CrowdStrike Falcon RTR Cheatsheet
CrowdStrike Falcon RTR Cheatsheet
Installazione e Accesso
CrowdStrike Falcon RTR non è uno strumento autonomo ma una funzionalità integrata della piattaforma Falcon. Metodi di accesso:
| Metodo | Percorso di Accesso | Requisiti |
|---|---|---|
| Falcon Console | https://falcon.crowdstrike.com → Host Management → Hosts → Actions → Real Time Response | Licenza Falcon valida (Insight/Pro/Enterprise), RTR abilitato |
| Falcon API | Endpoint REST API per l’accesso programmatico | Credenziali client API, token OAuth2 |
| Windows Sensor | Deploy via GPO/SCCM: WindowsSensor.exe /install /quiet /norestart CID=YOUR_CID | Windows 7 SP1+ / Server 2008 R2+ |
| macOS Sensor | sudo installer -pkg FalconSensor.pkg -target / | macOS 10.12+, Accesso Completo al Disco |
| Linux Sensor | sudo yum install falcon-sensor.rpm && sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID | Kernel 2.6.32+, RHEL/Ubuntu/SUSE |
Abilitazione RTR
# Navigate in Falcon Console
Configuration → Response Policies → Real Time Response → Enable
# Start Linux sensor after installation
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# Verify macOS sensor
sudo /Applications/Falcon.app/Contents/Resources/falconctl statsComandi di Base (Sola Lettura / Livello Responder)
| Comando | Descrizione |
|---|---|
cd [path] | Change current directory (e.g., cd C:\Users\Admin\Desktop) |
pwd | Stampa il percorso della directory di lavoro corrente |
ls [path] | Elenca il contenuto della directory con dettagli |
ls -la [path] | Elenca tutti i file, compresi quelli nascosti, con formato esteso |
ls -R [path] | Elenca ricorsivamente il contenuto della directory |
cat [file] | Display file contents (e.g., cat C:\Windows\System32\drivers\etc\hosts) |
cat -n 100 [file] | Visualizza le prime 100 righe del file |
filehash [file] | Calcola gli hash MD5, SHA1 e SHA256 di un file |
ps | Elenca tutti i processi in esecuzione con PID, nome e percorso |
netstat | Mostra tutte le connessioni di rete e le porte in ascolto |
netstat -ano | Mostra connessioni di rete con Process IDs |
ifconfig | Visualizza la configurazione dell’interfaccia di rete e gli indirizzi IP |
env | Mostra tutte le variabili d’ambiente |
users | Elenca gli utenti attualmente connessi e le informazioni sulla sessione |
mount | Visualizza filesystem montati (Linux/macOS) |
getsid [username] | Ottenere Windows Security Identifier per account utente |
Comandi Registry ed Event Log (Windows)
| Comando | Descrizione |
|---|---|
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Esegui query della chiave di registro per programmi di avvio |
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce | Verifica degli elementi di avvio specifici dell’utente |
reg query "HKLM\System\CurrentControlSet\Services" | Elencare i servizi di Windows nel registro |
eventlog view -name Application -count 50 | Visualizza gli ultimi 50 voci del registro eventi di Application |
eventlog view -name Security -count 100 | Visualizza gli ultimi 100 voci del registro eventi di Sicurezza |
eventlog export -name System -path C:\temp\system.evtx | Esporta registro eventi di Sistema in un file |
Comandi Active Responder
| Comando | Descrizione |
|---|---|
get [file] | Scarica file dall’endpoint alla console Falcon (7z crittografato) |
put [file] | Carica file pre-staging da console Falcon all’endpoint |
rm [file] | Elimina file dall’endpoint (eliminazione permanente) |
rm -r [directory] | Elimina ricorsivamente directory e contenuti |
cp [source] [destination] | Copia file in una nuova posizione per la conservazione delle prove |
kill [PID] | Termina forzatamente il processo tramite Process ID |
map [drive] [path] | Map network drive (Windows, e.g., map Z: \\server\share) |
encrypt [file] | Crittografare il file utilizzando AES-256 per la protezione |
memdump [PID] [name] | Dump della memoria del processo per l’analisi di malware |
mkdir [path] | Crea nuova directory |
mv [source] [dest] | Sposta o rinomina file |
zip [archive] [files] | Crea archivio compresso dei file |
unzip [archive] [dest] | Estrai archivio compresso |
Comandi RTR Admin
| Comando | Descrizione |
|---|---|
runscript -CloudFile="script.ps1" | Esegui script PowerShell dalla console Falcon |
runscript -CloudFile="script.sh" -CommandLine="arg1 arg2" | Esegui script con argomenti |
runscript -CloudFile="Remediate-Malware" | Esegui script di rimediazione pre-costruito |
run [command] | Esegui un comando arbitrario sull’endpoint |
run whoami /all | Visualizza i privilegi dell’utente corrente e le appartenenze ai gruppi |
run wmic process list full | Elenca informazioni dettagliate sul processo (Windows) |
run netsh advfirewall show allprofiles | Visualizza lo stato del firewall per tutti i profili |
run schtasks /query /fo LIST /v | Elenca tutti i task pianificati con dettagli |
run systeminfo | Visualizza informazioni dettagliate sulla configurazione del sistema |
run tasklist /svc | Mostra processi con servizi associati |
Comandi Avanzati di Investigazione
| Comando | Descrizione |
|---|---|
filehash C:\Windows\System32\*.dll | Hash di più file utilizzando wildcard |
| `ps | findstr “suspicious.exe”` |
| `netstat | findstr “ESTABLISHED”` |
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s | Cerca ricorsivamente la chiave di registro |
| `eventlog view -name Security -count 500 | findstr “4624”` |
ls -R C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup | Trova elementi di avvio per tutti gli utenti |
cat C:\Windows\Prefetch\*.pf | Esamina i file prefetch per prove di esecuzione |
get C:\$MFT | Scarica Master File Table per l’analisi della timeline |
memdump [PID] malware_dump && get malware_dump.dmp | Dump e recupero della memoria del processo |
Operazioni in Batch (Host Multipli)
# In Falcon Console, select multiple hosts then:
# Host Management → Hosts → Select multiple → Actions → RTR
# Execute command across all selected hosts
batch ps
# Download file from multiple endpoints
batch get C:\Users\Public\suspicious.exe
# Kill malicious process on multiple systems
batch kill 1234
# Run remediation script across fleet
batch runscript -CloudFile="Remove-Persistence.ps1"Configurazione
Politiche di Risposta RTR
# Navigate to: Configuration → Response Policies → Real Time Response
Policy Settings:
- Enable Real Time Response: [Enabled/Disabled]
- Custom Scripts: [Allowed/Blocked]
- Put Files: [Allowed/Blocked]
- Session Timeout: [15-120 minutes]
- Concurrent Sessions: [1-10 per user]
Permission Levels:
- RTR Responder: Read-only commands (cd, ls, ps, netstat)
- RTR Active Responder: File operations (get, put, rm, kill)
- RTR Admin: Script execution (runscript, run)Configurazione Ruoli Utente
# Navigate to: Support → User Management → Roles
# Create custom RTR role
Role Name: Incident_Responder
Permissions:
- Real Time Response: Read
- Real Time Response: Write
- Real Time Response Admin: Execute
- Hosts: Read
- Detections: Read/WriteConfigurazione API
# Python example for RTR API access
import requests
# Authenticate
auth_url = "https://api.crowdstrike.com/oauth2/token"
auth_data = {
"client_id": "YOUR_CLIENT_ID",
"client_secret": "YOUR_CLIENT_SECRET"
}
token = requests.post(auth_url, data=auth_data).json()["access_token"]
# Initialize RTR session
session_url = "https://api.crowdstrike.com/real-time-response/entities/sessions/v1"
headers = {"Authorization": f"Bearer {token}"}
session_data = {"device_id": "DEVICE_AID"}
session = requests.post(session_url, headers=headers, json=session_data)Casi d’Uso Comuni
Caso d’Uso 1: Indagare su Processi Sospetti
# Step 1: List running processes
ps
# Step 2: Identify suspicious PID (e.g., 1234)
# Get process hash
filehash C:\Windows\Temp\suspicious.exe
# Step 3: Check network connections
netstat -ano | findstr "1234"
# Step 4: Dump process memory
memdump 1234 suspicious_analysis
# Step 5: Download evidence
get C:\Windows\Temp\suspicious.exe
get suspicious_analysis.dmp
# Step 6: Terminate if malicious
kill 1234
rm C:\Windows\Temp\suspicious.exeCaso d’Uso 2: Ricerca di Meccanismi di Persistenza
# Check registry Run keys
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
# Check startup folders
ls "C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
ls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
# Check scheduled tasks
run schtasks /query /fo LIST /v | findstr "TaskName"
# Check services
reg query "HKLM\System\CurrentControlSet\Services"
# Download suspicious items
get "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.lnk"Caso d’Uso 3: Raccogliere Prove Forensi
# Navigate to system root
cd C:\
# Collect system information
run systeminfo > C:\temp\sysinfo.txt
get C:\temp\sysinfo.txt
# Collect event logs
eventlog export -name Security -path C:\temp\security.evtx
eventlog export -name System -path C:\temp\system.evtx
get C:\temp\security.evtx
get C:\temp\system.evtx
# Collect network configuration
run ipconfig /all > C:\temp\ipconfig.txt
get C:\temp\ipconfig.txt
# Collect user information
run net user > C:\temp\users.txt
run net localgroup administrators > C:\temp\admins.txt
get C:\temp\users.txt
get C:\temp\admins.txt
# Collect registry hives (requires admin)
get C:\Windows\System32\config\SYSTEM
get C:\Windows\System32\config\SOFTWARECaso d’Uso 4: Rimediare a Ransomware
# Step 1: Identify ransomware process
ps | findstr "ransom"
# Step 2: Terminate malicious processes
kill 5678
kill 5679
# Step 3: Check for persistence
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
# Step 4: Remove persistence entries
run reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "RansomEntry" /f
# Step 5: Delete ransomware files
rm C:\Users\Public\ransomware.exe
rm C:\ProgramData\ransom\*
# Step 6: Deploy remediation script
runscript -CloudFile="Remove-Ransomware.ps1"
# Step 7: Verify cleanup
ps
ls C:\Users\PublicCaso d’Uso 5: Indagare su Movimenti Laterali
# Check for suspicious network connections
netstat -ano | findstr "ESTABLISHED"
# Check for remote desktop connections
eventlog view -name Security -count 1000 | findstr "4624"
eventlog view -name Security -count 1000 | findstr "4625"
# Check for mapped drives
run net use
# Check for PsExec artifacts
ls C:\Windows\*.exe
filehash C:\Windows\PSEXESVC.exe
# Check for WMI activity
eventlog view -name "Microsoft-Windows-WMI-Activity/Operational" -count 500
# Check scheduled tasks for lateral movement
run schtasks /query /fo LIST /v | findstr "Author"
# Collect evidence
get C:\Windows\Prefetch\PSEXEC*.pfMigliori Pratiche
- Verificare Prima di Agire: Utilizzare sempre comandi di sola lettura (
ps,ls,
Would you like me to continue with the remaining translations?netstat) per raccogliere informazioni prima di intraprendere azioni di rimedio
kill[No text provided]
rm[No text provided]
-
Documentare Tutto: Le sessioni RTR vengono registrate, ma mantenere note separate con timestamp, comandi eseguiti e risultati per i rapporti di incidente
-
Utilizzare Privilegi Minimi: Avviare le indagini con accesso a livello Responder; escalare a Active Responder o Admin solo quando necessario
-
Preservare le Prove: Utilizzare
getper scaricare file prima della loro eliminazione; utilizzarecpper creare backup prima di modificare i file; considerarememdumpprima di terminare processi sospetti -
Batch con Attenzione: Quando si utilizzano operazioni batch su più host, testare prima i comandi su un singolo endpoint per evitare impatti involontari diffusi
-
Hashare Tutto: Eseguire sempre
filehashsu file sospetti prima di scaricarli o eliminarli per mantenere la catena di custodia e consentire la correlazione delle intelligence sulle minacce -
Gestione Sessione: Le sessioni RTR scadono dopo un periodo configurato (predefinito 15 minuti); salvare immediatamente l’output importante ed essere consapevoli dei limiti di sessione
-
Convalida Script: Testare script personalizzati (
runscript) in un ambiente di laboratorio prima di distribuirli su endpoint di produzione; convalidare la sintassi dello script e il comportamento atteso -
Consapevolezza di Rete: Utilizzare
netstatper identificare connessioni C2 attive prima di terminare i processi; il malware potrebbe avere kill switch basati su rete o capacità anti-forensi -
Considerazioni di Conformità: Assicurarsi che l’utilizzo di RTR sia conforme alle politiche organizzative, ai requisiti legali e alle normative sulla privacy; alcune giurisdizioni richiedono la notifica all’utente
Risoluzione dei Problemi
| Problema | Soluzione |
|---|---|
| RTR session won’t connect | Verificare che l’endpoint sia online nella console Falcon; controllare la versione del sensore (richiesta 5.0+); confermare la connettività di rete al cloud CrowdStrike (porta 443); verificare che RTR sia abilitato nel Response Policy |
| ”Permission denied” error | Verificare i permessi del ruolo utente; escalate da Responder ad Active Responder o Admin; verificare che la Response Policy consenta il comando specifico; contattare l’amministratore di Falcon |
| Command returns no output | Verify correct file path syntax (Windows: C:\path, Linux/Mac: /path); use pwd to confirm current directory; check if file/process exists; try absolute paths instead of relative |
get command fails | Confermare che la dimensione del file sia inferiore al limite (8GB); verificare lo spazio su disco disponibile sull’endpoint; controllare che il file non sia bloccato da un altro processo; assicurarsi della corretta sintassi del percorso file con virgolette per gli spazi |
runscript not working | Verificare lo script caricato nella console di Falcon (Response Scripts & Files); confermare che l’utente abbia permessi di RTR Admin; controllare errori di sintassi dello script; assicurarsi che lo script sia approvato nella Response Policy |
| Sensor shows offline | Check endpoint internet connectivity; verify sensor service running (sc query csagent Windows, systemctl status falcon-sensor Linux); restart sensor service; check firewall rules |
| Session timeout too short | Regola il timeout nelle impostazioni dei Response Policy (Configurazione → Response Policies); il massimo è 120 minuti; considera di suddividere indagini lunghe in più sessioni |
| Cannot terminate process | Process may be protected; try kill multiple times; use runscript with PowerShell Stop-Process -Force; consider system restart if critical malware; check for rootkit protection |
| Registry query returns error | Verificare la sintassi corretta del percorso del registro; assicurarsi di avere autorizzazioni sufficienti (alcune chiavi richiedono SYSTEM); utilizzare virgolette per i percorsi con spazi; confermare l’esistenza della chiave con una query del percorso padre |
| Batch operation fails on some hosts | Verificare la connettività dei singoli host; verificare che tutti gli host abbiano versioni di sensori compatibili; rivedere la coerenza della Response Policy tra i gruppi di host; controllare i singoli messaggi di errore degli host nei risultati batch |
Scheda di Riferimento Rapido```bash
Investigation Workflow
ps # List processes netstat -ano # Check connections reg query HKLM…\Run # Check persistence filehash suspicious.exe # Hash file get suspicious.exe # Download evidence kill [PID] # Terminate threat rm malware.exe # Remove file
Essential Commands
cd, ls, pwd, cat # Navigation ps, netstat, users # System state get, put, rm # File operations kill, memdump # Process actions runscript, run # Admin execution