Navigate in Falcon Console
| طريقة | مسار الوصول | المتطلبات |
|---|---|---|
| Falcon Console | https://falcon.crowdstrike.com → Host Management → Hosts → Actions → Real Time Response | ترخيص Falcon صالح (Insight/Pro/Enterprise)، RTR مُمكّن |
| Falcon API | نقاط نهاية REST API للوصول البرمجي | اعتمادات عميل API، رمز OAuth2 |
| Windows Sensor | Deploy via GPO/SCCM: WindowsSensor.exe /install /quiet /norestart CID=YOUR_CID | Windows 7 SP1+ / Server 2008 R2+ |
| macOS Sensor | sudo installer -pkg FalconSensor.pkg -target / | macOS 10.12+، الوصول الكامل للقرص |
| Linux Sensor | sudo yum install falcon-sensor.rpm && sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID | Kernel 2.6.32+، RHEL/Ubuntu/SUSE |
# Navigate in Falcon Console
Configuration → Response Policies → Real Time Response → Enable
# Start Linux sensor after installation
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# Verify macOS sensor
sudo /Applications/Falcon.app/Contents/Resources/falconctl stats
```## التثبيت والوصول
CrowdStrike Falcon RTR ليس أداة مستقلة بل ميزة مدمجة في منصة Falcon. طرق الوصول:
| أمر | وصف |
|---------|-------------|
| `cd [path]` | Change current directory (e.g., `cd C:\Users\Admin\Desktop`) |
| `pwd` | طباعة مسار الدليل العامل الحالي |
| `ls [path]` | قائمة محتويات الدليل بالتفاصيل |
| `ls -la [path]` | قائمة جميع الملفات بما في ذلك الملفات المخفية بالتنسيق الطويل |
| `ls -R [path]` | سرد محتويات الدليل بشكل متكرر |
| `cat [file]` | Display file contents (e.g., `cat C:\Windows\System32\drivers\etc\hosts`) |
| `cat -n 100 [file]` | عرض أول 100 سطر من الملف |
| `filehash [file]` | احسب تجزئات MD5 وSHA1 وSHA256 للملف |
| `ps` | قائمة جميع العمليات الجارية مع معرف العملية (PID)، والاسم، والمسار |
| `netstat` | عرض جميع اتصالات الشبكة والمنافذ المستمعة |
| `netstat -ano` | إظهار اتصالات الشبكة مع معرفات العمليات (Process IDs) |
| `ifconfig` | عرض تكوين واجهة الشبكة وعناوين IP |
| `env` | عرض جميع متغيرات البيئة |
| `users` | قائمة المستخدمين المسجلين حاليًا ومعلومات الجلسة |
| `mount` | عرض أنظمة الملفات المرفوعة (Linux/macOS) |
| `getsid [username]` | احصل على معرّف أمان Windows للحساب المستخدم |### تفعيل RTR
| أمر | وصف |
|---------|-------------|
| `reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run` | البحث في مفتاح التسجيل للبرامج التي تبدأ تلقائيًا |
| `reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce` | تحقق من عناصر بدء التشغيل الخاصة بالمستخدم |
| `reg query "HKLM\System\CurrentControlSet\Services"` | سرد خدمات Windows في السجل |
| `eventlog view -name Application -count 50` | عرض آخر 50 إدخال في سجل أحداث التطبيق |
| `eventlog view -name Security -count 100` | عرض آخر 100 إدخال في سجل أحداث الأمن |
| `eventlog export -name System -path C:\temp\system.evtx` | تصدير سجل أحداث النظام إلى ملف |
| أمر | وصف |
|---------|-------------|
| `get [file]` | قم بتنزيل الملف من نقطة النهاية إلى وحدة التحكم في Falcon (مشفر بتنسيق 7z) |
| `put [file]` | قم بتحميل الملف المُعد مسبقًا من وحدة التحكم في Falcon على نقطة النهاية |
| `rm [file]` | حذف الملف من نقطة النهاية (حذف دائم) |
| `rm -r [directory]` | احذف المجلد ومحتوياته بشكل متكرر |
| `cp [source] [destination]` | نسخ الملف إلى موقع جديد للحفاظ على الأدلة |
| `kill [PID]` | إنهاء العملية بشكل قسري حسب معرّف العملية (Process ID) |
| `map [drive] [path]` | Map network drive (Windows, e.g., `map Z: \\server\share`) |
| `encrypt [file]` | قم بتشفير الملف باستخدام AES-256 للحماية |
| `memdump [PID] [name]` | استخراج ذاكرة العملية للتحليل الضار للبرامج |
| `mkdir [path]` | أنشئ مجلد جديد |
| `mv [source] [dest]` | نقل أو إعادة تسمية الملف |
| `zip [archive] [files]` | إنشاء أرشيف مضغوط للملفات |
| `unzip [archive] [dest]` | استخراج الأرشيف المضغوط |## الأوامر الأساسية (القراءة فقط / مستوى المستجيب)
| أمر | وصف |
|---------|-------------|
| `runscript -CloudFile="script.ps1"` | قم بتنفيذ PowerShell script من وحدة التحكم Falcon |
| `runscript -CloudFile="script.sh" -CommandLine="arg1 arg2"` | قم بتشغيل البرنامج النصي مع وسائط |
| `runscript -CloudFile="Remediate-Malware"` | نفّذ البرنامج النصي المعد مسبقًا للإصلاح |
| `run [command]` | تنفيذ أمر عشوائي على نقطة النهاية |
| `run whoami /all` | عرض امتيازات المستخدم الحالي وعضويات المجموعات |
| `run wmic process list full` | قائمة معلومات العملية التفصيلية (Windows) |
| `run netsh advfirewall show allprofiles` | عرض حالة جدار الحماية لجميع الملفات الشخصية |
| `run schtasks /query /fo LIST /v` | قائمة جميع المهام المجدولة مع التفاصيل |
| `run systeminfo` | عرض معلومات تكوين النظام التفصيلية |
| `run tasklist /svc` | إظهار العمليات المرتبطة بالخدمات |## أوامر السجل والسجل الحدثي (Windows)
| أمر | وصف |
|---------|-------------|
| `filehash C:\Windows\System32\*.dll` | قم بتجزئة ملفات متعددة باستخدام البدائل (Wildcards) |
| `ps | findstr "suspicious.exe"` | تصفية قائمة العمليات للملف التنفيذي المحدد |
| `netstat | findstr "ESTABLISHED"` | إظهار الاتصالات الشبكية المؤسسة فقط |
| `reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s` | البحث بشكل متكرر في مفتاح التسجيل |
| `eventlog view -name Security -count 500 | findstr "4624"` | تصفية سجلات الأحداث للعمليات تسجيل الدخول الناجحة |
| `ls -R C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup` | ابحث عن عناصر بدء التشغيل لجميع المستخدمين |
| `cat C:\Windows\Prefetch\*.pf` | افحص ملفات التحميل المسبق للبحث عن أدلة التنفيذ |
| `get C:\$MFT` | قم بتنزيل Master File Table للتحليل الزمني |
| `memdump [PID] malware_dump && get malware_dump.dmp` | عملية إفراغ واسترداد ذاكرة العملية |## أوامر المستجيب النشط
```bash
# In Falcon Console, select multiple hosts then:
# Host Management → Hosts → Select multiple → Actions → RTR
# Execute command across all selected hosts
batch ps
# Download file from multiple endpoints
batch get C:\Users\Public\suspicious.exe
# Kill malicious process on multiple systems
batch kill 1234
# Run remediation script across fleet
batch runscript -CloudFile="Remove-Persistence.ps1"
```## أوامر مسؤول RTR
```yaml
# Navigate to: Configuration → Response Policies → Real Time Response
Policy Settings:
- Enable Real Time Response: [Enabled/Disabled]
- Custom Scripts: [Allowed/Blocked]
- Put Files: [Allowed/Blocked]
- Session Timeout: [15-120 minutes]
- Concurrent Sessions: [1-10 per user]
Permission Levels:
- RTR Responder: Read-only commands (cd, ls, ps, netstat)
- RTR Active Responder: File operations (get, put, rm, kill)
- RTR Admin: Script execution (runscript, run)
```## أوامر التحقيق المتقدمة
```bash
# Navigate to: Support → User Management → Roles
# Create custom RTR role
Role Name: Incident_Responder
Permissions:
- Real Time Response: Read
- Real Time Response: Write
- Real Time Response Admin: Execute
- Hosts: Read
- Detections: Read/Write
```## العمليات الجماعية (عدة أجهزة)
```python
# Python example for RTR API access
import requests
# Authenticate
auth_url = "https://api.crowdstrike.com/oauth2/token"
auth_data = {
"client_id": "YOUR_CLIENT_ID",
"client_secret": "YOUR_CLIENT_SECRET"
}
token = requests.post(auth_url, data=auth_data).json()["access_token"]
# Initialize RTR session
session_url = "https://api.crowdstrike.com/real-time-response/entities/sessions/v1"
headers = {"Authorization": f"Bearer {token}"}
session_data = {"device_id": "DEVICE_AID"}
session = requests.post(session_url, headers=headers, json=session_data)
```## التكوين
### سياسات استجابة RTR
```bash
# Step 1: List running processes
ps
# Step 2: Identify suspicious PID (e.g., 1234)
# Get process hash
filehash C:\Windows\Temp\suspicious.exe
# Step 3: Check network connections
netstat -ano | findstr "1234"
# Step 4: Dump process memory
memdump 1234 suspicious_analysis
# Step 5: Download evidence
get C:\Windows\Temp\suspicious.exe
get suspicious_analysis.dmp
# Step 6: Terminate if malicious
kill 1234
rm C:\Windows\Temp\suspicious.exeتكوين دور المستخدم
# Check registry Run keys
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
# Check startup folders
ls "C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
ls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
# Check scheduled tasks
run schtasks /query /fo LIST /v | findstr "TaskName"
# Check services
reg query "HKLM\System\CurrentControlSet\Services"
# Download suspicious items
get "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.lnk"تكوين API
# Navigate to system root
cd C:\
# Collect system information
run systeminfo > C:\temp\sysinfo.txt
get C:\temp\sysinfo.txt
# Collect event logs
eventlog export -name Security -path C:\temp\security.evtx
eventlog export -name System -path C:\temp\system.evtx
get C:\temp\security.evtx
get C:\temp\system.evtx
# Collect network configuration
run ipconfig /all > C:\temp\ipconfig.txt
get C:\temp\ipconfig.txt
# Collect user information
run net user > C:\temp\users.txt
run net localgroup administrators > C:\temp\admins.txt
get C:\temp\users.txt
get C:\temp\admins.txt
# Collect registry hives (requires admin)
get C:\Windows\System32\config\SYSTEM
get C:\Windows\System32\config\SOFTWAREحالات الاستخدام الشائعة
حالة الاستخدام 1: التحقيق في عملية مشبوهة
# Step 1: Identify ransomware process
ps | findstr "ransom"
# Step 2: Terminate malicious processes
kill 5678
kill 5679
# Step 3: Check for persistence
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
# Step 4: Remove persistence entries
run reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "RansomEntry" /f
# Step 5: Delete ransomware files
rm C:\Users\Public\ransomware.exe
rm C:\ProgramData\ransom\*
# Step 6: Deploy remediation script
runscript -CloudFile="Remove-Ransomware.ps1"
# Step 7: Verify cleanup
ps
ls C:\Users\Publicحالة الاستخدام 2: البحث عن آليات الاستمرارية
# Check for suspicious network connections
netstat -ano | findstr "ESTABLISHED"
# Check for remote desktop connections
eventlog view -name Security -count 1000 | findstr "4624"
eventlog view -name Security -count 1000 | findstr "4625"
# Check for mapped drives
run net use
# Check for PsExec artifacts
ls C:\Windows\*.exe
filehash C:\Windows\PSEXESVC.exe
# Check for WMI activity
eventlog view -name "Microsoft-Windows-WMI-Activity/Operational" -count 500
# Check scheduled tasks for lateral movement
run schtasks /query /fo LIST /v | findstr "Author"
# Collect evidence
get C:\Windows\Prefetch\PSEXEC*.pfحالة الاستخدام 3: جمع الأدلة الرقمية
ps
حالة الاستخدام 4: معالجة البرامج الفدائية
ls
حالة الاستخدام 5: التحقيق في الحركة الجانبية
netstat) لجمع المعلومات قبل اتخاذ إجراءات المعالجة مثل
killأو
rm
-
توثيق كل شيء: يتم تسجيل جلسات RTR، ولكن احتفظ بملاحظات منفصلة مع الطوابع الزمنية والأوامر المنفذة والنتائج للتقارير الخاصة بالحادث
-
استخدام أقل امتيازات ممكنة: ابدأ التحقيقات بمستوى وصول المستجيب؛ انتقل إلى المستجيب النشط أو المسؤول فقط عند الضرورة
-
الحفاظ على الأدلة: استخدم
getلتنزيل الملفات قبل الحذف؛ استخدمcpلإنشاء نسخ احتياطية قبل تعديل الملفات؛ فكر فيmemdumpقبل إنهاء العمليات المشبوهة -
التعامل بحذر مع الدفعات: عند استخدام العمليات الدفعية عبر عدة أجهزة، اختبر الأوامر على نقطة نهاية واحدة أولاً لتجنب التأثير غير المقصود على نطاق واسع
-
تجزئة كل شيء: قم دائمًا بتشغيل
filehashعلى الملفات المشبوهة قبل التنزيل أو الحذف للحفاظ على سلسلة الحيازة وتمكين ارتباط المعلومات الاستخباراتية للتهديد -
إدارة الجلسات: تنتهي مهلة جلسات RTR بعد الفترة المحددة (الافتراضي 15 دقيقة)؛ احفظ المخرجات المهمة على الفور وكن على دراية بحدود الجلسة
-
التحقق من البرنامج النصي: اختبر البرامج النصية المخصصة (
runscript) في بيئة المختبر قبل نشرها على نقاط النهاية الإنتاجية؛ تحقق من بناء البرنامج النصي والسلوك المتوقع -
الوعي الشبكي: استخدم
netstatللتعرف على اتصالات التحكم والسيطرة النشطة قبل إنهاء العمليات؛ قد يكون البرنامج الضار لديه آليات إيقاف شبكية أو قدرات مكافحة الفورنسيك -
اعتبارات الامتثال: تأكد من أن استخدام RTR يتوافق مع سياسات المؤسسة والمتطلبات القانونية ولوائح الخصوصية؛ بعض الولايات القضائية تتطلب إخطار المستخدم
استكشاف الأخطاء وإصلاحها
| مشكلة | حل |
|---|---|
| RTR session won’t connect | تحقق من أن نقطة النهاية متصلة في وحدة التحكم Falcon؛ تحقق من إصدار الحساس (مطلوب 5.0+)؛ تأكد من اتصال الشبكة بسحابة CrowdStrike (المنفذ 443)؛ تأكد من تمكين RTR في سياسة الاستجابة |
| ”Permission denied” error | التحقق من أذونات دور المستخدم؛ الترقية من Responder إلى Active Responder أو Admin؛ التحقق من السماح سياسة الاستجابة بالأمر المحدد؛ التواصل مع مسؤول Falcon |
| Command returns no output | Verify correct file path syntax (Windows: C:\path, Linux/Mac: /path); use pwd to confirm current directory; check if file/process exists; try absolute paths instead of relative |
get command fails | تأكد من أن حجم الملف أقل من الحد (8GB)؛ تحقق من مساحة القرص المتاحة على نقطة النهاية؛ تحقق من عدم قفل الملف بواسطة عملية أخرى؛ تأكد من صحة بناء مسار الملف مع استخدام علامات الاقتباس للمسافات |
runscript not working | تحقق من تحميل البرنامج النصي إلى وحدة التحكم في Falcon (البرامج النصية والملفات)؛ تأكد من امتلاك المستخدم أذونات مسؤول RTR؛ تحقق من أخطاء بناء الجملة البرمجية؛ تأكد من اعتماد البرنامج النصي في سياسة الاستجابة |
| Sensor shows offline | Check endpoint internet connectivity; verify sensor service running (sc query csagent Windows, systemctl status falcon-sensor Linux); restart sensor service; check firewall rules |
| Session timeout too short | قم بضبط المهلة الزمنية في إعدادات سياسات الاستجابة (التكوين → سياسات الاستجابة)؛ الحد الأقصى هو 120 دقيقة؛ فكر في تقسيم التحقيقات الطويلة إلى جلسات متعددة |
| Cannot terminate process | Process may be protected; try kill multiple times; use runscript with PowerShell Stop-Process -Force; consider system restart if critical malware; check for rootkit protection |
| Registry query returns error | تحقق من صحة بناء مسار السجل؛ تأكد من وجود أذونات كافية (بعض المفاتيح تتطلب SYSTEM)؛ استخدم علامات الاقتباس للمسارات التي تحتوي على مسافات؛ تأكد من وجود المفتاح باستخدام استعلام المسار الأصلي |
| Batch operation fails on some hosts | تحقق من اتصال المضيف الفردي؛ تأكد من أن جميع المضيفين لديهم إصدارات استشعار متوافقة؛ راجع اتساق سياسة الاستجابة عبر مجموعات المضيفين؛ تحقق من رسائل أخطاء المضيف الفردية في نتائج الدفعة |
بطاقة مرجعية سريعة```bash
Investigation Workflow
ps # List processes netstat -ano # Check connections reg query HKLM…\Run # Check persistence filehash suspicious.exe # Hash file get suspicious.exe # Download evidence kill [PID] # Terminate threat rm malware.exe # Remove file
Essential Commands
cd, ls, pwd, cat # Navigation ps, netstat, users # System state get, put, rm # File operations kill, memdump # Process actions runscript, run # Admin execution