CrowdStrike Falcon RTR Cheatsheet¶
Installazione e Accesso¶
CrowdStrike Falcon RTR non è uno strumento autonomo ma una funzionalità integrata della piattaforma Falcon. Metodi di accesso:
| Metodo | Percorso di Accesso | Requisiti |
|---|---|---|
| Falcon Console | https://falcon.crowdstrike.com → Host Management → Hosts → Actions → Real Time Response |
Licenza Falcon valida (Insight/Pro/Enterprise), RTR abilitato |
| Falcon API | Endpoint REST API per l'accesso programmatico | Credenziali client API, token OAuth2 |
| Windows Sensor | Deploy via GPO/SCCM: WindowsSensor.exe /install /quiet /norestart CID=YOUR_CID |
Windows 7 SP1+ / Server 2008 R2+ |
| macOS Sensor | sudo installer -pkg FalconSensor.pkg -target / |
macOS 10.12+, Accesso Completo al Disco |
| Linux Sensor | sudo yum install falcon-sensor.rpm && sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID |
Kernel 2.6.32+, RHEL/Ubuntu/SUSE |
| ### Abilitazione RTR | ||
Comandi di Base (Sola Lettura / Livello Responder)¶
| Comando | Descrizione |
|---|---|
cd [path] |
Change current directory (e.g., cd C:\Users\Admin\Desktop) |
pwd |
Stampa il percorso della directory di lavoro corrente |
ls [path] |
Elenca il contenuto della directory con dettagli |
ls -la [path] |
Elenca tutti i file, compresi quelli nascosti, con formato esteso |
ls -R [path] |
Elenca ricorsivamente il contenuto della directory |
cat [file] |
Display file contents (e.g., cat C:\Windows\System32\drivers\etc\hosts) |
cat -n 100 [file] |
Visualizza le prime 100 righe del file |
filehash [file] |
Calcola gli hash MD5, SHA1 e SHA256 di un file |
ps |
Elenca tutti i processi in esecuzione con PID, nome e percorso |
netstat |
Mostra tutte le connessioni di rete e le porte in ascolto |
netstat -ano |
Mostra connessioni di rete con Process IDs |
ifconfig |
Visualizza la configurazione dell'interfaccia di rete e gli indirizzi IP |
env |
Mostra tutte le variabili d'ambiente |
users |
Elenca gli utenti attualmente connessi e le informazioni sulla sessione |
mount |
Visualizza filesystem montati (Linux/macOS) |
getsid [username] |
Ottenere Windows Security Identifier per account utente |
| ## Comandi Registry ed Event Log (Windows) |
| Comando | Descrizione |
|---|---|
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run |
Esegui query della chiave di registro per programmi di avvio |
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce |
Verifica degli elementi di avvio specifici dell'utente |
reg query "HKLM\System\CurrentControlSet\Services" |
Elencare i servizi di Windows nel registro |
eventlog view -name Application -count 50 |
Visualizza gli ultimi 50 voci del registro eventi di Application |
eventlog view -name Security -count 100 |
Visualizza gli ultimi 100 voci del registro eventi di Sicurezza |
eventlog export -name System -path C:\temp\system.evtx |
Esporta registro eventi di Sistema in un file |
| ## Comandi Active Responder |
| Comando | Descrizione |
|---|---|
get [file] |
Scarica file dall'endpoint alla console Falcon (7z crittografato) |
put [file] |
Carica file pre-staging da console Falcon all'endpoint |
rm [file] |
Elimina file dall'endpoint (eliminazione permanente) |
rm -r [directory] |
Elimina ricorsivamente directory e contenuti |
cp [source] [destination] |
Copia file in una nuova posizione per la conservazione delle prove |
kill [PID] |
Termina forzatamente il processo tramite Process ID |
map [drive] [path] |
Map network drive (Windows, e.g., map Z: \\server\share) |
encrypt [file] |
Crittografare il file utilizzando AES-256 per la protezione |
memdump [PID] [name] |
Dump della memoria del processo per l'analisi di malware |
mkdir [path] |
Crea nuova directory |
mv [source] [dest] |
Sposta o rinomina file |
zip [archive] [files] |
Crea archivio compresso dei file |
unzip [archive] [dest] |
Estrai archivio compresso |
| ## Comandi RTR Admin |
| Comando | Descrizione |
|---|---|
runscript -CloudFile="script.ps1" |
Esegui script PowerShell dalla console Falcon |
runscript -CloudFile="script.sh" -CommandLine="arg1 arg2" |
Esegui script con argomenti |
runscript -CloudFile="Remediate-Malware" |
Esegui script di rimediazione pre-costruito |
run [command] |
Esegui un comando arbitrario sull'endpoint |
run whoami /all |
Visualizza i privilegi dell'utente corrente e le appartenenze ai gruppi |
run wmic process list full |
Elenca informazioni dettagliate sul processo (Windows) |
run netsh advfirewall show allprofiles |
Visualizza lo stato del firewall per tutti i profili |
run schtasks /query /fo LIST /v |
Elenca tutti i task pianificati con dettagli |
run systeminfo |
Visualizza informazioni dettagliate sulla configurazione del sistema |
run tasklist /svc |
Mostra processi con servizi associati |
| ## Comandi Avanzati di Investigazione |
Configurazione¶
Politiche di Risposta RTR¶
# Navigate to: Configuration → Response Policies → Real Time Response
Policy Settings:
- Enable Real Time Response: [Enabled/Disabled]
- Custom Scripts: [Allowed/Blocked]
- Put Files: [Allowed/Blocked]
- Session Timeout: [15-120 minutes]
- Concurrent Sessions: [1-10 per user]
Permission Levels:
- RTR Responder: Read-only commands (cd, ls, ps, netstat)
- RTR Active Responder: File operations (get, put, rm, kill)
- RTR Admin: Script execution (runscript, run)
Configurazione Ruoli Utente¶
# Navigate to: Support → User Management → Roles
# Create custom RTR role
Role Name: Incident_Responder
Permissions:
- Real Time Response: Read
- Real Time Response: Write
- Real Time Response Admin: Execute
- Hosts: Read
- Detections: Read/Write
Configurazione API¶
# Python example for RTR API access
import requests
# Authenticate
auth_url = "https://api.crowdstrike.com/oauth2/token"
auth_data = {
"client_id": "YOUR_CLIENT_ID",
"client_secret": "YOUR_CLIENT_SECRET"
}
token = requests.post(auth_url, data=auth_data).json()["access_token"]
# Initialize RTR session
session_url = "https://api.crowdstrike.com/real-time-response/entities/sessions/v1"
headers = {"Authorization": f"Bearer {token}"}
session_data = {"device_id": "DEVICE_AID"}
session = requests.post(session_url, headers=headers, json=session_data)
Casi d'Uso Comuni¶
Caso d'Uso 1: Indagare su Processi Sospetti¶
# Step 1: List running processes
ps
# Step 2: Identify suspicious PID (e.g., 1234)
# Get process hash
filehash C:\Windows\Temp\suspicious.exe
# Step 3: Check network connections
netstat -ano | findstr "1234"
# Step 4: Dump process memory
memdump 1234 suspicious_analysis
# Step 5: Download evidence
get C:\Windows\Temp\suspicious.exe
get suspicious_analysis.dmp
# Step 6: Terminate if malicious
kill 1234
rm C:\Windows\Temp\suspicious.exe
Caso d'Uso 2: Ricerca di Meccanismi di Persistenza¶
# Check registry Run keys
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
# Check startup folders
ls "C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
ls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
# Check scheduled tasks
run schtasks /query /fo LIST /v | findstr "TaskName"
# Check services
reg query "HKLM\System\CurrentControlSet\Services"
# Download suspicious items
get "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.lnk"
Caso d'Uso 3: Raccogliere Prove Forensi¶
# Navigate to system root
cd C:\
# Collect system information
run systeminfo > C:\temp\sysinfo.txt
get C:\temp\sysinfo.txt
# Collect event logs
eventlog export -name Security -path C:\temp\security.evtx
eventlog export -name System -path C:\temp\system.evtx
get C:\temp\security.evtx
get C:\temp\system.evtx
# Collect network configuration
run ipconfig /all > C:\temp\ipconfig.txt
get C:\temp\ipconfig.txt
# Collect user information
run net user > C:\temp\users.txt
run net localgroup administrators > C:\temp\admins.txt
get C:\temp\users.txt
get C:\temp\admins.txt
# Collect registry hives (requires admin)
get C:\Windows\System32\config\SYSTEM
get C:\Windows\System32\config\SOFTWARE
Caso d'Uso 4: Rimediare a Ransomware¶
# Step 1: Identify ransomware process
ps | findstr "ransom"
# Step 2: Terminate malicious processes
kill 5678
kill 5679
# Step 3: Check for persistence
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
# Step 4: Remove persistence entries
run reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "RansomEntry" /f
# Step 5: Delete ransomware files
rm C:\Users\Public\ransomware.exe
rm C:\ProgramData\ransom\*
# Step 6: Deploy remediation script
runscript -CloudFile="Remove-Ransomware.ps1"
# Step 7: Verify cleanup
ps
ls C:\Users\Public
Caso d'Uso 5: Indagare su Movimenti Laterali¶
# Check for suspicious network connections
netstat -ano | findstr "ESTABLISHED"
# Check for remote desktop connections
eventlog view -name Security -count 1000 | findstr "4624"
eventlog view -name Security -count 1000 | findstr "4625"
# Check for mapped drives
run net use
# Check for PsExec artifacts
ls C:\Windows\*.exe
filehash C:\Windows\PSEXESVC.exe
# Check for WMI activity
eventlog view -name "Microsoft-Windows-WMI-Activity/Operational" -count 500
# Check scheduled tasks for lateral movement
run schtasks /query /fo LIST /v | findstr "Author"
# Collect evidence
get C:\Windows\Prefetch\PSEXEC*.pf
Migliori Pratiche¶
- Verificare Prima di Agire: Utilizzare sempre comandi di sola lettura (
ps,ls,
Would you like me to continue with the remaining translations?netstat) per raccogliere informazioni prima di intraprendere azioni di rimedio
kill[No text provided]
rm[No text provided]
-
Documentare Tutto: Le sessioni RTR vengono registrate, ma mantenere note separate con timestamp, comandi eseguiti e risultati per i rapporti di incidente
-
Utilizzare Privilegi Minimi: Avviare le indagini con accesso a livello Responder; escalare a Active Responder o Admin solo quando necessario
-
Preservare le Prove: Utilizzare
getper scaricare file prima della loro eliminazione; utilizzarecpper creare backup prima di modificare i file; considerarememdumpprima di terminare processi sospetti -
Batch con Attenzione: Quando si utilizzano operazioni batch su più host, testare prima i comandi su un singolo endpoint per evitare impatti involontari diffusi
-
Hashare Tutto: Eseguire sempre
filehashsu file sospetti prima di scaricarli o eliminarli per mantenere la catena di custodia e consentire la correlazione delle intelligence sulle minacce -
Gestione Sessione: Le sessioni RTR scadono dopo un periodo configurato (predefinito 15 minuti); salvare immediatamente l'output importante ed essere consapevoli dei limiti di sessione
-
Convalida Script: Testare script personalizzati (
runscript) in un ambiente di laboratorio prima di distribuirli su endpoint di produzione; convalidare la sintassi dello script e il comportamento atteso -
Consapevolezza di Rete: Utilizzare
netstatper identificare connessioni C2 attive prima di terminare i processi; il malware potrebbe avere kill switch basati su rete o capacità anti-forensi -
Considerazioni di Conformità: Assicurarsi che l'utilizzo di RTR sia conforme alle politiche organizzative, ai requisiti legali e alle normative sulla privacy; alcune giurisdizioni richiedono la notifica all'utente
Risoluzione dei Problemi¶
| Problema | Soluzione |
|---|---|
| RTR session won't connect | Verificare che l'endpoint sia online nella console Falcon; controllare la versione del sensore (richiesta 5.0+); confermare la connettività di rete al cloud CrowdStrike (porta 443); verificare che RTR sia abilitato nel Response Policy |
| "Permission denied" error | Verificare i permessi del ruolo utente; escalate da Responder ad Active Responder o Admin; verificare che la Response Policy consenta il comando specifico; contattare l'amministratore di Falcon |
| Command returns no output | Verify correct file path syntax (Windows: C:\path, Linux/Mac: /path); use pwd to confirm current directory; check if file/process exists; try absolute paths instead of relative |
get command fails |
Confermare che la dimensione del file sia inferiore al limite (8GB); verificare lo spazio su disco disponibile sull'endpoint; controllare che il file non sia bloccato da un altro processo; assicurarsi della corretta sintassi del percorso file con virgolette per gli spazi |
runscript not working |
Verificare lo script caricato nella console di Falcon (Response Scripts & Files); confermare che l'utente abbia permessi di RTR Admin; controllare errori di sintassi dello script; assicurarsi che lo script sia approvato nella Response Policy |
| Sensor shows offline | Check endpoint internet connectivity; verify sensor service running (sc query csagent Windows, systemctl status falcon-sensor Linux); restart sensor service; check firewall rules |
| Session timeout too short | Regola il timeout nelle impostazioni dei Response Policy (Configurazione → Response Policies); il massimo è 120 minuti; considera di suddividere indagini lunghe in più sessioni |
| Cannot terminate process | Process may be protected; try kill multiple times; use runscript with PowerShell Stop-Process -Force; consider system restart if critical malware; check for rootkit protection |
| Registry query returns error | Verificare la sintassi corretta del percorso del registro; assicurarsi di avere autorizzazioni sufficienti (alcune chiavi richiedono SYSTEM); utilizzare virgolette per i percorsi con spazi; confermare l'esistenza della chiave con una query del percorso padre |
| Batch operation fails on some hosts | Verificare la connettività dei singoli host; verificare che tutti gli host abbiano versioni di sensori compatibili; rivedere la coerenza della Response Policy tra i gruppi di host; controllare i singoli messaggi di errore degli host nei risultati batch |
| --- |
Scheda di Riferimento Rapido```bash
Investigation Workflow¶
ps # List processes netstat -ano # Check connections reg query HKLM...\Run # Check persistence filehash suspicious.exe # Hash file get suspicious.exe # Download evidence kill [PID] # Terminate threat rm malware.exe # Remove file
Essential Commands¶
cd, ls, pwd, cat # Navigation ps, netstat, users # System state get, put, rm # File operations kill, memdump # Process actions runscript, run # Admin execution ```