| 메서드 | 액세스 경로 | 요구 사항 |
|---|
| Falcon Console | https://falcon.crowdstrike.com → Host Management → Hosts → Actions → Real Time Response | 유효한 Falcon 라이선스 (Insight/Pro/Enterprise), RTR 활성화됨 |
| Falcon API | REST API 엔드포인트를 통한 프로그래밍 방식 접근 | API 클라이언트 자격 증명, OAuth2 토큰 |
| Windows Sensor | Deploy via GPO/SCCM: WindowsSensor.exe /install /quiet /norestart CID=YOUR_CID | Windows 7 SP1+ / Server 2008 R2+ |
| macOS Sensor | sudo installer -pkg FalconSensor.pkg -target / | macOS 10.12+, 전체 디스크 접근 |
| Linux Sensor | sudo yum install falcon-sensor.rpm && sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID | 커널 2.6.32+, RHEL/Ubuntu/SUSE |
# Navigate in Falcon Console
Configuration → Response Policies → Real Time Response → Enable
# Start Linux sensor after installation
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# Verify macOS sensor
sudo /Applications/Falcon.app/Contents/Resources/falconctl stats
```## 설치 및 접근
| 명령어 | 설명 |
|---------|-------------|
| `cd [path]` | Change current directory (e.g., `cd C:\Users\Admin\Desktop`) |
| `pwd` | 현재 작업 디렉토리 경로 출력 |
| `ls [path]` | 디렉토리 내용을 상세히 나열하기 |
| `ls -la [path]` | 숨겨진 파일을 포함한 모든 파일을 긴 형식으로 나열 |
| `ls -R [path]` | 디렉토리 내용을 재귀적으로 나열하기 |
| `cat [file]` | Display file contents (e.g., `cat C:\Windows\System32\drivers\etc\hosts`) |
| `cat -n 100 [file]` | 파일의 첫 100줄 표시 |
| `filehash [file]` | 파일의 MD5, SHA1, SHA256 해시 계산하기 |
| `ps` | PID, 이름, 경로를 포함한 모든 실행 중인 프로세스 나열 |
| `netstat` | 모든 네트워크 연결 및 수신 포트 표시 |
| `netstat -ano` | 프로세스 ID와 함께 네트워크 연결 표시 |
| `ifconfig` | 네트워크 인터페이스 구성 및 IP 주소 표시 |
| `env` | 모든 환경 변수 표시 |
| `users` | 현재 로그인된 사용자 및 세션 정보 나열 |
| `mount` | 마운트된 파일 시스템 표시 (Linux/macOS) |
| `getsid [username]` | 사용자 계정의 Windows 보안 식별자 가져오기 |CrowdStrike Falcon RTR은 독립 도구가 아니라 Falcon 플랫폼의 통합 기능입니다. 접근 방법:
| 명령어 | 설명 |
|---------|-------------|
| `reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run` | 시작 프로그램을 위한 레지스트리 키 쿼리 |
| `reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce` | 사용자별 시작 항목 확인 |
| `reg query "HKLM\System\CurrentControlSet\Services"` | 레지스트리에서 Windows 서비스 목록 |
| `eventlog view -name Application -count 50` | 마지막 50개의 Application 이벤트 로그 항목 보기 |
| `eventlog view -name Security -count 100` | 마지막 100개의 보안 이벤트 로그 항목 보기 |
| `eventlog export -name System -path C:\temp\system.evtx` | 시스템 이벤트 로그를 파일로 내보내기 |### RTR 활성화
| 명령어 | 설명 |
|---------|-------------|
| `get [file]` | 엔드포인트에서 Falcon 콘솔로 파일 다운로드 (암호화된 7z) |
| `put [file]` | Falcon 콘솔에서 사전 준비된 파일을 엔드포인트에 업로드 |
| `rm [file]` | 엔드포인트에서 파일 삭제 (영구 삭제) |
| `rm -r [directory]` | 디렉토리와 내용을 재귀적으로 삭제 |
| `cp [source] [destination]` | 증거 보존을 위해 파일을 새 위치로 복사 |
| `kill [PID]` | 프로세스 ID로 프로세스를 강제 종료 |
| `map [drive] [path]` | Map network drive (Windows, e.g., `map Z: \\server\share`) |
| `encrypt [file]` | AES-256를 사용하여 파일 암호화 보호 |
| `memdump [PID] [name]` | 악성코드 분석을 위한 프로세스 메모리 덤프 |
| `mkdir [path]` | 새 디렉토리 생성 |
| `mv [source] [dest]` | 파일 이동 또는 이름 변경 |
| `zip [archive] [files]` | 파일의 압축 아카이브 생성 |
| `unzip [archive] [dest]` | 압축된 아카이브 추출 |## 기본 명령어 (읽기 전용 / 응답자 레벨)
| 명령어 | 설명 |
|---------|-------------|
| `runscript -CloudFile="script.ps1"` | Falcon 콘솔에서 PowerShell 스크립트 실행 |
| `runscript -CloudFile="script.sh" -CommandLine="arg1 arg2"` | 인자와 함께 스크립트 실행 |
| `runscript -CloudFile="Remediate-Malware"` | 사전 구축된 수정 스크립트 실행 |
| `run [command]` | 엔드포인트에서 임의의 명령 실행 |
| `run whoami /all` | 현재 사용자 권한 및 그룹 멤버십 표시 |
| `run wmic process list full` | 자세한 프로세스 정보 나열 (Windows) |
| `run netsh advfirewall show allprofiles` | 모든 프로필의 방화벽 상태 표시 |
| `run schtasks /query /fo LIST /v` | 모든 예약된 작업을 세부 정보와 함께 나열 |
| `run systeminfo` | 자세한 시스템 구성 정보 표시 |
| `run tasklist /svc` | 연관된 서비스가 있는 프로세스 표시 |## 레지스트리 및 이벤트 로그 명령어 (Windows)
| 명령어 | 설명 |
|---------|-------------|
| `filehash C:\Windows\System32\*.dll` | 와일드카드를 사용하여 여러 파일 해시하기 |
| `ps | findstr "suspicious.exe"` | 특정 실행 파일에 대한 프로세스 목록 필터링 |
| `netstat | findstr "ESTABLISHED"` | 설정된 네트워크 연결만 표시 |
| `reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s` | 레지스트리 키를 재귀적으로 검색 |
| `eventlog view -name Security -count 500 | findstr "4624"` | 성공한 로그온에 대한 이벤트 로그 필터링 |
| `ls -R C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup` | 모든 사용자의 시작 프로그램 찾기 |
| `cat C:\Windows\Prefetch\*.pf` | 실행 증거를 위해 프리페치 파일 검사 |
| `get C:\$MFT` | 타임라인 분석을 위한 Master File Table 다운로드 |
| `memdump [PID] malware_dump && get malware_dump.dmp` | 프로세스 메모리 덤프 및 검색 |## 활성 응답자 명령어
```bash
# In Falcon Console, select multiple hosts then:
# Host Management → Hosts → Select multiple → Actions → RTR
# Execute command across all selected hosts
batch ps
# Download file from multiple endpoints
batch get C:\Users\Public\suspicious.exe
# Kill malicious process on multiple systems
batch kill 1234
# Run remediation script across fleet
batch runscript -CloudFile="Remove-Persistence.ps1"
```## RTR 관리자 명령어
```yaml
# Navigate to: Configuration → Response Policies → Real Time Response
Policy Settings:
- Enable Real Time Response: [Enabled/Disabled]
- Custom Scripts: [Allowed/Blocked]
- Put Files: [Allowed/Blocked]
- Session Timeout: [15-120 minutes]
- Concurrent Sessions: [1-10 per user]
Permission Levels:
- RTR Responder: Read-only commands (cd, ls, ps, netstat)
- RTR Active Responder: File operations (get, put, rm, kill)
- RTR Admin: Script execution (runscript, run)
```## 고급 조사 명령어
```bash
# Navigate to: Support → User Management → Roles
# Create custom RTR role
Role Name: Incident_Responder
Permissions:
- Real Time Response: Read
- Real Time Response: Write
- Real Time Response Admin: Execute
- Hosts: Read
- Detections: Read/Write
```## 배치 작업 (다중 호스트)
```python
# Python example for RTR API access
import requests
# Authenticate
auth_url = "https://api.crowdstrike.com/oauth2/token"
auth_data = {
"client_id": "YOUR_CLIENT_ID",
"client_secret": "YOUR_CLIENT_SECRET"
}
token = requests.post(auth_url, data=auth_data).json()["access_token"]
# Initialize RTR session
session_url = "https://api.crowdstrike.com/real-time-response/entities/sessions/v1"
headers = {"Authorization": f"Bearer {token}"}
session_data = {"device_id": "DEVICE_AID"}
session = requests.post(session_url, headers=headers, json=session_data)
```## 구성
```bash
# Step 1: List running processes
ps
# Step 2: Identify suspicious PID (e.g., 1234)
# Get process hash
filehash C:\Windows\Temp\suspicious.exe
# Step 3: Check network connections
netstat -ano | findstr "1234"
# Step 4: Dump process memory
memdump 1234 suspicious_analysis
# Step 5: Download evidence
get C:\Windows\Temp\suspicious.exe
get suspicious_analysis.dmp
# Step 6: Terminate if malicious
kill 1234
rm C:\Windows\Temp\suspicious.exe
```### RTR 응답 정책
```bash
# Check registry Run keys
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
# Check startup folders
ls "C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
ls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
# Check scheduled tasks
run schtasks /query /fo LIST /v | findstr "TaskName"
# Check services
reg query "HKLM\System\CurrentControlSet\Services"
# Download suspicious items
get "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.lnk"
```### 사용자 역할 구성
```bash
# Navigate to system root
cd C:\
# Collect system information
run systeminfo > C:\temp\sysinfo.txt
get C:\temp\sysinfo.txt
# Collect event logs
eventlog export -name Security -path C:\temp\security.evtx
eventlog export -name System -path C:\temp\system.evtx
get C:\temp\security.evtx
get C:\temp\system.evtx
# Collect network configuration
run ipconfig /all > C:\temp\ipconfig.txt
get C:\temp\ipconfig.txt
# Collect user information
run net user > C:\temp\users.txt
run net localgroup administrators > C:\temp\admins.txt
get C:\temp\users.txt
get C:\temp\admins.txt
# Collect registry hives (requires admin)
get C:\Windows\System32\config\SYSTEM
get C:\Windows\System32\config\SOFTWARE
```### API 구성
```bash
# Step 1: Identify ransomware process
ps | findstr "ransom"
# Step 2: Terminate malicious processes
kill 5678
kill 5679
# Step 3: Check for persistence
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
# Step 4: Remove persistence entries
run reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "RansomEntry" /f
# Step 5: Delete ransomware files
rm C:\Users\Public\ransomware.exe
rm C:\ProgramData\ransom\*
# Step 6: Deploy remediation script
runscript -CloudFile="Remove-Ransomware.ps1"
# Step 7: Verify cleanup
ps
ls C:\Users\Public
```## 일반적인 사용 사례
```bash
# Check for suspicious network connections
netstat -ano | findstr "ESTABLISHED"
# Check for remote desktop connections
eventlog view -name Security -count 1000 | findstr "4624"
eventlog view -name Security -count 1000 | findstr "4625"
# Check for mapped drives
run net use
# Check for PsExec artifacts
ls C:\Windows\*.exe
filehash C:\Windows\PSEXESVC.exe
# Check for WMI activity
eventlog view -name "Microsoft-Windows-WMI-Activity/Operational" -count 500
# Check scheduled tasks for lateral movement
run schtasks /query /fo LIST /v | findstr "Author"
# Collect evidence
get C:\Windows\Prefetch\PSEXEC*.pf
```### 사용 사례 1: 의심스러운 프로세스 조사
`ps`### 사용 사례 2: 지속성 메커니즘 탐색
`ls`### 사용 사례 3: 포렌식 증거 수집
`netstat`대응 조치를 취하기 전에 정보를 수집하기 위해
`kill`또는
`rm`
- **모든 것 문서화하기**: RTR 세션은 로깅되지만, 인시던트 보고서를 위해 타임스탬프, 실행된 명령어, 발견 사항이 포함된 별도의 메모를 유지하세요
- **최소 권한 사용**: 조사를 Responder 수준의 접근 권한으로 시작하고; 필요한 경우에만 Active Responder 또는 관리자 권한으로 상승시키세요
- **증거 보존**: 삭제 전 파일을 다운로드하기 위해 `get`를 사용하세요; 파일 수정 전 백업을 만들기 위해 `cp`를 사용하세요; 의심스러운 프로세스를 종료하기 전에 `memdump`을 고려하세요
- **배치 작업 주의**: 여러 호스트에서 배치 작업을 수행할 때, 의도하지 않은 광범위한 영향을 방지하기 위해 먼저 단일 엔드포인트에서 명령어를 테스트하세요
- **모든 해시 기록**: 증거 연결 사슬을 유지하고 위협 인텔리전스 상관관계를 가능하게 하기 위해 의심스러운 파일을 다운로드하거나 삭제하기 전에 항상 `filehash`를 실행하세요
- **세션 관리**: RTR 세션은 구성된 기간(기본값 15분) 후 시간 초과됩니다; 중요한 출력을 즉시 저장하고 세션 제한을 인지하세요
- **스크립트 검증**: 프로덕션 엔드포인트에 배포하기 전에 랩 환경에서 사용자 정의 스크립트(`runscript`)를 테스트하세요; 스크립트 구문과 예상 동작을 검증하세요
- **네트워크 인식**: 프로세스를 종료하기 전에 활성 C2 연결을 식별하기 위해 `netstat`를 사용하세요; 맬웨어는 네트워크 기반 킬 스위치 또는 안티 포렌식 기능을 가질 수 있습니다
- **규정 준수 고려사항**: RTR 사용이 조직 정책, 법적 요구사항, 개인정보 보호 규정을 준수하는지 확인하세요; 일부 관할권에서는 사용자 알림이 필요할 수 있습니다
## 문제 해결
| 문제 | 솔루션 |
|-------|----------|
| **RTR session won't connect** | 규칙:
- Falcon 콘솔에서 엔드포인트가 온라인 상태인지 확인; 센서 버전 확인 (5.0+ 필요); CrowdStrike 클라우드에 대한 네트워크 연결 확인 (포트 443); 응답 정책에서 RTR이 활성화되었는지 확인 |
| **"Permission denied" error** | 사용자 역할 권한 확인; Responder에서 Active Responder 또는 Admin으로 상승; 응답 정책이 특정 명령을 허용하는지 확인; Falcon 관리자에게 연락 |
| **Command returns no output** | Verify correct file path syntax (Windows: `C:\path`, Linux/Mac: `/path`); use `pwd` to confirm current directory; check if file/process exists; try absolute paths instead of relative |
| **`get` command fails** | 파일 크기가 제한 (8GB) 이하인지 확인; 엔드포인트의 사용 가능한 디스크 공간 확인; 파일이 다른 프로세스에 의해 잠기지 않았는지 확인; 공백이 있는 경우 따옴표로 파일 경로 구문 확인 |
| **`runscript` not working** | 규칙:
- Falcon 콘솔에 업로드된 스크립트 확인 (Response Scripts & Files);
- 사용자에게 RTR 관리자 권한이 있는지 확인;
- 스크립트 구문 오류 확인;
- 스크립트가 Response Policy에서 승인되었는지 확인 |
| **Sensor shows offline** | Check endpoint internet connectivity; verify sensor service running (`sc query csagent` Windows, `systemctl status falcon-sensor` Linux); restart sensor service; check firewall rules |
| **Session timeout too short** | 응답 정책 설정(구성 → 응답 정책)에서 타임아웃 조정; 최대 120분; 장기 조사를 여러 세션으로 나누는 것을 고려하세요 |
| **Cannot terminate process** | Process may be protected; try `kill` multiple times; use `runscript` with PowerShell `Stop-Process -Force`; consider system restart if critical malware; check for rootkit protection |
| **Registry query returns error** | 레지스트리 경로 구문이 올바른지 확인하고; SYSTEM이 필요한 일부 키를 포함하여 충분한 권한이 있는지 확인하고; 공백이 있는 경로에는 따옴표 사용; 상위 경로 쿼리로 키 존재 여부 확인 |
| **Batch operation fails on some hosts** | 개별 호스트 연결성 확인; 모든 호스트의 센서 버전 호환성 검증; 호스트 그룹 간 응답 정책 일관성 검토; 배치 결과의 개별 호스트 오류 메시지 확인 |
---
**빠른 참조 카드**```bash
# Investigation Workflow
ps # List processes
netstat -ano # Check connections
reg query HKLM\...\Run # Check persistence
filehash suspicious.exe # Hash file
get suspicious.exe # Download evidence
kill [PID] # Terminate threat
rm malware.exe # Remove file
# Essential Commands
cd, ls, pwd, cat # Navigation
ps, netstat, users # System state
get, put, rm # File operations
kill, memdump # Process actions
runscript, run # Admin execution
