo PowerShell ejecutado por un admin.

Modelo de cloud: por qué importa

La arquitectura cloud-native de Falcon tiene implicaciones prácticas:

Ventajas. No hay infraestructura on-premise que mantener. Las actualizaciones de detección son inmediatas para todos los clientes. La base de datos de telemetría es centralizada y consultable desde la consola web. El despliegue es rápido (instalar sensor, asignar a grupo, configurar políticas).

Implicaciones. Toda la telemetría sale del endpoint hacia la nube de CrowdStrike. Para organizaciones con requisitos estrictos de soberanía de datos (ENS Alto, ciertos entornos gubernamentales), esto puede ser un bloqueante. CrowdStrike ofrece Falcon GovCloud para entornos FedRAMP, pero no existe un despliegue completamente on-premise.

La consola Falcon: navegación para analistas

Detecciones (Detections)

La cola de detecciones es donde un analista SOC empieza su día. Cada detección incluye:

  • Severity. Critical, High, Medium, Low, Informational. Basada en el tipo de técnica y el contexto.
  • Tactic y Technique. Mapeo directo a MITRE ATT&CK. Falcon fue uno de los primeros vendors en implementar este mapeo de forma nativa.
  • Process Tree. Visualización del árbol de procesos completo, desde el proceso raíz hasta el proceso que generó la detección. Cada nodo muestra PID, usuario, línea de comando, hash.
  • IOA Match. El nombre del Indicator of Attack que disparó la detección. Ejemplo: "Suspicious PowerShell Command" o "BITS Job Persistence".
  • Network Activity. Conexiones de red asociadas al proceso detectado.
  • Recommended Actions. Sugerencias de respuesta basadas en el tipo de detección.

Incidentes (Incidents)

Falcon agrupa automáticamente detecciones relacionadas en incidentes. Un incidente representa un ataque completo (o un intento) en un endpoint o usuario.

  • Incident Score. Puntuación de 0 a 100 que refleja la severidad agregada de todas las detecciones del incidente.
  • Incident Graph. Visualización gráfica del ataque completo: procesos, archivos, conexiones, registro, usuarios involucrados, todo conectado temporalmente.
  • Tácticas cubiertas. Las fases ATT&CK que el ataque tocó. Un incidente que cubre Initial Access, Execution, Persistence y C2 es más preocupante que uno que solo muestra Execution.

Event Search (Hunting)

Event Search (anteriormente conocido como parte de Falcon Insight) permite buscar en la telemetría raw usando CQL (CrowdStrike Query Language).

Sintaxis CQL básica:

Buscar procesos PowerShell con ejecución codificada:

event_simpleName=ProcessRollup2
| FileName=powershell.exe
| CommandLine=*-enc*
| select(aid, ComputerName, UserName, CommandLine, Timestamp)

Buscar conexiones de red a un rango de IPs sospechosas:

event_simpleName=NetworkConnectIP4
| RemoteAddressIP4=185.220.*
| select(aid, ComputerName, RemoteAddressIP4, RemotePort, ContextProcessId)

Buscar escritura de ejecutables en directorio temporal:

event_simpleName=PeFileWritten
| FilePath=*\\Temp\\*
| select(aid, ComputerName, FileName, FilePath, SHA256HashData, ContextProcessId)

Tipos de eventos principales en CQL:

EventoDescripción
ProcessRollup2Creación de proceso con metadatos completos
PeFileWrittenEscritura de ejecutable PE en disco
NetworkConnectIP4Conexión TCP/UDP a IP
DnsRequestQuery DNS
AsepValueUpdateModificación de clave de autostart (registro)
ScriptControlScanInfoEjecución de script detectada
ModuleWrittenDLL escrita en disco
SuspiciousRawDiskReadLectura directa de disco (posible credential dumping)

Real Time Response (RTR)

RTR permite ejecutar comandos directamente en un endpoint remoto a través de la consola Falcon. Capacidades según nivel de acceso:

RTR básico (Read-only):

  • filelist: Listar archivos en un directorio
  • ps: Listar procesos en ejecución
  • netstat: Conexiones de red activas
  • reg query: Consultar valores del registro
  • getsid: Obtener SID del usuario

RTR activo (con permisos de respuesta):

  • kill: Terminar un proceso
  • rm: Eliminar un archivo
  • reg set/delete: Modificar/eliminar valores del registro
  • put: Subir un archivo al endpoint (scripts de remediación)
  • run: Ejecutar scripts predefinidos aprobados
  • zip: Comprimir archivos para recolección forense

RTR admin (máximo privilegio):

  • runscript: Ejecutar scripts PowerShell/Bash personalizados
  • mount: Montar/desmontar volúmenes
  • Acceso shell completo

Detección: el modelo IOA

CrowdStrike usa el término IOA (Indicator of Attack) para describir sus reglas de detección basadas en comportamiento. A diferencia de los IOCs (Indicators of Compromise) que buscan artefactos específicos (un hash, una IP), los IOAs buscan patrones de comportamiento que indican una técnica de ataque, independientemente del malware utilizado.

Categorías de IOA

IOAs de exploits. Detectan explotación de vulnerabilidades en aplicaciones como navegadores, Office, Adobe Reader. Monitorean comportamiento post-exploit (shellcode execution, ROP chains).

IOAs de malware. Detectan ejecución de malware conocido y desconocido por su comportamiento: dropper que escribe payload, payload que establece persistencia, payload que contacta C2.

IOAs de herramientas de ataque. Detectan uso de herramientas como Mimikatz, Cobalt Strike, Rubeus, SharpHound. No por hash (trivial de evadir) sino por comportamiento: acceso a LSASS memory, Kerberoasting, DCSync.

IOAs de técnicas. Detectan técnicas ATT&CK independientemente de la herramienta: process injection (T1055), credential dumping (T1003), lateral movement via WMI (T1047), scheduled task persistence (T1053).

IOAs personalizados

Falcon permite crear IOAs personalizados (Custom IOAs) usando el editor de la consola. Se definen como reglas de coincidencia sobre tipos de evento específicos:

  • Tipo de evento: Process Creation
  • Condición: CommandLine contains "certutil" AND CommandLine contains "-urlcache"
  • Severidad: High
  • Acción: Detect (o Prevent para bloqueo)

Esto permite a los equipos de detection engineering crear reglas específicas para amenazas que afectan a su sector o su entorno.

Falcon X: inteligencia de amenazas integrada

Falcon X es el módulo de threat intelligence de CrowdStrike. Proporciona contexto sobre las amenazas detectadas directamente en la consola de detecciones.

Capacidades:

  • Sandbox analysis. Envío automático de archivos sospechosos a un sandbox cloud para análisis dinámico. El resultado (comportamiento observado, red, archivos creados, técnicas ATT&CK detectadas) se asocia a la detección.
  • Actor profiles. Base de datos de threat actors con TTPs, campañas recientes, sectores objetivo, y indicadores asociados. CrowdStrike usa su propia taxonomía de nombres de actores basada en animales (Bear = Rusia, Panda = China, Kitten = Irán, Chollima = DPRK, Spider = eCrime).
  • Indicadores de amenaza. IOCs publicados por el equipo de inteligencia de CrowdStrike, correlacionados con las detecciones de tu entorno.
  • Vulnerability intelligence. Información sobre vulnerabilidades explotadas activamente (KEV) y su relación con actores y campañas.

Niveles de Falcon X:

MóduloIncluye
Falcon X (base)Sandbox auto, IOCs de inteligencia, contexto de detección
Falcon X ReconMonitorización de la dark web, filtraciones de credenciales, menciones de tu organización
Falcon X PremiumActor profiles completos, reportes de inteligencia, indicadores curados

OverWatch: managed threat hunting

CrowdStrike Falcon OverWatch es un servicio de managed threat hunting operado por analistas de CrowdStrike. No es un MDR completo (no cubre toda la respuesta), sino hunting proactivo 24/7.

Cómo funciona:

Los analistas de OverWatch buscan continuamente en la telemetría de los clientes (con su consentimiento y dentro del Threat Graph) patrones que las detecciones automatizadas no capturan. Cuando encuentran actividad sospechosa, envían una notificación al equipo del cliente con:

  • Descripción de la actividad observada
  • Procesos, archivos y conexiones involucradas
  • Evaluación de severidad
  • Recomendaciones de respuesta

OverWatch no sustituye un SOC. Proporciona una capa adicional de hunting que complementa las detecciones automatizadas. El equipo del cliente sigue siendo responsable de la investigación y respuesta.

Charlotte AI: el asistente generativo

Charlotte AI es el asistente de inteligencia artificial generativa integrado en la consola Falcon. Permite realizar consultas en lenguaje natural sobre la telemetría y las detecciones:

  • "Show me all PowerShell executions on server endpoints in the last 24 hours"
  • "What lateral movement was detected in this incident?"
  • "Summarize the threat actor behind this detection"

Charlotte AI traduce las consultas a CQL internamente y presenta resultados formateados. Es útil para analistas que no dominan CQL, pero no sustituye el conocimiento de la herramienta. Las consultas complejas o con matices de contexto aún requieren CQL manual.

Fortalezas y debilidades

Fortalezas técnicas

Telemetría rica y retención. Falcon captura telemetría completa de procesos (incluyendo líneas de comando), archivos, red, registro y módulos. La retención estándar es de 7 días de telemetría raw (ampliable a 90 días o más con licencias superiores).

Velocidad de detección. La arquitectura cloud-native permite que una detección en un cliente se traduzca en protección inmediata para todos los demás. El tiempo entre descubrimiento de nueva amenaza y protección global es significativamente menor que con soluciones on-premise.

Threat intelligence integrada. El equipo de inteligencia de CrowdStrike (CrowdStrike Intelligence) es uno de los más reconocidos de la industria. La integración nativa de Falcon X en la consola de detecciones proporciona contexto inmediato sin saltar entre herramientas.

Ecosistema de API. API REST completa para automatización, integración con SOAR, y extracción de datos. El Falcon Data Replicator (FDR) permite exportar telemetría raw a un SIEM externo para retención y correlación adicional.

Debilidades y consideraciones

Cloud-only. No existe opción on-premise. Para organizaciones con requisitos estrictos de soberanía de datos que prohíben enviar telemetría fuera de su jurisdicción, Falcon puede no ser viable (excepto Falcon GovCloud para entornos FedRAMP).

Coste. Falcon es consistentemente uno de los EDR más caros del mercado. El precio por endpoint escala con los módulos activados y el nivel de licencia. Las funcionalidades avanzadas (Falcon X Premium, OverWatch, LogScale) son complementos con coste adicional significativo.

CQL no es estándar. A diferencia de KQL (usado por Microsoft en múltiples productos) o EQL/ES|QL (Elastic), CQL es propietario de CrowdStrike. Las queries no son portables a otras herramientas. Si migras de Falcon, todas tus queries de hunting personalizadas se pierden.

Dependencia del kernel driver. El incidente del 19 de julio de 2024 evidenció que un error en el componente de kernel puede tener impacto catastrófico a escala global. CrowdStrike ha mejorado sus procesos de validación, pero el riesgo inherente de un driver de kernel con actualización automática persiste.

Caso de uso: detectar Cobalt Strike beacon

Un escenario común que demuestra las capacidades de Falcon:

Fase 1: Initial Access. Un usuario recibe un email con un documento Word malicioso. Falcon X identifica el archivo como sospechoso por su estructura (macro con código ofuscado) antes de que el usuario lo abra.

Fase 2: Execution. Si el usuario abre el documento y habilita macros, Falcon detecta la cadena: WINWORD.EXE → cmd.exe → powershell.exe con un IOA de "Office Application Spawning Command Shell". La detección incluye la línea de comando completa del PowerShell, que contiene el stager de Cobalt Strike.

Fase 3: C2. Si la prevención no bloqueó la ejecución, Falcon detecta el beacon de Cobalt Strike por su comportamiento de red: beaconing periódico con jitter a una IP/dominio, malleable C2 profile patterns, y pipe communication para inyección en otros procesos.

Fase 4: Respuesta. El analista SOC puede desde la consola aislar el endpoint de la red (manteniendo la conexión con Falcon), matar el proceso beacon, recopilar artefactos forenses via RTR, y verificar si hay movimiento lateral usando Event Search para buscar actividad relacionada en otros endpoints.

El incidente en Falcon muestra todo esto como un Incident Graph interactivo, con cada fase del ataque mapeada a tácticas ATT&CK y timestamps precisos.

Integración con MITRE ATT&CK Evaluations

CrowdStrike ha participado en múltiples rondas de MITRE ATT&CK Evaluations. Los resultados consistentemente muestran alta cobertura tanto en telemetría como en detección a nivel de técnica.

Los puntos relevantes para analistas:

  • Las detecciones en Falcon se mapean directamente a tácticas y técnicas ATT&CK en la consola, facilitando la comunicación con otros equipos que usen el mismo framework.
  • Falcon genera tanto detecciones automáticas como telemetría consultable, lo que significa que incluso para técnicas donde no hay alerta automática, un threat hunter puede encontrar la evidencia en Event Search.
  • La cobertura de MITRE ATT&CK no es sinónimo de detección perfecta en producción. Las evaluaciones se realizan en entornos controlados sin ruido de producción ni evasión activa por parte del atacante.

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.