Hoja de Referencia de CrowdStrike Falcon RTR
Hoja de Referencia de CrowdStrike Falcon RTR
Instalación y Acceso
CrowdStrike Falcon RTR no es una herramienta independiente, sino una característica integrada de la plataforma Falcon. Métodos de acceso:
| Método | Ruta de Acceso | Requisitos |
|---|---|---|
| Falcon Console | https://falcon.crowdstrike.com → Host Management → Hosts → Actions → Real Time Response | Licencia de Falcon válida (Insight/Pro/Enterprise), RTR habilitado |
| Falcon API | Endpoints de REST API para acceso programático | Credenciales de cliente API, token OAuth2 |
| Windows Sensor | Deploy via GPO/SCCM: WindowsSensor.exe /install /quiet /norestart CID=YOUR_CID | Windows 7 SP1+ / Server 2008 R2+ |
| macOS Sensor | sudo installer -pkg FalconSensor.pkg -target / | macOS 10.12+, Acceso a Disco Completo |
| Linux Sensor | sudo yum install falcon-sensor.rpm && sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID | Kernel 2.6.32+, RHEL/Ubuntu/SUSE |
Habilitando RTR
# Navigate in Falcon Console
Configuration → Response Policies → Real Time Response → Enable
# Start Linux sensor after installation
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# Verify macOS sensor
sudo /Applications/Falcon.app/Contents/Resources/falconctl statsComandos Básicos (Solo Lectura / Nivel Respondedor)
| Comando | Descripción |
|---|---|
cd [path] | Change current directory (e.g., cd C:\Users\Admin\Desktop) |
pwd | Imprimir ruta del directorio de trabajo actual |
ls [path] | Listar contenido del directorio con detalles |
ls -la [path] | Listar todos los archivos, incluyendo ocultos, con formato largo |
ls -R [path] | Listar recursivamente el contenido del directorio |
cat [file] | Display file contents (e.g., cat C:\Windows\System32\drivers\etc\hosts) |
cat -n 100 [file] | Mostrar primeras 100 líneas del archivo |
filehash [file] | Calcular hashes MD5, SHA1 y SHA256 de un archivo |
ps | Listar todos los procesos en ejecución con PID, nombre y ruta |
netstat | Mostrar todas las conexiones de red y puertos de escucha |
netstat -ano | Mostrar conexiones de red con ID de procesos |
ifconfig | Mostrar configuración de interfaz de red y direcciones IP |
env | Mostrar todas las variables de entorno |
users | Listar usuarios actualmente conectados e información de sesión |
mount | Mostrar sistemas de archivos montados (Linux/macOS) |
getsid [username] | Obtener Windows Security Identifier para cuenta de usuario |
Comandos de Registro y Registro de Eventos (Windows)
| Comando | Descripción |
|---|---|
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Consultar clave de registro para programas de inicio |
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce | Verificar elementos de inicio específicos del usuario |
reg query "HKLM\System\CurrentControlSet\Services" | Listar servicios de Windows en el registro |
eventlog view -name Application -count 50 | Ver últimos 50 entradas del registro de eventos de Application |
eventlog view -name Security -count 100 | Ver últimos 100 entradas del registro de eventos de Seguridad |
eventlog export -name System -path C:\temp\system.evtx | Exportar registro de eventos del sistema a archivo |
Comandos de Respuesta Activa
| Comando | Descripción |
|---|---|
get [file] | Descargar archivo desde endpoint a la consola de Falcon (7z cifrado) |
put [file] | Cargar archivo pre-preparado desde la consola de Falcon al endpoint |
rm [file] | Eliminar archivo del endpoint (eliminación permanente) |
rm -r [directory] | Eliminar directorio y contenido de forma recursiva |
cp [source] [destination] | Copiar archivo a nueva ubicación para preservación de evidencia |
kill [PID] | Terminar forzosamente el proceso por ID de Proceso |
map [drive] [path] | Map network drive (Windows, e.g., map Z: \\server\share) |
encrypt [file] | Cifrar archivo usando AES-256 para protección |
memdump [PID] [name] | Volcar memoria de proceso para análisis de malware |
mkdir [path] | Crear nuevo directorio |
mv [source] [dest] | Mover o renombrar archivo |
zip [archive] [files] | Crear archivo comprimido de archivos |
unzip [archive] [dest] | Extraer archivo comprimido |
Comandos de Administración RTR
| Comando | Descripción |
|---|---|
runscript -CloudFile="script.ps1" | Ejecutar script de PowerShell desde la consola de Falcon |
runscript -CloudFile="script.sh" -CommandLine="arg1 arg2" | Ejecutar script con argumentos |
runscript -CloudFile="Remediate-Malware" | Ejecutar script de remediación prediseñado |
run [command] | Ejecutar comando arbitrario en endpoint |
run whoami /all | Mostrar privilegios de usuario actual y membresías de grupos |
run wmic process list full | Enumerar información detallada del proceso (Windows) |
run netsh advfirewall show allprofiles | Mostrar estado del firewall para todos los perfiles |
run schtasks /query /fo LIST /v | Listar todas las tareas programadas con detalles |
run systeminfo | Mostrar información detallada de configuración del sistema |
run tasklist /svc | Mostrar procesos con servicios asociados |
Comandos Avanzados de Investigación
| Comando | Descripción |
|---|---|
filehash C:\Windows\System32\*.dll | Hashear múltiples archivos usando comodines |
| `ps | findstr “suspicious.exe”` |
| `netstat | findstr “ESTABLISHED”` |
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s | Buscar recursivamente la clave del registro |
| `eventlog view -name Security -count 500 | findstr “4624”` |
ls -R C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup | Buscar elementos de inicio para todos los usuarios |
cat C:\Windows\Prefetch\*.pf | Examinar archivos prefetch para evidencia de ejecución |
get C:\$MFT | Descargar Master File Table para análisis de línea temporal |
memdump [PID] malware_dump && get malware_dump.dmp | Volcar y recuperar memoria de proceso |
Operaciones por Lotes (Múltiples Hosts)
# In Falcon Console, select multiple hosts then:
# Host Management → Hosts → Select multiple → Actions → RTR
# Execute command across all selected hosts
batch ps
# Download file from multiple endpoints
batch get C:\Users\Public\suspicious.exe
# Kill malicious process on multiple systems
batch kill 1234
# Run remediation script across fleet
batch runscript -CloudFile="Remove-Persistence.ps1"Configuración
Políticas de Respuesta RTR
# Navigate to: Configuration → Response Policies → Real Time Response
Policy Settings:
- Enable Real Time Response: [Enabled/Disabled]
- Custom Scripts: [Allowed/Blocked]
- Put Files: [Allowed/Blocked]
- Session Timeout: [15-120 minutes]
- Concurrent Sessions: [1-10 per user]
Permission Levels:
- RTR Responder: Read-only commands (cd, ls, ps, netstat)
- RTR Active Responder: File operations (get, put, rm, kill)
- RTR Admin: Script execution (runscript, run)Configuración de Roles de Usuario
# Navigate to: Support → User Management → Roles
# Create custom RTR role
Role Name: Incident_Responder
Permissions:
- Real Time Response: Read
- Real Time Response: Write
- Real Time Response Admin: Execute
- Hosts: Read
- Detections: Read/WriteConfiguración de API
# Python example for RTR API access
import requests
# Authenticate
auth_url = "https://api.crowdstrike.com/oauth2/token"
auth_data = {
"client_id": "YOUR_CLIENT_ID",
"client_secret": "YOUR_CLIENT_SECRET"
}
token = requests.post(auth_url, data=auth_data).json()["access_token"]
# Initialize RTR session
session_url = "https://api.crowdstrike.com/real-time-response/entities/sessions/v1"
headers = {"Authorization": f"Bearer {token}"}
session_data = {"device_id": "DEVICE_AID"}
session = requests.post(session_url, headers=headers, json=session_data)Casos de Uso Comunes
Caso de Uso 1: Investigar Proceso Sospechoso
# Step 1: List running processes
ps
# Step 2: Identify suspicious PID (e.g., 1234)
# Get process hash
filehash C:\Windows\Temp\suspicious.exe
# Step 3: Check network connections
netstat -ano | findstr "1234"
# Step 4: Dump process memory
memdump 1234 suspicious_analysis
# Step 5: Download evidence
get C:\Windows\Temp\suspicious.exe
get suspicious_analysis.dmp
# Step 6: Terminate if malicious
kill 1234
rm C:\Windows\Temp\suspicious.exeCaso de Uso 2: Buscar Mecanismos de Persistencia
# Check registry Run keys
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
# Check startup folders
ls "C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
ls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
# Check scheduled tasks
run schtasks /query /fo LIST /v | findstr "TaskName"
# Check services
reg query "HKLM\System\CurrentControlSet\Services"
# Download suspicious items
get "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.lnk"Caso de Uso 3: Recopilar Evidencia Forense
# Navigate to system root
cd C:\
# Collect system information
run systeminfo > C:\temp\sysinfo.txt
get C:\temp\sysinfo.txt
# Collect event logs
eventlog export -name Security -path C:\temp\security.evtx
eventlog export -name System -path C:\temp\system.evtx
get C:\temp\security.evtx
get C:\temp\system.evtx
# Collect network configuration
run ipconfig /all > C:\temp\ipconfig.txt
get C:\temp\ipconfig.txt
# Collect user information
run net user > C:\temp\users.txt
run net localgroup administrators > C:\temp\admins.txt
get C:\temp\users.txt
get C:\temp\admins.txt
# Collect registry hives (requires admin)
get C:\Windows\System32\config\SYSTEM
get C:\Windows\System32\config\SOFTWARECaso de Uso 4: Remediar Ransomware
# Step 1: Identify ransomware process
ps | findstr "ransom"
# Step 2: Terminate malicious processes
kill 5678
kill 5679
# Step 3: Check for persistence
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
# Step 4: Remove persistence entries
run reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "RansomEntry" /f
# Step 5: Delete ransomware files
rm C:\Users\Public\ransomware.exe
rm C:\ProgramData\ransom\*
# Step 6: Deploy remediation script
runscript -CloudFile="Remove-Ransomware.ps1"
# Step 7: Verify cleanup
ps
ls C:\Users\PublicCaso de Uso 5: Investigar Movimiento Lateral
# Check for suspicious network connections
netstat -ano | findstr "ESTABLISHED"
# Check for remote desktop connections
eventlog view -name Security -count 1000 | findstr "4624"
eventlog view -name Security -count 1000 | findstr "4625"
# Check for mapped drives
run net use
# Check for PsExec artifacts
ls C:\Windows\*.exe
filehash C:\Windows\PSEXESVC.exe
# Check for WMI activity
eventlog view -name "Microsoft-Windows-WMI-Activity/Operational" -count 500
# Check scheduled tasks for lateral movement
run schtasks /query /fo LIST /v | findstr "Author"
# Collect evidence
get C:\Windows\Prefetch\PSEXEC*.pfMejores Prácticas
- Verificar Antes de Actuar: Siempre use comandos de solo lectura (
ps,ls,
Would you like me to continue with the remaining translations?netstat) para recopilar información antes de tomar acciones de remediación como
killo
rm
-
Documentar Todo: Las sesiones RTR se registran, pero mantén notas separadas con marcas de tiempo, comandos ejecutados y hallazgos para informes de incidentes
-
Usar Privilegios Mínimos: Inicia investigaciones con acceso de Respondedor; escala a Respondedor Activo o Administrador solo cuando sea necesario
-
Preservar Evidencia: Usa
getpara descargar archivos antes de su eliminación; usacppara crear copias de seguridad antes de modificar archivos; consideramemdumpantes de terminar procesos sospechosos -
Procesar por Lotes con Cuidado: Al usar operaciones por lotes en múltiples hosts, prueba comandos en un solo punto final primero para evitar impactos no deseados a gran escala
-
Hashear Todo: Siempre ejecuta
filehashen archivos sospechosos antes de descargarlos o eliminarlos para mantener la cadena de custodia y permitir la correlación de inteligencia de amenazas -
Gestión de Sesiones: Las sesiones RTR caducan después de un período configurado (predeterminado 15 minutos); guarda la salida importante inmediatamente y sé consciente de los límites de sesión
-
Validación de Scripts: Prueba scripts personalizados (
runscript) en un entorno de laboratorio antes de implementarlos en puntos finales de producción; valida la sintaxis del script y el comportamiento esperado -
Conciencia de Red: Usa
netstatpara identificar conexiones de C2 activas antes de terminar procesos; el malware puede tener interruptores de kill basados en red o capacidades antiforenses -
Consideraciones de Cumplimiento: Asegúrate de que el uso de RTR cumpla con las políticas organizacionales, requisitos legales y regulaciones de privacidad; algunas jurisdicciones requieren notificación al usuario
Resolución de Problemas
| Problema | Solución |
|---|---|
| RTR session won’t connect | Verifique que el endpoint esté en línea en la consola de Falcon; compruebe la versión del sensor (se requiere 5.0+); confirme la conectividad de red a la nube de CrowdStrike (puerto 443); verifique que RTR esté habilitado en la Política de Respuesta |
| ”Permission denied” error | Verificar permisos de rol de usuario; escalar de Responder a Active Responder o Admin; verificar que la Política de Respuesta permita el comando específico; contactar al administrador de Falcon |
| Command returns no output | Verify correct file path syntax (Windows: C:\path, Linux/Mac: /path); use pwd to confirm current directory; check if file/process exists; try absolute paths instead of relative |
get command fails | Confirmar que el tamaño del archivo esté por debajo del límite (8GB); verificar el espacio disponible en el disco del endpoint; comprobar que el archivo no esté bloqueado por otro proceso; asegurar la sintaxis correcta de la ruta del archivo con comillas para espacios |
runscript not working | Verificar script cargado en la consola de Falcon (Response Scripts & Files); confirmar que el usuario tiene permisos de RTR Admin; verificar errores de sintaxis del script; asegurar que el script está aprobado en la Política de Respuesta |
| Sensor shows offline | Check endpoint internet connectivity; verify sensor service running (sc query csagent Windows, systemctl status falcon-sensor Linux); restart sensor service; check firewall rules |
| Session timeout too short | Ajustar el tiempo de espera en la configuración de Políticas de Respuesta (Configuración → Políticas de Respuesta); el máximo es de 120 minutos; considere dividir investigaciones largas en múltiples sesiones |
| Cannot terminate process | Process may be protected; try kill multiple times; use runscript with PowerShell Stop-Process -Force; consider system restart if critical malware; check for rootkit protection |
| Registry query returns error | Verifique la sintaxis correcta de la ruta del registro; asegúrese de tener permisos suficientes (algunas claves requieren SYSTEM); use comillas para rutas con espacios; confirme que la clave existe con una consulta de ruta principal |
| Batch operation fails on some hosts | Verificar la conectividad de hosts individuales; comprobar que todos los hosts tengan versiones de sensor compatibles; revisar la consistencia de la Política de Respuesta en grupos de hosts; verificar mensajes de error de hosts individuales en resultados por lotes |
Tarjeta de Referencia Rápida```bash
Investigation Workflow
ps # List processes netstat -ano # Check connections reg query HKLM…\Run # Check persistence filehash suspicious.exe # Hash file get suspicious.exe # Download evidence kill [PID] # Terminate threat rm malware.exe # Remove file
Essential Commands
cd, ls, pwd, cat # Navigation ps, netstat, users # System state get, put, rm # File operations kill, memdump # Process actions runscript, run # Admin execution