| Método | Caminho de Acesso | Requisitos |
|---|
| Falcon Console | https://falcon.crowdstrike.com → Host Management → Hosts → Actions → Real Time Response | Licença Falcon válida (Insight/Pro/Enterprise), RTR habilitado |
| Falcon API | Endpoints de REST API para acesso programático | Credenciais de cliente API, token OAuth2 |
| Windows Sensor | Deploy via GPO/SCCM: WindowsSensor.exe /install /quiet /norestart CID=YOUR_CID | Windows 7 SP1+ / Server 2008 R2+ |
| macOS Sensor | sudo installer -pkg FalconSensor.pkg -target / | macOS 10.12+, Acesso Total ao Disco |
| Linux Sensor | sudo yum install falcon-sensor.rpm && sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID | Kernel 2.6.32+, RHEL/Ubuntu/SUSE |
# Navigate in Falcon Console
Configuration → Response Policies → Real Time Response → Enable
# Start Linux sensor after installation
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# Verify macOS sensor
sudo /Applications/Falcon.app/Contents/Resources/falconctl stats
```## Instalação e Acesso
| Comando | Descrição |
|---------|-------------|
| `cd [path]` | Change current directory (e.g., `cd C:\Users\Admin\Desktop`) |
| `pwd` | Imprimir caminho do diretório de trabalho atual |
| `ls [path]` | Listar conteúdo do diretório com detalhes |
| `ls -la [path]` | Listar todos os arquivos, incluindo ocultos, com formato longo |
| `ls -R [path]` | Listar recursivamente o conteúdo do diretório |
| `cat [file]` | Display file contents (e.g., `cat C:\Windows\System32\drivers\etc\hosts`) |
| `cat -n 100 [file]` | Exibir primeiras 100 linhas do arquivo |
| `filehash [file]` | Calcular hashes MD5, SHA1 e SHA256 de arquivo |
| `ps` | Listar todos os processos em execução com PID, nome e caminho |
| `netstat` | Exibir todas as conexões de rede e portas de escuta |
| `netstat -ano` | Mostrar conexões de rede com IDs de Processos |
| `ifconfig` | Exibir configuração de interface de rede e endereços IP |
| `env` | Mostrar todas as variáveis de ambiente |
| `users` | Listar usuários atualmente conectados e informações da sessão |
| `mount` | Exibir sistemas de arquivos montados (Linux/macOS) |
| `getsid [username]` | Obter Windows Security Identifier para conta de usuário |O CrowdStrike Falcon RTR não é uma ferramenta independente, mas um recurso integrado da plataforma Falcon. Métodos de acesso:
| Comando | Descrição |
|---------|-------------|
| `reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run` | Consultar chave de registro para programas de inicialização |
| `reg query HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce` | Verificar itens de inicialização específicos do usuário |
| `reg query "HKLM\System\CurrentControlSet\Services"` | Listar serviços do Windows no registro |
| `eventlog view -name Application -count 50` | Exibir últimos 50 registros de log de eventos de Aplicativo |
| `eventlog view -name Security -count 100` | Visualizar últimos 100 registros de log de eventos de Segurança |
| `eventlog export -name System -path C:\temp\system.evtx` | Exportar log de eventos do Sistema para arquivo |### Habilitando RTR
| Comando | Descrição |
|---------|-------------|
| `get [file]` | Baixar arquivo do endpoint para o console do Falcon (7z criptografado) |
| `put [file]` | Carregar arquivo pré-preparado do console Falcon para o endpoint |
| `rm [file]` | Excluir arquivo do endpoint (exclusão permanente) |
| `rm -r [directory]` | Excluir diretório recursivamente e seu conteúdo |
| `cp [source] [destination]` | Copiar arquivo para novo local para preservação de evidências |
| `kill [PID]` | Encerrar processo à força por ID do Processo |
| `map [drive] [path]` | Map network drive (Windows, e.g., `map Z: \\server\share`) |
| `encrypt [file]` | Criptografar arquivo usando AES-256 para proteção |
| `memdump [PID] [name]` | Despejar memória do processo para análise de malware |
| `mkdir [path]` | Criar novo diretório |
| `mv [source] [dest]` | Mover ou renomear arquivo |
| `zip [archive] [files]` | Criar arquivo compactado de arquivos |
| `unzip [archive] [dest]` | Extrair arquivo compactado |## Comandos Básicos (Somente Leitura / Nível Respondedor)
| Comando | Descrição |
|---------|-------------|
| `runscript -CloudFile="script.ps1"` | Executar script PowerShell a partir do console do Falcon |
| `runscript -CloudFile="script.sh" -CommandLine="arg1 arg2"` | Executar script com argumentos |
| `runscript -CloudFile="Remediate-Malware"` | Executar script de remediação pré-construído |
| `run [command]` | Executar comando arbitrário no endpoint |
| `run whoami /all` | Exibir privilégios do usuário atual e associações de grupos |
| `run wmic process list full` | Listar informações detalhadas do processo (Windows) |
| `run netsh advfirewall show allprofiles` | Exibir status do firewall para todos os perfis |
| `run schtasks /query /fo LIST /v` | Listar todas as tarefas agendadas com detalhes |
| `run systeminfo` | Exibir informações detalhadas de configuração do sistema |
| `run tasklist /svc` | Mostrar processos com serviços associados |## Comandos de Registro e Log de Eventos (Windows)
| Comando | Descrição |
|---------|-------------|
| `filehash C:\Windows\System32\*.dll` | Hash de múltiplos arquivos usando wildcards |
| `ps | findstr "suspicious.exe"` | Filtrar lista de processos para executável específico |
| `netstat | findstr "ESTABLISHED"` | Mostrar apenas conexões de rede estabelecidas |
| `reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run /s` | Pesquisar recursivamente a chave de registro |
| `eventlog view -name Security -count 500 | findstr "4624"` | Filtrar logs de eventos para logons bem-sucedidos |
| `ls -R C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup` | Localizar itens de inicialização para todos os usuários |
| `cat C:\Windows\Prefetch\*.pf` | Examinar arquivos de prefetch em busca de evidências de execução |
| `get C:\$MFT` | Baixar Tabela Mestra de Arquivos para análise de linha do tempo |
| `memdump [PID] malware_dump && get malware_dump.dmp` | Despejar e recuperar memória de processo |## Comandos de Resposta Ativa
```bash
# In Falcon Console, select multiple hosts then:
# Host Management → Hosts → Select multiple → Actions → RTR
# Execute command across all selected hosts
batch ps
# Download file from multiple endpoints
batch get C:\Users\Public\suspicious.exe
# Kill malicious process on multiple systems
batch kill 1234
# Run remediation script across fleet
batch runscript -CloudFile="Remove-Persistence.ps1"
```## Comandos de Administração RTR
```yaml
# Navigate to: Configuration → Response Policies → Real Time Response
Policy Settings:
- Enable Real Time Response: [Enabled/Disabled]
- Custom Scripts: [Allowed/Blocked]
- Put Files: [Allowed/Blocked]
- Session Timeout: [15-120 minutes]
- Concurrent Sessions: [1-10 per user]
Permission Levels:
- RTR Responder: Read-only commands (cd, ls, ps, netstat)
- RTR Active Responder: File operations (get, put, rm, kill)
- RTR Admin: Script execution (runscript, run)
```## Comandos Avançados de Investigação
```bash
# Navigate to: Support → User Management → Roles
# Create custom RTR role
Role Name: Incident_Responder
Permissions:
- Real Time Response: Read
- Real Time Response: Write
- Real Time Response Admin: Execute
- Hosts: Read
- Detections: Read/Write
```## Operações em Lote (Múltiplos Hosts)
```python
# Python example for RTR API access
import requests
# Authenticate
auth_url = "https://api.crowdstrike.com/oauth2/token"
auth_data = {
"client_id": "YOUR_CLIENT_ID",
"client_secret": "YOUR_CLIENT_SECRET"
}
token = requests.post(auth_url, data=auth_data).json()["access_token"]
# Initialize RTR session
session_url = "https://api.crowdstrike.com/real-time-response/entities/sessions/v1"
headers = {"Authorization": f"Bearer {token}"}
session_data = {"device_id": "DEVICE_AID"}
session = requests.post(session_url, headers=headers, json=session_data)
```## Configuração
```bash
# Step 1: List running processes
ps
# Step 2: Identify suspicious PID (e.g., 1234)
# Get process hash
filehash C:\Windows\Temp\suspicious.exe
# Step 3: Check network connections
netstat -ano | findstr "1234"
# Step 4: Dump process memory
memdump 1234 suspicious_analysis
# Step 5: Download evidence
get C:\Windows\Temp\suspicious.exe
get suspicious_analysis.dmp
# Step 6: Terminate if malicious
kill 1234
rm C:\Windows\Temp\suspicious.exe
```### Políticas de Resposta RTR
```bash
# Check registry Run keys
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
# Check startup folders
ls "C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
ls "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
# Check scheduled tasks
run schtasks /query /fo LIST /v | findstr "TaskName"
# Check services
reg query "HKLM\System\CurrentControlSet\Services"
# Download suspicious items
get "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.lnk"
```### Configuração de Função de Usuário
```bash
# Navigate to system root
cd C:\
# Collect system information
run systeminfo > C:\temp\sysinfo.txt
get C:\temp\sysinfo.txt
# Collect event logs
eventlog export -name Security -path C:\temp\security.evtx
eventlog export -name System -path C:\temp\system.evtx
get C:\temp\security.evtx
get C:\temp\system.evtx
# Collect network configuration
run ipconfig /all > C:\temp\ipconfig.txt
get C:\temp\ipconfig.txt
# Collect user information
run net user > C:\temp\users.txt
run net localgroup administrators > C:\temp\admins.txt
get C:\temp\users.txt
get C:\temp\admins.txt
# Collect registry hives (requires admin)
get C:\Windows\System32\config\SYSTEM
get C:\Windows\System32\config\SOFTWARE
```### Configuração de API
```bash
# Step 1: Identify ransomware process
ps | findstr "ransom"
# Step 2: Terminate malicious processes
kill 5678
kill 5679
# Step 3: Check for persistence
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
# Step 4: Remove persistence entries
run reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "RansomEntry" /f
# Step 5: Delete ransomware files
rm C:\Users\Public\ransomware.exe
rm C:\ProgramData\ransom\*
# Step 6: Deploy remediation script
runscript -CloudFile="Remove-Ransomware.ps1"
# Step 7: Verify cleanup
ps
ls C:\Users\Public
```## Casos de Uso Comuns
```bash
# Check for suspicious network connections
netstat -ano | findstr "ESTABLISHED"
# Check for remote desktop connections
eventlog view -name Security -count 1000 | findstr "4624"
eventlog view -name Security -count 1000 | findstr "4625"
# Check for mapped drives
run net use
# Check for PsExec artifacts
ls C:\Windows\*.exe
filehash C:\Windows\PSEXESVC.exe
# Check for WMI activity
eventlog view -name "Microsoft-Windows-WMI-Activity/Operational" -count 500
# Check scheduled tasks for lateral movement
run schtasks /query /fo LIST /v | findstr "Author"
# Collect evidence
get C:\Windows\Prefetch\PSEXEC*.pf
```### Caso de Uso 1: Investigar Processo Suspeito
`ps`### Caso de Uso 2: Buscar Mecanismos de Persistência
`ls`### Caso de Uso 3: Coletar Evidências Forenses
`netstat`para reunir informações antes de tomar ações de remediação como`kill`ou`rm`
- **Documente Tudo**: Sessões RTR são registradas, mas mantenha anotações separadas com carimbos de tempo, comandos executados e descobertas para relatórios de incidente
- **Use Privilégios Mínimos**: Inicie investigações com acesso de Respondente; escale para Respondente Ativo ou Administrador apenas quando necessário
- **Preserve Evidências**: Use `get`para baixar arquivos antes da exclusão; use `cp`para criar backups antes de modificar arquivos; considere `memdump`antes de encerrar processos suspeitos
- **Lote com Cuidado**: Ao usar operações em lote em múltiplos hosts, teste comandos em um único endpoint primeiro para evitar impacto não intencional em larga escala
- **Hash Tudo**: Sempre execute `filehash`em arquivos suspeitos antes de baixar ou excluir para manter a cadeia de custódia e permitir correlação de inteligência de ameaças
- **Gerenciamento de Sessão**: Sessões RTR expiram após um período configurado (padrão 15 minutos); salve saída importante imediatamente e esteja ciente dos limites de sessão
- **Validação de Script**: Teste scripts personalizados (`runscript`) em ambiente de laboratório antes de implantar em endpoints de produção; valide sintaxe de script e comportamento esperado
- **Consciência de Rede**: Use `netstat`para identificar conexões de C2 ativas antes de encerrar processos; malware pode ter switches de eliminação baseados em rede ou capacidades anti-forenses
- **Considerações de Conformidade**: Garanta que o uso de RTR esteja em conformidade com políticas organizacionais, requisitos legais e regulamentos de privacidade; algumas jurisdições exigem notificação ao usuário
## Resolução de Problemas
| Problema | Solução |
|-------|----------|
| **RTR session won't connect** | Verifique se o endpoint está online no console do Falcon; verifique a versão do sensor (5.0+ necessária); confirme a conectividade de rede com a nuvem do CrowdStrike (porta 443); verifique se o RTR está habilitado na Política de Resposta |
| **"Permission denied" error** | Verificar permissões de função de usuário; escalar de Responder para Active Responder ou Admin; verificar se a Política de Resposta permite o comando específico; contatar o administrador do Falcon |
| **Command returns no output** | Verify correct file path syntax (Windows: `C:\path`, Linux/Mac: `/path`); use `pwd` to confirm current directory; check if file/process exists; try absolute paths instead of relative |
| **`get` command fails** | Confirmar que o tamanho do arquivo está abaixo do limite (8GB); verificar espaço em disco disponível no endpoint; verificar se o arquivo não está bloqueado por outro processo; garantir sintaxe correta do caminho do arquivo com aspas para espaços |
| **`runscript` not working** | Verificar script carregado no console do Falcon (Response Scripts & Files); confirmar que o usuário tem permissões de Admin RTR; verificar erros de sintaxe do script; garantir que o script esteja aprovado na Política de Resposta |
| **Sensor shows offline** | Check endpoint internet connectivity; verify sensor service running (`sc query csagent` Windows, `systemctl status falcon-sensor` Linux); restart sensor service; check firewall rules |
| **Session timeout too short** | Ajuste o tempo limite nas configurações de Política de Resposta (Configuração → Políticas de Resposta); o máximo é 120 minutos; considere dividir investigações longas em várias sessões |
| **Cannot terminate process** | Process may be protected; try `kill` multiple times; use `runscript` with PowerShell `Stop-Process -Force`; consider system restart if critical malware; check for rootkit protection |
| **Registry query returns error** | Verifique a sintaxe correta do caminho do registro; garanta permissões suficientes (algumas chaves requerem SYSTEM); use aspas para caminhos com espaços; confirme a existência da chave com uma consulta do caminho pai |
| **Batch operation fails on some hosts** | Verifique a conectividade individual do host; confirme se todos os hosts têm versões de sensor compatíveis; revise a consistência da Política de Resposta entre grupos de hosts; verifique mensagens de erro individuais do host nos resultados em lote |
---
**Cartão de Referência Rápida**```bash
# Investigation Workflow
ps # List processes
netstat -ano # Check connections
reg query HKLM\...\Run # Check persistence
filehash suspicious.exe # Hash file
get suspicious.exe # Download evidence
kill [PID] # Terminate threat
rm malware.exe # Remove file
# Essential Commands
cd, ls, pwd, cat # Navigation
ps, netstat, users # System state
get, put, rm # File operations
kill, memdump # Process actions
runscript, run # Admin execution
