CrowdStrike Falcon RTR

📋 Copy All CrowdStrike Falcon RTR Commands 📄 Generate CrowdStrike Falcon RTR PDF Guide

| Methode | Access Path | Anforderungen | |--------|-------------|--------------| | **Falcon Console** | `https://falcon.crowdstrike.com` → Host Management → Hosts → Actions → Real Time Response | Gültige Falcon-Lizenz (Insight/Pro/Enterprise), RTR aktiviert | | **Falcon API** | REST API Endpunkte für programmatischen Zugriff | API-Client-Anmeldeinformationen, OAuth2-Token | | **Windows Sensor** | Deploy via GPO/SCCM: `WindowsSensor.exe /install /quiet /norestart CID=YOUR_CID` | Windows 7 SP1+ / Server 2008 R2+ | | **macOS Sensor** | `sudo installer -pkg FalconSensor.pkg -target /` | macOS 10.12+, Vollzugriff auf Datenträger | | **Linux Sensor** | `sudo yum install falcon-sensor.rpm && sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID` | Kernel 2.6.32+, RHEL/Ubuntu/SUSE |### Enabling RTR ### RTR aktivieren

# Navigate in Falcon Console
Configuration → Response Policies → Real Time Response → Enable

# Start Linux sensor after installation
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor

# Verify macOS sensor
sudo /Applications/Falcon.app/Contents/Resources/falconctl stats
```[Placeholder for missing text]

| Befehl | Beschreibung |
|---------|-------------|
| `cd [path]` | Change current directory (e.g., `cd C:\Users\Admin\Desktop`) |
| `pwd` | Aktuellen Arbeitsverzeichnispfad ausgeben |
| `ls [path]` | Verzeichnisinhalte mit Details auflisten |
| `ls -la [path]` | Alle Dateien einschließlich versteckter Dateien im Langformat auflisten |
| `ls -R [path]` | Verzeichnisinhalte rekursiv auflisten |
| `cat [file]` | Display file contents (e.g., `cat C:\Windows\System32\drivers\etc\hosts`) |
| `cat -n 100 [file]` | Zeige die ersten 100 Zeilen der Datei |
| `filehash [file]` | Berechnen Sie MD5-, SHA1- und SHA256-Hashes einer Datei |
| `ps` | Alle laufenden Prozesse mit PID, Name und Pfad auflisten |
| `netstat` | Alle Netzwerkverbindungen und Listening-Ports anzeigen |
| `netstat -ano` | Netzwerkverbindungen mit Prozess-IDs anzeigen |
| `ifconfig` | Netzwerkschnittstellen-Konfiguration und IP-Adressen anzeigen |
| `env` | Zeige alle Umgebungsvariablen |
| `users` | Aktuell angemeldete Benutzer und Sitzungsinformationen auflisten |
| `mount` | Gemountete Dateisysteme anzeigen (Linux/macOS) |
| `getsid [username]` | Windows Security Identifier für Benutzerkonto abrufen |## Basic Commands (Read-Only / Responder Level)
   ## Grundlegende Befehle (Nur-Lesen / Responder-Ebene)

| Befehl | Beschreibung |
|---------|-------------|
| `reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run` | Registrierungsschlüssel für Startprogramme abfragen |
| `reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce` | Benutzerspezifische Startelemente überprüfen |
| `reg query "HKLM\System\CurrentControlSet\Services"` | Windows-Dienste in der Registrierung auflisten |
| `eventlog view -name Application -count 50` | Letzte 50 Application-Ereignisprotokolleinträge anzeigen |
| `eventlog view -name Security -count 100` | Letzte 100 Security-Ereignisprotokolleinträge anzeigen |
| `eventlog export -name System -path C:\temp\system.evtx` | Export System-Ereignisprotokoll in Datei |## Registry & Event Log Commands (Windows)
   ## Befehle für Registrierung und Ereignisprotokoll (Windows)

| Befehl | Beschreibung |
|---------|-------------|
| `get [file]` | Datei von Endpoint zur Falcon-Konsole herunterladen (verschlüsseltes 7z) |
| `put [file]` | Vorab-bereitgestellte Datei aus Falcon-Konsole auf Endpunkt hochladen |
| `rm [file]` | Datei vom Endpunkt löschen (permanente Löschung) |
| `rm -r [directory]` | Rekursiv Verzeichnis und Inhalte löschen |
| `cp [source] [destination]` | Datei zum Zweck der Beweissicherung an einen neuen Ort kopieren |
| `kill [PID]` | Prozess durch Prozess-ID gewaltsam beenden |
| `map [drive] [path]` | Map network drive (Windows, e.g., `map Z: \\server\share`) |
| `encrypt [file]` | Datei mit AES-256 zur Verschlüsselung schützen |
| `memdump [PID] [name]` | Speicherdump für Malware-Analyse |
| `mkdir [path]` | Neues Verzeichnis erstellen |
| `mv [source] [dest]` | Datei verschieben oder umbenennen |
| `zip [archive] [files]` | Erstelle komprimiertes Archiv der Dateien |
| `unzip [archive] [dest]` | Komprimiertes Archiv extrahieren |## Active Responder Commands
   ## Befehle für aktive Responder

| Befehl | Beschreibung |
|---------|-------------|
| `runscript -CloudFile="script.ps1"` | PowerShell-Skript aus der Falcon-Konsole ausführen |
| `runscript -CloudFile="script.sh" -CommandLine="arg1 arg2"` | Skript mit Argumenten ausführen |
| `runscript -CloudFile="Remediate-Malware"` | Vordefinierten Bereinigungsskript ausführen |
| `run [command]` | Beliebigen Befehl auf Endpunkt ausführen |
| `run whoami /all` | Aktuelle Benutzerberechtigungen und Gruppenmitgliedschaften anzeigen |
| `run wmic process list full` | Detaillierte Prozessinformationen auflisten (Windows) |
| `run netsh advfirewall show allprofiles` | Firewallstatus für alle Profile anzeigen |
| `run schtasks /query /fo LIST /v` | Alle geplanten Aufgaben mit Details auflisten |
| `run systeminfo` | Detaillierte Systerkonfigurationsinformationen anzeigen |
| `run tasklist /svc` | Prozesse mit zugehörigen Services anzeigen |## RTR Admin Commands
   ## RTR-Administratorbefehle

| Befehl | Beschreibung |
|---------|-------------|
| `filehash C:\Windows\System32\*.dll` | Mehrere Dateien mit Platzhaltern hashen |
| `ps | findstr "suspicious.exe"` | Filterprozessliste für bestimmte ausführbare Datei |
| `netstat | findstr "ESTABLISHED"` | Nur etablierte Netzwerkverbindungen anzeigen |
| `reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s` | Rekursiv Registrierungsschlüssel durchsuchen |
| `eventlog view -name Security -count 500 | findstr "4624"` | Ereignisprotokolle nach erfolgreichen Anmeldungen filtern |
| `ls -R C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup` | Startupelemente für alle Benutzer finden |
| `cat C:\Windows\Prefetch\*.pf` | Untersuche Prefetch-Dateien auf Ausführungsnachweise |
| `get C:\$MFT` | Download Master File Table für Zeitachsenanalyse |
| `memdump [PID] malware_dump && get malware_dump.dmp` | Speicher-Dump und -Wiederherstellung |## Advanced Investigation Commands
   ## Erweiterte Untersuchungsbefehle
```bash
# In Falcon Console, select multiple hosts then:
# Host Management → Hosts → Select multiple → Actions → RTR

# Execute command across all selected hosts
batch ps

# Download file from multiple endpoints
batch get C:\Users\Public\suspicious.exe

# Kill malicious process on multiple systems
batch kill 1234

# Run remediation script across fleet
batch runscript -CloudFile="Remove-Persistence.ps1"
```## Batch Operations (Multiple Hosts)
    ## Batch-Operationen (Mehrere Hosts)
```yaml
# Navigate to: Configuration → Response Policies → Real Time Response

Policy Settings:
  - Enable Real Time Response: [Enabled/Disabled]
  - Custom Scripts: [Allowed/Blocked]
  - Put Files: [Allowed/Blocked]
  - Session Timeout: [15-120 minutes]
  - Concurrent Sessions: [1-10 per user]

Permission Levels:
  - RTR Responder: Read-only commands (cd, ls, ps, netstat)
  - RTR Active Responder: File operations (get, put, rm, kill)
  - RTR Admin: Script execution (runscript, run)
```### RTR Response Policies
    ### RTR-Reaktionsrichtlinien
```bash
# Navigate to: Support → User Management → Roles

# Create custom RTR role
Role Name: Incident_Responder
Permissions:
  - Real Time Response: Read
  - Real Time Response: Write
  - Real Time Response Admin: Execute
  - Hosts: Read
  - Detections: Read/Write
```### User Role Configuration
    ### Benutzerolle konfigurieren
```python
# Python example for RTR API access
import requests

# Authenticate
auth_url = "https://api.crowdstrike.com/oauth2/token"
auth_data = {
    "client_id": "YOUR_CLIENT_ID",
    "client_secret": "YOUR_CLIENT_SECRET"
}
token = requests.post(auth_url, data=auth_data).json()["access_token"]

# Initialize RTR session
session_url = "https://api.crowdstrike.com/real-time-response/entities/sessions/v1"
headers = {"Authorization": f"Bearer {token}"}
session_data = {"device_id": "DEVICE_AID"}
session = requests.post(session_url, headers=headers, json=session_data)
```### API Configuration
    ### API-Konfiguration
```bash
# Step 1: List running processes
ps

# Step 2: Identify suspicious PID (e.g., 1234)
# Get process hash
filehash C:\Windows\Temp\suspicious.exe

# Step 3: Check network connections
netstat -ano | findstr "1234"

# Step 4: Dump process memory
memdump 1234 suspicious_analysis

# Step 5: Download evidence
get C:\Windows\Temp\suspicious.exe
get suspicious_analysis.dmp

# Step 6: Terminate if malicious
kill 1234
rm C:\Windows\Temp\suspicious.exe
```### Use Case 1: Investigate Suspicious Process
    ### Anwendungsfall 1: Verdächtigen Prozess untersuchen
```bash
# Check registry Run keys
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run

# Check startup folders
ls "C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
ls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"

# Check scheduled tasks
run schtasks /query /fo LIST /v | findstr "TaskName"

# Check services
reg query "HKLM\System\CurrentControlSet\Services"

# Download suspicious items
get "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.lnk"
```### Use Case 2: Hunt for Persistence Mechanisms
    ### Anwendungsfall 2: Nach Persistenzmechanismen suchen
```bash
# Navigate to system root
cd C:\

# Collect system information
run systeminfo > C:\temp\sysinfo.txt
get C:\temp\sysinfo.txt

# Collect event logs
eventlog export -name Security -path C:\temp\security.evtx
eventlog export -name System -path C:\temp\system.evtx
get C:\temp\security.evtx
get C:\temp\system.evtx

# Collect network configuration
run ipconfig /all > C:\temp\ipconfig.txt
get C:\temp\ipconfig.txt

# Collect user information
run net user > C:\temp\users.txt
run net localgroup administrators > C:\temp\admins.txt
get C:\temp\users.txt
get C:\temp\admins.txt

# Collect registry hives (requires admin)
get C:\Windows\System32\config\SYSTEM
get C:\Windows\System32\config\SOFTWARE
```### Use Case 3: Collect Forensic Evidence
    ### Anwendungsfall 3: Forensische Beweise sammeln
```bash
# Step 1: Identify ransomware process
ps | findstr "ransom"

# Step 2: Terminate malicious processes
kill 5678
kill 5679

# Step 3: Check for persistence
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

# Step 4: Remove persistence entries
run reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "RansomEntry" /f

# Step 5: Delete ransomware files
rm C:\Users\Public\ransomware.exe
rm C:\ProgramData\ransom\*

# Step 6: Deploy remediation script
runscript -CloudFile="Remove-Ransomware.ps1"

# Step 7: Verify cleanup
ps
ls C:\Users\Public
```### Use Case 4: Remediate Ransomware
    ### Anwendungsfall 4: Ransomware beheben
```bash
# Check for suspicious network connections
netstat -ano | findstr "ESTABLISHED"

# Check for remote desktop connections
eventlog view -name Security -count 1000 | findstr "4624"
eventlog view -name Security -count 1000 | findstr "4625"

# Check for mapped drives
run net use

# Check for PsExec artifacts
ls C:\Windows\*.exe
filehash C:\Windows\PSEXESVC.exe

# Check for WMI activity
eventlog view -name "Microsoft-Windows-WMI-Activity/Operational" -count 500

# Check scheduled tasks for lateral movement
run schtasks /query /fo LIST /v | findstr "Author"

# Collect evidence
get C:\Windows\Prefetch\PSEXEC*.pf
```### Use Case 5: Investigate Lateral Movement
    ### Anwendungsfall 5: Laterale Bewegung untersuchen
`ps`[Placeholder for missing text]
`ls`[Placeholder for missing text]

Would you like me to fill in the placeholders or provide the missing text?`netstat`um Informationen zu sammeln, bevor Abhilfemaßnahmen ergriffen werden
`kill`[No text provided]
`rm`[No text provided]

- **Alles dokumentieren**: RTR-Sitzungen werden protokolliert, aber führen Sie separate Notizen mit Zeitstempeln, ausgeführten Befehlen und Erkenntnissen für Vorfallberichte

- **Minimale Berechtigungen nutzen**: Beginnen Sie Untersuchungen mit Responder-Zugriffsebene; eskalieren Sie zu Active Responder oder Admin nur bei Bedarf

- **Beweise sichern**: Verwenden Sie `get`zum Herunterladen von Dateien vor deren Löschung; verwenden Sie `cp`zum Erstellen von Sicherungskopien vor Dateiänderungen; erwägen Sie `memdump`vor dem Beenden verdächtiger Prozesse

- **Stapelverarbeitung mit Vorsicht**: Testen Sie Befehle bei Stapeloperationen über mehrere Hosts zunächst auf einem Endpunkt, um unbeabsichtigte weitreichende Auswirkungen zu vermeiden

- **Alles hashen**: Führen Sie immer `filehash`auf verdächtigen Dateien aus, bevor Sie sie herunterladen oder löschen, um die Beweiskette zu wahren und Threat Intelligence-Korrelation zu ermöglichen

- **Sitzungsverwaltung**: RTR-Sitzungen laufen nach konfigurierter Zeit ab (Standard 15 Minuten); speichern Sie wichtige Ausgaben sofort und beachten Sie die Sitzungsgrenzen

- **Skript-Validierung**: Testen Sie benutzerdefinierte Skripte (`runscript`) in einer Laborumgebung, bevor Sie sie auf Produktions-Endpunkte implementieren; überprüfen Sie Skript-Syntax und erwartetes Verhalten

- **Netzwerkbewusstsein**: Verwenden Sie `netstat`um aktive C2-Verbindungen vor dem Beenden von Prozessen zu identifizieren; Malware kann netzwerkbasierte Kill-Switches oder Anti-Forensik-Fähigkeiten haben

- **Compliance-Überlegungen**: Stellen Sie sicher, dass die RTR-Nutzung den organisatorischen Richtlinien, rechtlichen Anforderungen und Datenschutzbestimmungen entspricht; einige Jurisdiktionen erfordern eine Benutzerbenachrichtigung

## Fehlerbehebung

| Problem | Lösung |
|-------|----------|
| **RTR session won't connect** | Überprüfen Sie den Endpunkt im Falcon-Konsole; prüfen Sie die Sensorversion (5.0+ erforderlich); bestätigen Sie die Netzwerkverbindung zur CrowdStrike-Cloud (Port 443); überprüfen Sie, ob RTR in der Antwortrichtlinie aktiviert ist |
| **"Permission denied" error** | Überprüfen Sie Benutzerrollenberechtigung; eskalieren Sie von Responder zu Active Responder oder Admin; verifizieren Sie, ob die Response Policy den spezifischen Befehl erlaubt; kontaktieren Sie den Falcon-Administrator |
| **Command returns no output** | Verify correct file path syntax (Windows: `C:\path`, Linux/Mac: `/path`); use `pwd` to confirm current directory; check if file/process exists; try absolute paths instead of relative |
| **`get` command fails** | Bestätigen Sie, dass die Dateigröße unter dem Limit liegt (8GB); überprüfen Sie den verfügbaren Speicherplatz auf dem Endgerät; verifizieren Sie, dass die Datei nicht von einem anderen Prozess gesperrt ist; stellen Sie sicher, dass die Dateipfad-Syntax korrekt ist, mit Anführungszeichen für Leerzeichen |
| **`runscript` not working** | Skript im Falcon Console überprüfen (Response Scripts & Files); bestätigen, dass der Benutzer RTR Admin-Berechtigungen hat; Skript-Syntaxfehler prüfen; sicherstellen, dass das Skript in der Response Policy genehmigt ist |
| **Sensor shows offline** | Check endpoint internet connectivity; verify sensor service running (`sc query csagent` Windows, `systemctl status falcon-sensor` Linux); restart sensor service; check firewall rules |
| **Session timeout too short** | Passen Sie das Timeout in den Einstellungen der Response Policy an (Konfiguration → Response Policies); Maximum ist 120 Minuten; erwägen Sie, lange Untersuchungen in mehrere Sitzungen zu unterteilen |
| **Cannot terminate process** | Process may be protected; try `kill` multiple times; use `runscript` with PowerShell `Stop-Process -Force`; consider system restart if critical malware; check for rootkit protection |
| **Registry query returns error** | Überprüfen Sie die korrekte Registrierungspfad-Syntax; stellen Sie sicher, dass ausreichende Berechtigungen vorhanden sind (einige Schlüssel erfordern SYSTEM); verwenden Sie Anführungszeichen für Pfade mit Leerzeichen; bestätigen Sie die Existenz des Schlüssels mit einer übergeordneten Pfadabfrage |
| **Batch operation fails on some hosts** | Überprüfen Sie die Konnektivität einzelner Hosts; stellen Sie sicher, dass alle Hosts kompatible Sensorversionen haben; überprüfen Sie die Konsistenz der Response Policy über Hostgruppen hinweg; prüfen Sie einzelne Host-Fehlermeldungen in Batch-Ergebnissen |[No text provided]
---

**Schnellreferenzkarte**```bash
# Investigation Workflow
ps                          # List processes
netstat -ano                # Check connections
reg query HKLM\...\Run      # Check persistence
filehash suspicious.exe     # Hash file
get suspicious.exe          # Download evidence
kill [PID]                  # Terminate threat
rm malware.exe              # Remove file

# Essential Commands
cd, ls, pwd, cat            # Navigation
ps, netstat, users          # System state
get, put, rm                # File operations
kill, memdump               # Process actions
runscript, run              # Admin execution