Hoja de Referencia de CrowdStrike Falcon RTR¶

Instalación y Acceso¶

CrowdStrike Falcon RTR no es una herramienta independiente, sino una característica integrada de la plataforma Falcon. Métodos de acceso:

Método	Ruta de Acceso	Requisitos
Falcon Console	`https://falcon.crowdstrike.com` → Host Management → Hosts → Actions → Real Time Response	Licencia de Falcon válida (Insight/Pro/Enterprise), RTR habilitado
Falcon API	Endpoints de REST API para acceso programático	Credenciales de cliente API, token OAuth2
Windows Sensor	Deploy via GPO/SCCM: `WindowsSensor.exe /install /quiet /norestart CID=YOUR_CID`	Windows 7 SP1+ / Server 2008 R2+
macOS Sensor	`sudo installer -pkg FalconSensor.pkg -target /`	macOS 10.12+, Acceso a Disco Completo
Linux Sensor	`sudo yum install falcon-sensor.rpm && sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID`	Kernel 2.6.32+, RHEL/Ubuntu/SUSE
### Habilitando RTR
`# Navigate in Falcon Console Configuration → Response Policies → Real Time Response → Enable # Start Linux sensor after installation sudo systemctl start falcon-sensor sudo systemctl enable falcon-sensor # Verify macOS sensor sudo /Applications/Falcon.app/Contents/Resources/falconctl stats`

Comandos Básicos (Solo Lectura / Nivel Respondedor)¶

Comando	Descripción
`cd [path]`	Change current directory (e.g., `cd C:\Users\Admin\Desktop`)
`pwd`	Imprimir ruta del directorio de trabajo actual
`ls [path]`	Listar contenido del directorio con detalles
`ls -la [path]`	Listar todos los archivos, incluyendo ocultos, con formato largo
`ls -R [path]`	Listar recursivamente el contenido del directorio
`cat [file]`	Display file contents (e.g., `cat C:\Windows\System32\drivers\etc\hosts`)
`cat -n 100 [file]`	Mostrar primeras 100 líneas del archivo
`filehash [file]`	Calcular hashes MD5, SHA1 y SHA256 de un archivo
`ps`	Listar todos los procesos en ejecución con PID, nombre y ruta
`netstat`	Mostrar todas las conexiones de red y puertos de escucha
`netstat -ano`	Mostrar conexiones de red con ID de procesos
`ifconfig`	Mostrar configuración de interfaz de red y direcciones IP
`env`	Mostrar todas las variables de entorno
`users`	Listar usuarios actualmente conectados e información de sesión
`mount`	Mostrar sistemas de archivos montados (Linux/macOS)
`getsid [username]`	Obtener Windows Security Identifier para cuenta de usuario
## Comandos de Registro y Registro de Eventos (Windows)

Comando	Descripción
`reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run`	Consultar clave de registro para programas de inicio
`reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce`	Verificar elementos de inicio específicos del usuario
`reg query "HKLM\System\CurrentControlSet\Services"`	Listar servicios de Windows en el registro
`eventlog view -name Application -count 50`	Ver últimos 50 entradas del registro de eventos de Application
`eventlog view -name Security -count 100`	Ver últimos 100 entradas del registro de eventos de Seguridad
`eventlog export -name System -path C:\temp\system.evtx`	Exportar registro de eventos del sistema a archivo
## Comandos de Respuesta Activa

Comando	Descripción
`get [file]`	Descargar archivo desde endpoint a la consola de Falcon (7z cifrado)
`put [file]`	Cargar archivo pre-preparado desde la consola de Falcon al endpoint
`rm [file]`	Eliminar archivo del endpoint (eliminación permanente)
`rm -r [directory]`	Eliminar directorio y contenido de forma recursiva
`cp [source] [destination]`	Copiar archivo a nueva ubicación para preservación de evidencia
`kill [PID]`	Terminar forzosamente el proceso por ID de Proceso
`map [drive] [path]`	Map network drive (Windows, e.g., `map Z: \\server\share`)
`encrypt [file]`	Cifrar archivo usando AES-256 para protección
`memdump [PID] [name]`	Volcar memoria de proceso para análisis de malware
`mkdir [path]`	Crear nuevo directorio
`mv [source] [dest]`	Mover o renombrar archivo
`zip [archive] [files]`	Crear archivo comprimido de archivos
`unzip [archive] [dest]`	Extraer archivo comprimido
## Comandos de Administración RTR

Comando	Descripción
`runscript -CloudFile="script.ps1"`	Ejecutar script de PowerShell desde la consola de Falcon
`runscript -CloudFile="script.sh" -CommandLine="arg1 arg2"`	Ejecutar script con argumentos
`runscript -CloudFile="Remediate-Malware"`	Ejecutar script de remediación prediseñado
`run [command]`	Ejecutar comando arbitrario en endpoint
`run whoami /all`	Mostrar privilegios de usuario actual y membresías de grupos
`run wmic process list full`	Enumerar información detallada del proceso (Windows)
`run netsh advfirewall show allprofiles`	Mostrar estado del firewall para todos los perfiles
`run schtasks /query /fo LIST /v`	Listar todas las tareas programadas con detalles
`run systeminfo`	Mostrar información detallada de configuración del sistema
`run tasklist /svc`	Mostrar procesos con servicios asociados
## Comandos Avanzados de Investigación

Comando	Descripción
`filehash C:\Windows\System32\*.dll`	Hashear múltiples archivos usando comodines
`ps \| findstr "suspicious.exe"`	Filtrar lista de procesos para ejecutable específico
`netstat \| findstr "ESTABLISHED"`	Mostrar solo conexiones de red establecidas
`reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s`	Buscar recursivamente la clave del registro
`eventlog view -name Security -count 500 \| findstr "4624"`	Filtrar registros de eventos de inicios de sesión exitosos
`ls -R C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup`	Buscar elementos de inicio para todos los usuarios
`cat C:\Windows\Prefetch\*.pf`	Examinar archivos prefetch para evidencia de ejecución
`get C:\$MFT`	Descargar Master File Table para análisis de línea temporal
`memdump [PID] malware_dump && get malware_dump.dmp`	Volcar y recuperar memoria de proceso
## Operaciones por Lotes (Múltiples Hosts)
`# In Falcon Console, select multiple hosts then: # Host Management → Hosts → Select multiple → Actions → RTR # Execute command across all selected hosts batch ps # Download file from multiple endpoints batch get C:\Users\Public\suspicious.exe # Kill malicious process on multiple systems batch kill 1234 # Run remediation script across fleet batch runscript -CloudFile="Remove-Persistence.ps1"`

Configuración¶

Políticas de Respuesta RTR¶

# Navigate to: Configuration → Response Policies → Real Time Response

Policy Settings:
  - Enable Real Time Response: [Enabled/Disabled]
  - Custom Scripts: [Allowed/Blocked]
  - Put Files: [Allowed/Blocked]
  - Session Timeout: [15-120 minutes]
  - Concurrent Sessions: [1-10 per user]

Permission Levels:
  - RTR Responder: Read-only commands (cd, ls, ps, netstat)
  - RTR Active Responder: File operations (get, put, rm, kill)
  - RTR Admin: Script execution (runscript, run)

Configuración de Roles de Usuario¶

# Navigate to: Support → User Management → Roles

# Create custom RTR role
Role Name: Incident_Responder
Permissions:
  - Real Time Response: Read
  - Real Time Response: Write
  - Real Time Response Admin: Execute
  - Hosts: Read
  - Detections: Read/Write

Configuración de API¶

# Python example for RTR API access
import requests

# Authenticate
auth_url = "https://api.crowdstrike.com/oauth2/token"
auth_data = {
    "client_id": "YOUR_CLIENT_ID",
    "client_secret": "YOUR_CLIENT_SECRET"
}
token = requests.post(auth_url, data=auth_data).json()["access_token"]

# Initialize RTR session
session_url = "https://api.crowdstrike.com/real-time-response/entities/sessions/v1"
headers = {"Authorization": f"Bearer {token}"}
session_data = {"device_id": "DEVICE_AID"}
session = requests.post(session_url, headers=headers, json=session_data)

Casos de Uso Comunes¶

Caso de Uso 1: Investigar Proceso Sospechoso¶

# Step 1: List running processes
ps

# Step 2: Identify suspicious PID (e.g., 1234)
# Get process hash
filehash C:\Windows\Temp\suspicious.exe

# Step 3: Check network connections
netstat -ano | findstr "1234"

# Step 4: Dump process memory
memdump 1234 suspicious_analysis

# Step 5: Download evidence
get C:\Windows\Temp\suspicious.exe
get suspicious_analysis.dmp

# Step 6: Terminate if malicious
kill 1234
rm C:\Windows\Temp\suspicious.exe

Caso de Uso 2: Buscar Mecanismos de Persistencia¶

# Check registry Run keys
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run

# Check startup folders
ls "C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
ls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"

# Check scheduled tasks
run schtasks /query /fo LIST /v | findstr "TaskName"

# Check services
reg query "HKLM\System\CurrentControlSet\Services"

# Download suspicious items
get "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.lnk"

Caso de Uso 3: Recopilar Evidencia Forense¶

# Navigate to system root
cd C:\

# Collect system information
run systeminfo > C:\temp\sysinfo.txt
get C:\temp\sysinfo.txt

# Collect event logs
eventlog export -name Security -path C:\temp\security.evtx
eventlog export -name System -path C:\temp\system.evtx
get C:\temp\security.evtx
get C:\temp\system.evtx

# Collect network configuration
run ipconfig /all > C:\temp\ipconfig.txt
get C:\temp\ipconfig.txt

# Collect user information
run net user > C:\temp\users.txt
run net localgroup administrators > C:\temp\admins.txt
get C:\temp\users.txt
get C:\temp\admins.txt

# Collect registry hives (requires admin)
get C:\Windows\System32\config\SYSTEM
get C:\Windows\System32\config\SOFTWARE

Caso de Uso 4: Remediar Ransomware¶

# Step 1: Identify ransomware process
ps | findstr "ransom"

# Step 2: Terminate malicious processes
kill 5678
kill 5679

# Step 3: Check for persistence
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

# Step 4: Remove persistence entries
run reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "RansomEntry" /f

# Step 5: Delete ransomware files
rm C:\Users\Public\ransomware.exe
rm C:\ProgramData\ransom\*

# Step 6: Deploy remediation script
runscript -CloudFile="Remove-Ransomware.ps1"

# Step 7: Verify cleanup
ps
ls C:\Users\Public

Caso de Uso 5: Investigar Movimiento Lateral¶

# Check for suspicious network connections
netstat -ano | findstr "ESTABLISHED"

# Check for remote desktop connections
eventlog view -name Security -count 1000 | findstr "4624"
eventlog view -name Security -count 1000 | findstr "4625"

# Check for mapped drives
run net use

# Check for PsExec artifacts
ls C:\Windows\*.exe
filehash C:\Windows\PSEXESVC.exe

# Check for WMI activity
eventlog view -name "Microsoft-Windows-WMI-Activity/Operational" -count 500

# Check scheduled tasks for lateral movement
run schtasks /query /fo LIST /v | findstr "Author"

# Collect evidence
get C:\Windows\Prefetch\PSEXEC*.pf

Mejores Prácticas¶

Verificar Antes de Actuar: Siempre use comandos de solo lectura (ps, ls,

Would you like me to continue with the remaining translations?netstat) para recopilar información antes de tomar acciones de remediación como killo rm

Documentar Todo: Las sesiones RTR se registran, pero mantén notas separadas con marcas de tiempo, comandos ejecutados y hallazgos para informes de incidentes
Usar Privilegios Mínimos: Inicia investigaciones con acceso de Respondedor; escala a Respondedor Activo o Administrador solo cuando sea necesario
Preservar Evidencia: Usa getpara descargar archivos antes de su eliminación; usa cppara crear copias de seguridad antes de modificar archivos; considera memdumpantes de terminar procesos sospechosos
Procesar por Lotes con Cuidado: Al usar operaciones por lotes en múltiples hosts, prueba comandos en un solo punto final primero para evitar impactos no deseados a gran escala
Hashear Todo: Siempre ejecuta filehashen archivos sospechosos antes de descargarlos o eliminarlos para mantener la cadena de custodia y permitir la correlación de inteligencia de amenazas
Gestión de Sesiones: Las sesiones RTR caducan después de un período configurado (predeterminado 15 minutos); guarda la salida importante inmediatamente y sé consciente de los límites de sesión
Validación de Scripts: Prueba scripts personalizados (runscript) en un entorno de laboratorio antes de implementarlos en puntos finales de producción; valida la sintaxis del script y el comportamiento esperado
Conciencia de Red: Usa netstatpara identificar conexiones de C2 activas antes de terminar procesos; el malware puede tener interruptores de kill basados en red o capacidades antiforenses
Consideraciones de Cumplimiento: Asegúrate de que el uso de RTR cumpla con las políticas organizacionales, requisitos legales y regulaciones de privacidad; algunas jurisdicciones requieren notificación al usuario

Resolución de Problemas¶

Problema	Solución
RTR session won't connect	Verifique que el endpoint esté en línea en la consola de Falcon; compruebe la versión del sensor (se requiere 5.0+); confirme la conectividad de red a la nube de CrowdStrike (puerto 443); verifique que RTR esté habilitado en la Política de Respuesta
"Permission denied" error	Verificar permisos de rol de usuario; escalar de Responder a Active Responder o Admin; verificar que la Política de Respuesta permita el comando específico; contactar al administrador de Falcon
Command returns no output	Verify correct file path syntax (Windows: `C:\path`, Linux/Mac: `/path`); use `pwd` to confirm current directory; check if file/process exists; try absolute paths instead of relative
`get` command fails	Confirmar que el tamaño del archivo esté por debajo del límite (8GB); verificar el espacio disponible en el disco del endpoint; comprobar que el archivo no esté bloqueado por otro proceso; asegurar la sintaxis correcta de la ruta del archivo con comillas para espacios
`runscript` not working	Verificar script cargado en la consola de Falcon (Response Scripts & Files); confirmar que el usuario tiene permisos de RTR Admin; verificar errores de sintaxis del script; asegurar que el script está aprobado en la Política de Respuesta
Sensor shows offline	Check endpoint internet connectivity; verify sensor service running (`sc query csagent` Windows, `systemctl status falcon-sensor` Linux); restart sensor service; check firewall rules
Session timeout too short	Ajustar el tiempo de espera en la configuración de Políticas de Respuesta (Configuración → Políticas de Respuesta); el máximo es de 120 minutos; considere dividir investigaciones largas en múltiples sesiones
Cannot terminate process	Process may be protected; try `kill` multiple times; use `runscript` with PowerShell `Stop-Process -Force`; consider system restart if critical malware; check for rootkit protection
Registry query returns error	Verifique la sintaxis correcta de la ruta del registro; asegúrese de tener permisos suficientes (algunas claves requieren SYSTEM); use comillas para rutas con espacios; confirme que la clave existe con una consulta de ruta principal
Batch operation fails on some hosts	Verificar la conectividad de hosts individuales; comprobar que todos los hosts tengan versiones de sensor compatibles; revisar la consistencia de la Política de Respuesta en grupos de hosts; verificar mensajes de error de hosts individuales en resultados por lotes
---

Tarjeta de Referencia Rápida```bash

Investigation Workflow¶

ps # List processes netstat -ano # Check connections reg query HKLM...\Run # Check persistence filehash suspicious.exe # Hash file get suspicious.exe # Download evidence kill [PID] # Terminate threat rm malware.exe # Remove file

Essential Commands¶

cd, ls, pwd, cat # Navigation ps, netstat, users # System state get, put, rm # File operations kill, memdump # Process actions runscript, run # Admin execution ```