deploying-edr-agent-with-crowdstrike
在企业端点上部署和配置 CrowdStrike Falcon EDR 代理,实现实时威胁检测、行为分析和自动化响应。 适用于将端点接入 EDR 覆盖范围、配置检测策略,或将 Falcon 遥测数据与 SIEM 平台集成的场景。
Best use case
deploying-edr-agent-with-crowdstrike is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
在企业端点上部署和配置 CrowdStrike Falcon EDR 代理,实现实时威胁检测、行为分析和自动化响应。 适用于将端点接入 EDR 覆盖范围、配置检测策略,或将 Falcon 遥测数据与 SIEM 平台集成的场景。
Teams using deploying-edr-agent-with-crowdstrike should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/deploying-edr-agent-with-crowdstrike/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How deploying-edr-agent-with-crowdstrike Compares
| Feature / Agent | deploying-edr-agent-with-crowdstrike | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
在企业端点上部署和配置 CrowdStrike Falcon EDR 代理,实现实时威胁检测、行为分析和自动化响应。 适用于将端点接入 EDR 覆盖范围、配置检测策略,或将 Falcon 遥测数据与 SIEM 平台集成的场景。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 CrowdStrike 部署 EDR 代理
## 使用场景
在以下情况下使用本技能:
- 将 CrowdStrike Falcon 传感器部署到 Windows、macOS 或 Linux 端点
- 为不同端点组配置 Falcon 防护和检测策略
- 将 CrowdStrike 遥测数据与 SIEM(Splunk、Elastic、Sentinel)集成以进行关联检测
- 排查传感器连接、性能或检测问题
**不适用于**部署其他 EDR 解决方案(Carbon Black、SentinelOne)或 Falcon 云工作负载防护(使用专用云部署指南)。
## 前置条件
- 具有 Falcon 管理员角色的 CrowdStrike Falcon 控制台访问权限
- 客户 ID(CID)和 Falcon 传感器安装包
- 目标端点的管理员/root 访问权限
- 网络访问:端点必须能访问 CrowdStrike 云(ts01-b.cloudsink.net 的 443 端口)
- 部署工具:SCCM、Intune、GPO、Ansible 或手动安装
## 操作流程
### 步骤 1:获取 Falcon 传感器安装包和 CID
```
1. 登录 Falcon 控制台:https://falcon.crowdstrike.com
2. 导航:主机设置和管理 → 传感器下载
3. 下载对应的安装包:
- Windows:WindowsSensor_<版本>.exe
- macOS:FalconSensorMacOS_<版本>.pkg
- Linux:falcon-sensor_<版本>_amd64.deb / .rpm
4. 从传感器下载页面复制客户 ID(CID)
- CID 格式:<32位十六进制>-<2位校验码>
```
### 步骤 2:部署 Falcon 传感器 - Windows
**通过命令行静默安装**:
```cmd
WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<YOUR_CID>
```
**SCCM 部署**:
```
1. 在 SCCM 中创建应用程序
2. 部署类型:脚本安装程序
3. 安装命令:WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<CID>
4. 检测方法:注册表项存在
- HKLM\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default
5. 部署到目标集合
6. 部署目的:必需(强制安装)
```
**Microsoft Intune 部署**:
```
1. 导航:设备 → Windows → 配置文件
2. 创建 Win32 应用部署
3. 上传 .intunewin 包(封装后的传感器安装包)
4. 安装命令:WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<CID>
5. 检测规则:文件存在 C:\Windows\System32\drivers\CrowdStrike\csagent.sys
6. 分配给设备组
```
**GPO 部署**:
```powershell
# 创建启动脚本,检查是否已安装
$sensorPath = "C:\Windows\System32\drivers\CrowdStrike\csagent.sys"
if (-not (Test-Path $sensorPath)) {
Start-Process -FilePath "\\fileserver\CrowdStrike\WindowsSensor.exe" `
-ArgumentList "/install /quiet /norestart CID=<CID>" -Wait
}
```
### 步骤 3:部署 Falcon 传感器 - Linux
```bash
# Debian/Ubuntu
sudo dpkg -i falcon-sensor_7.18.0-17106_amd64.deb
sudo /opt/CrowdStrike/falconctl -s -f --cid=<YOUR_CID>
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# RHEL/CentOS
sudo yum install falcon-sensor-7.18.0-17106.el8.x86_64.rpm
sudo /opt/CrowdStrike/falconctl -s -f --cid=<YOUR_CID>
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor
# 验证传感器正在运行并已连接
sudo /opt/CrowdStrike/falconctl -g --rfm-state
# 预期输出:rfm-state=false(传感器正在与云通信)
```
### 步骤 4:部署 Falcon 传感器 - macOS
```bash
# 安装传感器包
sudo installer -pkg FalconSensorMacOS_7.18.pkg -target /
# 设置 CID
sudo /Applications/Falcon.app/Contents/Resources/falconctl license <YOUR_CID>
# 通过 MDM 配置文件授予完整磁盘访问和系统扩展权限
# macOS Ventura+ 必须(手动批准或 MDM PPPC 配置文件)
# MDM 载荷:com.crowdstrike.falcon.Agent → SystemExtension + Full Disk Access
# 验证传感器状态
sudo /Applications/Falcon.app/Contents/Resources/falconctl stats
```
### 步骤 5:配置防护策略
在 Falcon 控制台中,导航至配置 → 防护策略:
**推荐的防护策略设置**:
```
机器学习:
- 云端 ML:激进(额外防护,可能增加误报)
- 传感器 ML:适中
- 广告软件和 PUP:适中
行为保护:
- 写入时检测:已启用(在文件创建时检测恶意软件)
- 传感器 ML 检测:已启用
- 仅解释器:已启用(检测基于脚本的攻击)
漏洞利用缓解:
- 漏洞利用行为防护:已启用
- 内存扫描:已启用(检测内存中的攻击)
- 代码注入:已启用
勒索软件:
- 勒索软件防护:已启用
- 卷影副本保护:已启用
- MBR 保护:已启用
```
**为以下群组创建独立策略**:
- 工作站(激进设置)
- 服务器(适中设置以避免服务器工作负载的误报)
- 关键基础设施(最高防护,配合例外列表)
### 步骤 6:配置响应策略
```
实时响应(RTR):
- 为所有传感器组启用 RTR
- 配置 RTR 管理员和 RTR 响应者角色
- 启用脚本执行(供 IR 团队使用)
- 启用文件提取(用于取证)
网络隔离:
- 为特定主机组预授权隔离操作
- 配置隔离排除项(允许管理流量)
自动响应:
- 对高可信度检测启用自动修复
- 配置勒索软件检测的终止进程操作
- 对恶意软件文件检测启用隔离
```
### 步骤 7:验证部署
```powershell
# Windows:检查 Falcon 传感器状态
sc query csagent
# 预期:RUNNING
# 检查传感器版本
reg query "HKLM\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default" /v AgentVersion
# 验证云连接
# 在 Falcon 控制台:主机管理 → 主机 → 搜索主机名
# 状态应显示"在线"且最后访问时间戳 < 5 分钟
```
**测试检测能力**:
```powershell
# CrowdStrike 提供测试检测样本
# 从 Falcon 控制台 → 主机设置下载 CsTestDetect.exe
# 在端点上运行以生成测试检测
.\CsTestDetect.exe
# 验证检测在 60 秒内出现在 Falcon 控制台
```
### 步骤 8:SIEM 集成
```
# Falcon SIEM 连接器(流式 API)
# 在 Falcon 控制台配置:支持 → API 客户端和密钥
# 创建权限范围为:事件流 → 读取 的 API 客户端
# 使用 falcon-siem-connector 或 Falcon 数据复制器(FDR)
# Splunk 集成:
# 从 Splunkbase 安装 CrowdStrike Falcon 事件流技术附加组件
# 配置:设置 → 数据输入 → CrowdStrike Falcon 事件流
# 输入 API 客户端 ID 和密钥
# 索引:crowdstrike_events
# Elastic 集成:
# 使用带 CrowdStrike 模块的 Elastic Agent
# 配置:Fleet → 代理策略 → 添加集成 → CrowdStrike
```
## 关键概念
| 术语 | 定义 |
|------|------|
| **Falcon 传感器** | 轻量级内核模式代理(25-30 MB),收集端点遥测数据并执行防护策略 |
| **CID(客户 ID)** | 将传感器与 CrowdStrike Falcon 租户关联的唯一标识符 |
| **RFM(降级功能模式)** | 因云连接丢失导致传感器以有限能力运行的状态 |
| **传感器分组标签** | 安装时应用的标签,用于自动将主机分配到组和策略 |
| **RTR(实时响应)** | 允许事件响应人员通过 Falcon 与端点交互的远程 Shell 能力 |
| **IOA(攻击指标)** | 基于攻击者技术而非静态特征的行为检测 |
## 工具与系统
- **CrowdStrike Falcon 控制台**:托管所有 Falcon 模块的云端管理平台
- **Falcon SIEM 连接器**:将检测和审计事件流式传输到 SIEM 平台
- **Falcon 数据复制器(FDR)**:将原始端点遥测数据流式传输到 S3/云存储供威胁狩猎使用
- **CrowdStrike Falcon API(OAuth2)**:用于自动化、集成和自定义工作流的 RESTful API
- **PSFalcon**:用于 CrowdStrike Falcon API 自动化的 PowerShell 模块
## 常见误区
- **安装时缺少 CID**:传感器安装了但从未连接到 Falcon 云。务必在安装时传入 CID,而不是事后配置。
- **未配置代理**:在有 Web 代理的环境中,需在安装时配置代理:`/install /quiet CID=<CID> APP_PROXYNAME=proxy.corp.com APP_PROXYPORT=8080`。
- **macOS 系统扩展被阻止**:macOS 需要明确批准内核/系统扩展。部署前使用 MDM 预先批准 CrowdStrike 扩展。
- **安全产品冲突**:同时运行多个 EDR/AV 产品会导致性能问题和误报。在 Falcon 部署前协调排除项或卸载旧版 AV。
- **传感器版本固定**:Falcon 默认自动更新传感器。对于受变更控制的环境,在测试新版本前在控制台中固定传感器版本。Related Skills
deploying-tailscale-for-zero-trust-vpn
部署并配置 Tailscale 作为基于 WireGuard 的零信任网状 VPN,具备身份感知访问控制、ACL 和出口节点,实现安全的点对点连接。
deploying-software-defined-perimeter
部署软件定义边界(Software-Defined Perimeter,SDP),围绕各个资源创建动态配置的、以身份为中心的边界,通过"暗云"方法实现零信任访问控制。
deploying-ransomware-canary-files
使用 Python watchdog 库在关键目录中部署并监控勒索软件诱饵文件(Canary File),实现实时文件系统事件检测。 将策略性命名的诱饵文件(模拟高价值目标,如财务记录、凭据、数据库导出)放置在勒索软件通常优先枚举的 目录中,监控对诱饵文件的任何读取、修改、重命名或删除操作,并在检测到交互时通过 Email、Slack Webhook 或 Syslog 触发即时告警,在完整加密开始前提供早期预警。
deploying-palo-alto-prisma-access-zero-trust
部署 Palo Alto Networks Prisma Access,通过 GlobalProtect Agent、ZTNA Connector、 安全策略执行以及与 Strata Cloud Manager 集成,实现基于 SASE 的零信任网络访问统一安全管理。
deploying-osquery-for-endpoint-monitoring
部署和配置 osquery,使用基于 SQL 的查询对运行进程、开放端口、已安装软件和系统配置进行实时端点监控。 适用于构建端点状态可见性、跨部署范围进行威胁狩猎或实施合规监控的场景。
deploying-cloudflare-access-for-zero-trust
部署 Cloudflare Access 和 Cloudflare Tunnel,为自托管和私有应用程序提供零信任访问, 配置身份感知访问策略、设备态势检查,以及用于 VPN 替代的 WARP 客户端注册。
triaging-vulnerabilities-with-ssvc-framework
使用 CISA 的利益相关方特定漏洞分类(SSVC)决策树框架对漏洞进行分类和优先排序,产出可操作的修复优先级:Track、Track*、Attend 或 Act。
triaging-security-incident
使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。
triaging-security-incident-with-ir-playbook
使用结构化 IR Playbook 对安全事件进行分类和优先排序,确定严重性、分配响应团队并启动适当的响应程序。
triaging-security-alerts-in-splunk
在 Splunk Enterprise Security 中对安全告警进行分类,通过 SPL 查询和事件审查(Incident Review) 仪表板对重要事件进行严重性分类、调查、关联相关遥测并做出升级或关闭决策。 适用于 SOC 分析师需要处理关联搜索产生的告警队列、确定调查优先级, 或需要为交接给二/三级分析师记录分类决策时。
tracking-threat-actor-infrastructure
威胁行为者基础设施追踪涉及使用被动 DNS、证书透明度日志、Shodan/Censys 扫描、WHOIS 分析和网络指纹技术,对对手控制的 C2 服务器、钓鱼域名和暂存服务器等资产进行监控、映射和持续追踪
testing-websocket-api-security
测试 WebSocket API 实现中的安全漏洞,包括 WebSocket 升级时缺少身份认证、跨站 WebSocket 劫持(Cross-Site WebSocket Hijacking,CSWSH)、通过 WebSocket 消息进行的注入攻击、输入校验不足、通过消息泛洪实施拒绝服务,以及通过 WebSocket 帧造成的信息泄露。测试人员使用 Burp Suite 拦截 WebSocket 握手和消息,构造恶意 payload,并测试 WebSocket 通道上的授权绕过。适用于 WebSocket 安全测试、WS 渗透测试、CSWSH 攻击或实时 API 安全评估相关请求。