| Méthode | Chemin d’accès | Exigences |
|---|
| Falcon Console | https://falcon.crowdstrike.com → Host Management → Hosts → Actions → Real Time Response | Licence Falcon valide (Insight/Pro/Enterprise), RTR activé |
| Falcon API | Points de terminaison REST API pour un accès programmatique | Identifiants du client API, jeton OAuth2 |
| Windows Sensor | Deploy via GPO/SCCM: WindowsSensor.exe /install /quiet /norestart CID=YOUR_CID | Windows 7 SP1+ / Server 2008 R2+ |
| macOS Sensor | sudo installer -pkg FalconSensor.pkg -target / | macOS 10.12+, Accès au disque complet |
| Linux Sensor | sudo yum install falcon-sensor.rpm && sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID | Kernel 2.6.32+, RHEL/Ubuntu/SUSE |
# Navigate in Falcon Console
Configuration → Response Policies → Real Time Response → Enable
# Start Linux sensor after installation
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# Verify macOS sensor
sudo /Applications/Falcon.app/Contents/Resources/falconctl stats
```## Installation et Accès
| Commande | Description |
|---------|-------------|
| `cd [path]` | Change current directory (e.g., `cd C:\Users\Admin\Desktop`) |
| `pwd` | Afficher le chemin du répertoire de travail actuel |
| `ls [path]` | Lister le contenu du répertoire avec des détails |
| `ls -la [path]` | Lister tous les fichiers, y compris les fichiers cachés, avec le format long |
| `ls -R [path]` | Lister récursivement le contenu du répertoire |
| `cat [file]` | Display file contents (e.g., `cat C:\Windows\System32\drivers\etc\hosts`) |
| `cat -n 100 [file]` | Afficher les 100 premières lignes du fichier |
| `filehash [file]` | Calculer les hachages MD5, SHA1 et SHA256 d'un fichier |
| `ps` | Lister tous les processus en cours d'exécution avec PID, nom et chemin |
| `netstat` | Afficher toutes les connexions réseau et les ports d'écoute |
| `netstat -ano` | Afficher les connexions réseau avec les ID de processus |
| `ifconfig` | Afficher la configuration de l'interface réseau et les adresses IP |
| `env` | Afficher toutes les variables d'environnement |
| `users` | Lister les utilisateurs actuellement connectés et les informations de session |
| `mount` | Afficher les systèmes de fichiers montés (Linux/macOS) |
| `getsid [username]` | Obtenir l'identificateur de sécurité Windows pour le compte utilisateur |CrowdStrike Falcon RTR n'est pas un outil autonome mais une fonctionnalité intégrée de la plateforme Falcon. Méthodes d'accès :
| Commande | Description |
|---------|-------------|
| `reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run` | Interroger la clé de registre pour les programmes de démarrage |
| `reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce` | Vérifier les éléments de démarrage spécifiques à l'utilisateur |
| `reg query "HKLM\System\CurrentControlSet\Services"` | Lister les services Windows dans le registre |
| `eventlog view -name Application -count 50` | Afficher les 50 dernières entrées du journal des événements d'Application |
| `eventlog view -name Security -count 100` | Afficher les 100 dernières entrées du journal des événements de sécurité |
| `eventlog export -name System -path C:\temp\system.evtx` | Exporter le journal des événements système vers un fichier |### Activation de RTR
| Commande | Description |
|---------|-------------|
| `get [file]` | Télécharger le fichier depuis l'endpoint vers la console Falcon (7z chiffré) |
| `put [file]` | Télécharger le fichier pré-stagé depuis la console Falcon vers le endpoint |
| `rm [file]` | Supprimer le fichier de l'endpoint (suppression permanente) |
| `rm -r [directory]` | Supprimer récursivement le répertoire et son contenu |
| `cp [source] [destination]` | Copier le fichier vers un nouvel emplacement pour la préservation des preuves |
| `kill [PID]` | Terminer de force le processus par son ID de processus |
| `map [drive] [path]` | Map network drive (Windows, e.g., `map Z: \\server\share`) |
| `encrypt [file]` | Chiffrer le fichier en utilisant AES-256 pour la protection |
| `memdump [PID] [name]` | Vider la mémoire du processus pour l'analyse de malwares |
| `mkdir [path]` | Créer un nouveau répertoire |
| `mv [source] [dest]` | Déplacer ou renommer un fichier |
| `zip [archive] [files]` | Créer une archive compressée de fichiers |
| `unzip [archive] [dest]` | Extraire l'archive compressée |
| Commande | Description |
|---------|-------------|
| `runscript -CloudFile="script.ps1"` | Exécuter le script PowerShell depuis la console Falcon |
| `runscript -CloudFile="script.sh" -CommandLine="arg1 arg2"` | Exécuter le script avec des arguments |
| `runscript -CloudFile="Remediate-Malware"` | Exécuter le script de correction prédéfini |
| `run [command]` | Exécuter une commande arbitraire sur le point de terminaison |
| `run whoami /all` | Afficher les privilèges de l'utilisateur actuel et ses appartenances aux groupes |
| `run wmic process list full` | Lister les informations détaillées du processus (Windows) |
| `run netsh advfirewall show allprofiles` | Afficher le statut du pare-feu pour tous les profils |
| `run schtasks /query /fo LIST /v` | Lister toutes les tâches planifiées avec des détails |
| `run systeminfo` | Afficher les informations détaillées de configuration du système |
| `run tasklist /svc` | Afficher les processus avec les services associés |## Commandes de base (Lecture seule / Niveau Répondeur)
| Commande | Description |
|---------|-------------|
| `filehash C:\Windows\System32\*.dll` | Hacher plusieurs fichiers en utilisant des caractères génériques |
| `ps | findstr "suspicious.exe"` | Filtrer la liste des processus pour un exécutable spécifique |
| `netstat | findstr "ESTABLISHED"` | Afficher uniquement les connexions réseau établies |
| `reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s` | Rechercher récursivement la clé de registre |
| `eventlog view -name Security -count 500 | findstr "4624"` | Filtrer les journaux d'événements pour les connexions réussies |
| `ls -R C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup` | Rechercher des éléments de démarrage pour tous les utilisateurs |
| `cat C:\Windows\Prefetch\*.pf` | Examiner les fichiers prefetch pour des preuves d'exécution |
| `get C:\$MFT` | Télécharger le fichier Master File Table pour l'analyse de la chronologie |
| `memdump [PID] malware_dump && get malware_dump.dmp` | Dump et récupérer la mémoire du processus |
```bash
# In Falcon Console, select multiple hosts then:
# Host Management → Hosts → Select multiple → Actions → RTR
# Execute command across all selected hosts
batch ps
# Download file from multiple endpoints
batch get C:\Users\Public\suspicious.exe
# Kill malicious process on multiple systems
batch kill 1234
# Run remediation script across fleet
batch runscript -CloudFile="Remove-Persistence.ps1"
```## Commandes de Registre et Journal d'événements (Windows)
```yaml
# Navigate to: Configuration → Response Policies → Real Time Response
Policy Settings:
- Enable Real Time Response: [Enabled/Disabled]
- Custom Scripts: [Allowed/Blocked]
- Put Files: [Allowed/Blocked]
- Session Timeout: [15-120 minutes]
- Concurrent Sessions: [1-10 per user]
Permission Levels:
- RTR Responder: Read-only commands (cd, ls, ps, netstat)
- RTR Active Responder: File operations (get, put, rm, kill)
- RTR Admin: Script execution (runscript, run)
# Navigate to: Support → User Management → Roles
# Create custom RTR role
Role Name: Incident_Responder
Permissions:
- Real Time Response: Read
- Real Time Response: Write
- Real Time Response Admin: Execute
- Hosts: Read
- Detections: Read/Write
```## Commandes de Répondeur Actif
```python
# Python example for RTR API access
import requests
# Authenticate
auth_url = "https://api.crowdstrike.com/oauth2/token"
auth_data = {
"client_id": "YOUR_CLIENT_ID",
"client_secret": "YOUR_CLIENT_SECRET"
}
token = requests.post(auth_url, data=auth_data).json()["access_token"]
# Initialize RTR session
session_url = "https://api.crowdstrike.com/real-time-response/entities/sessions/v1"
headers = {"Authorization": f"Bearer {token}"}
session_data = {"device_id": "DEVICE_AID"}
session = requests.post(session_url, headers=headers, json=session_data)
# Step 1: List running processes
ps
# Step 2: Identify suspicious PID (e.g., 1234)
# Get process hash
filehash C:\Windows\Temp\suspicious.exe
# Step 3: Check network connections
netstat -ano | findstr "1234"
# Step 4: Dump process memory
memdump 1234 suspicious_analysis
# Step 5: Download evidence
get C:\Windows\Temp\suspicious.exe
get suspicious_analysis.dmp
# Step 6: Terminate if malicious
kill 1234
rm C:\Windows\Temp\suspicious.exe
```## Commandes d'Administration RTR
```bash
# Check registry Run keys
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
# Check startup folders
ls "C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
ls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
# Check scheduled tasks
run schtasks /query /fo LIST /v | findstr "TaskName"
# Check services
reg query "HKLM\System\CurrentControlSet\Services"
# Download suspicious items
get "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.lnk"
# Navigate to system root
cd C:\
# Collect system information
run systeminfo > C:\temp\sysinfo.txt
get C:\temp\sysinfo.txt
# Collect event logs
eventlog export -name Security -path C:\temp\security.evtx
eventlog export -name System -path C:\temp\system.evtx
get C:\temp\security.evtx
get C:\temp\system.evtx
# Collect network configuration
run ipconfig /all > C:\temp\ipconfig.txt
get C:\temp\ipconfig.txt
# Collect user information
run net user > C:\temp\users.txt
run net localgroup administrators > C:\temp\admins.txt
get C:\temp\users.txt
get C:\temp\admins.txt
# Collect registry hives (requires admin)
get C:\Windows\System32\config\SYSTEM
get C:\Windows\System32\config\SOFTWARE
```## Commandes d'Investigation Avancées
```bash
# Step 1: Identify ransomware process
ps | findstr "ransom"
# Step 2: Terminate malicious processes
kill 5678
kill 5679
# Step 3: Check for persistence
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
# Step 4: Remove persistence entries
run reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "RansomEntry" /f
# Step 5: Delete ransomware files
rm C:\Users\Public\ransomware.exe
rm C:\ProgramData\ransom\*
# Step 6: Deploy remediation script
runscript -CloudFile="Remove-Ransomware.ps1"
# Step 7: Verify cleanup
ps
ls C:\Users\Public
# Check for suspicious network connections
netstat -ano | findstr "ESTABLISHED"
# Check for remote desktop connections
eventlog view -name Security -count 1000 | findstr "4624"
eventlog view -name Security -count 1000 | findstr "4625"
# Check for mapped drives
run net use
# Check for PsExec artifacts
ls C:\Windows\*.exe
filehash C:\Windows\PSEXESVC.exe
# Check for WMI activity
eventlog view -name "Microsoft-Windows-WMI-Activity/Operational" -count 500
# Check scheduled tasks for lateral movement
run schtasks /query /fo LIST /v | findstr "Author"
# Collect evidence
get C:\Windows\Prefetch\PSEXEC*.pf
```## Opérations par Lots (Plusieurs Hôtes)
`ps`
`ls`## Configuration
`netstat`) pour recueillir des informations avant de prendre des actions de remédiation comme
`kill`ou
`rm`
- **Documenter Tout**: Les sessions RTR sont enregistrées, mais maintenez des notes séparées avec des horodatages, les commandes exécutées et les découvertes pour les rapports d'incident
- **Utiliser le Privilège Minimal**: Commencez les investigations avec un accès de niveau Répondeur ; augmentez jusqu'à Répondeur Actif ou Administrateur uniquement si nécessaire
- **Préserver les Preuves**: Utilisez `get`pour télécharger des fichiers avant leur suppression ; utilisez `cp`pour créer des sauvegardes avant de modifier des fichiers ; considérez `memdump`avant de terminer des processus suspects
- **Traitement par Lots avec Précaution**: Lors de l'utilisation d'opérations par lots sur plusieurs hôtes, testez d'abord les commandes sur un seul point de terminaison pour éviter un impact involontaire à grande échelle
- **Hacher Tout**: Exécutez toujours `filehash`sur des fichiers suspects avant de les télécharger ou les supprimer pour maintenir la chaîne de possession et permettre la corrélation de renseignements sur les menaces
- **Gestion de Session**: Les sessions RTR expirent après une période configurée (défaut 15 minutes) ; enregistrez immédiatement les sorties importantes et soyez conscient des limites de session
- **Validation de Script**: Testez les scripts personnalisés (`runscript`) dans un environnement de laboratoire avant de les déployer sur des points de terminaison de production ; validez la syntaxe du script et le comportement attendu
- **Conscience Réseau**: Utilisez `netstat`pour identifier les connexions C2 actives avant de terminer des processus ; le logiciel malveillant peut avoir des mécanismes de kill switch réseau ou des capacités anti-forensiques
- **Considérations de Conformité**: Assurez-vous que l'utilisation de RTR est conforme aux politiques organisationnelles, aux exigences légales et aux réglementations de confidentialité ; certaines juridictions exigent une notification à l'utilisateur
## Dépannage
| Problème | Solution |
|-------|----------|
| **RTR session won't connect** | Vérifier que le point de terminaison est en ligne dans la console Falcon ; vérifier la version du capteur (5.0+ requis) ; confirmer la connectivité réseau vers le cloud CrowdStrike (port 443) ; vérifier que RTR est activé dans la politique de réponse |
| **"Permission denied" error** | Vérifier les permissions de rôle utilisateur ; escalader de Responder à Active Responder ou Admin ; vérifier que la Politique de Réponse autorise la commande spécifique ; contacter l'administrateur Falcon |
| **Command returns no output** | Verify correct file path syntax (Windows: `C:\path`, Linux/Mac: `/path`); use `pwd` to confirm current directory; check if file/process exists; try absolute paths instead of relative |
| **`get` command fails** | Confirmez que la taille du fichier est inférieure à la limite (8GB) ; vérifiez l'espace disque disponible sur l'endpoint ; assurez-vous que le fichier n'est pas verrouillé par un autre processus ; vérifiez la syntaxe correcte du chemin de fichier avec des guillemets pour les espaces |
| **`runscript` not working** | Vérifier le script téléchargé sur la console Falcon (Response Scripts & Files) ; confirmer que l'utilisateur a les permissions d'administrateur RTR ; vérifier les erreurs de syntaxe du script ; s'assurer que le script est approuvé dans la politique de réponse |
| **Sensor shows offline** | Check endpoint internet connectivity; verify sensor service running (`sc query csagent` Windows, `systemctl status falcon-sensor` Linux); restart sensor service; check firewall rules |
| **Session timeout too short** | Ajuster le délai d'expiration dans les paramètres de la Politique de Réponse (Configuration → Response Policies) ; le maximum est de 120 minutes ; envisager de diviser les longues investigations en plusieurs sessions |
| **Cannot terminate process** | Process may be protected; try `kill` multiple times; use `runscript` with PowerShell `Stop-Process -Force`; consider system restart if critical malware; check for rootkit protection |
| **Registry query returns error** | Vérifiez la syntaxe correcte du chemin du registre ; assurez-vous d'avoir des autorisations suffisantes (certaines clés nécessitent SYSTEM) ; utilisez des guillemets pour les chemins avec des espaces ; confirmez l'existence de la clé avec une requête du chemin parent |
| **Batch operation fails on some hosts** | Vérifier la connectivité de chaque hôte ; vérifier que tous les hôtes ont des versions de capteur compatibles ; examiner la cohérence de la politique de réponse entre les groupes d'hôtes ; vérifier les messages d'erreur individuels des hôtes dans les résultats de lot |
---
**Carte de Référence Rapide**```bash
# Investigation Workflow
ps # List processes
netstat -ano # Check connections
reg query HKLM\...\Run # Check persistence
filehash suspicious.exe # Hash file
get suspicious.exe # Download evidence
kill [PID] # Terminate threat
rm malware.exe # Remove file
# Essential Commands
cd, ls, pwd, cat # Navigation
ps, netstat, users # System state
get, put, rm # File operations
kill, memdump # Process actions
runscript, run # Admin execution
