Falcon Search Engine est le moteur de recherche le plus rapide et le plus puissant du marché de la cybersécurité. CrowdStrike a constitué la base de données consultable la plus vaste du secteur, intégrant plus de 100 milliards d'incidents de sécurité par jour et indexant 400 millions de fichiers malveillants sur lesquels des recherches peuvent être exécutées en temps réel. Grâce à son approche unique de l'indexation, le moteur Falcon Search Engine permet aux clients de tirer avantage des données afin d'accélérer et d'approfondir considérablement leurs recherches sur les logiciels malveillants dans le SOC. C'est également vrai pour les professionnels de la sécurité en général.
Questions fréquentes – CrowdStrike Falcon MalQuery
Pour voir la Plateforme Falcon en action, profitez d’une évaluation gratuite du module NGAV :
Agir plus vite que ses cyberadversaires, comprendre les menaces dans leur contexte sont deux éléments essentiels pour gagner l'avantage nécessaire à la défense des organisations contre les attaques sophistiquées d'aujourd'hui. La réalité de nos jours, pour les professionnels de la sécurité, est que leurs outils de recherche sont trop lents. Comprendre une attaque et prendre les mesures de protection nécessaires peut leur prendre plusieurs heures, voire plusieurs jours. Il leur faut compter sur le traitement lent de leurs requêtes, sur des ensembles de données incohérents ou incomplets et sur une quantité importante de faux positifs. Dans de telles conditions, il est plus difficile de bien appréhender les cybermenaces et de les contrecarrer. Les moteurs de recherche ont révolutionné la vitesse avec laquelle nous exécutons des recherches dans d'autres aspects de notre vie, et le moteur Falcon Search Engine joue le même rôle dans le domaine de la cybersécurité.
CrowdStrike Falcon MalQuery est à la fois l'outil de recherche sur les logiciels malveillants et le composant de cyberveille de Falcon Search Engine.
Falcon MalQuery est un outil de recherche sur les logiciels malveillants perfectionné, basé dans le cloud. Il est conçu pour permettre aux professionnels de la sécurité et aux chercheurs d'effectuer leurs recherches sur une gigantesque collection d'échantillons de logiciels malveillants, rapidement et efficacement. Au cœur de Falcon MalQuery se trouve une collection d'échantillons de logiciels malveillants rassemblés sur plusieurs années, indexés selon une technique unique pour permettre des recherches ultrarapides.
Falcon MalQuery est une application cloud à laquelle on accède par l'intermédiaire de la console de gestion Falcon. Falcon MalQuery est un service pour lequel il est nécessaire de souscrire un abonnement. Le CrowdStrike Tech Center présente une vidéo de démonstration illustrant le fonctionnement de Falcon MalQuery.
Le service Falcon MalQuery est destiné à accélérer et à améliorer les fonctions de recherche dans les SOC de nouvelle génération. Il a été conçu pour permettre et assister l'exécution d'une large série de fonctions de sécurité : recherche sur les logiciels malveillants, investigations informatiques des problèmes de sécurité, intervention sur incident et cyberveille.
Falcon MalQuery est un moteur de recherche performant qui permet aux professionnels de la sécurité et aux chercheurs en cybermenaces de gagner du temps en offrant un accès instantané à des informations d'importance vitale, telles que:
- Séquences ou combinaisons des bits individuels d'un octet, y compris en code ASCII et Unicode
- Recherches de fichiers ou d'échantillons basées sur des règles YARA, portant sur l'historique complet des échantillons de l'ensemble de données, avec la possibilité de télécharger des échantillons précis mis en correspondance
- Résultats tels que valeurs de hachage liés à la recherche, attributs de fichiers, catégorisation et famille des logiciels malveillants, cyberadversaires auquel le logiciel malveillant pourrait être attribué, avec des liens vers les rapports Falcon Intelligence™ appropriés.
Il existe plusieurs différences essentielles:
- Rapidité : Falcon MalQuery est le moteur de recherche sur les logiciels malveillants le plus rapide du secteur de la sécurité – plus de 250 fois plus rapide que les autres outils de recherche. Ces performances sont rendues possibles grâce à sa technologie d'indexation exclusive (n-gram), en attente de brevet.
- Clarté : Les résultats de recherche proviennent de la collection de logiciels malveillants la plus vaste et la plus complète du secteur. Falcon MalQuery indexe à la fois les métadonnées d'un fichier et son contenu lui-même pour permettre la recherche sur la totalité des données. À ces résultats vient alors s'ajouter la cyberveille CrowdStrike, précisant ainsi le niveau de sévérité de la menace et son contexte. Point important, Falcon MalQuery donne accès à un référentiel central de cybermenaces constitué depuis de nombreuses années, instantanément accessible via le moteur Falcon Search Engine.
- Protection : Les résultats de recherche plus précis et plus rapides simplifient les opérations de sécurité, permettant aux professionnels de la sécurité de créer des règles de protection plus efficaces. Ces règles permettent aux professionnels de la sécurité de traquer ensuite de nouvelles menaces, tout en facilitant le déploiement de règles de protection utilisables par d'autres solutions de sécurité déjà en place chez le client, avec pour résultat une stratégie de défense proactive.
Falcon Search Engine est basé sur une nouvelle technique d'indexation en attente de brevet. Cette indexation permet l'accès à une plus grande quantité de données brutes, sans altération de contenu, tout en permettant l'exécution de recherches en temps réel. Notre plateforme cloud nous garantit une meilleure indexation, et cet index permet d'obtenir les résultats de recherche avec la plus grande rapidité possible.
L'index de Falcon MalQuery réside dans des serveurs en grappe multinœuds, hautement évolutifs, soumis à une stratégie de partage en fonction du temps, permettant l'obtention ultrarapide de résultats de recherche basés sur le contenu du fichier, et non seulement sur les métadonnées ou les étiquettes. Cette indexation ramène les délais de recherche de plusieurs heures, voire plusieurs jours ou semaines à quelques minutes ou quelques millisecondes.
L'application Falcon MalQuery prend en charge les types de recherche suivants:
- La recherche floue (Fuzzy Searching) de séquences ou combinaisons des bits individuels d'un octet, y compris de chaînes ASCII et Unicode
- La recherche exacte, d'un fonctionnement similaire à la recherche floue, mais qui valide tous les résultats avant de les remettre à l'utilisateur
- La traque des menaces YARA, qui permet à l'utilisateur d'effectuer des recherches de fichiers ou d'échantillons basées sur des règles YARA très complètes. Cette fonction est plus rapide de plusieurs ordres de grandeur que les autres moteurs de recherche, parce qu'elle tire parti de l'index de CrowdStrike Falcon Search Engine. Les requêtes sont traitées en quelques secondes ou minutes avec Falcon MalQuery, alors qu'elles prennent des heures avec les autres moteurs de recherche.
Falcon MalQuery accepte tous les types de types de fichiers et de nouveaux types peuvent être ajoutés à volonté. Les types de fichiers actuellement indexés sont notamment : Composite Document File (CDF), compilés Java, Dalvik Dex, Microsoft Word (DOC, DOCX), ELF 32/64 bits, exécutables (EXE), EMAIL, HTML, Hangul Word Processor (HWP), Java Archive, raccourcis Windows (LNK), Mach-0 , PDF, PE32, PE64, scripts Perl, PowerPoint (PPT, PPTX), scripts Python, compilés en code octet Python, Rich Text (RTF), texte ASCII, Microsoft Excel (XLS, XLSX), Shockwave Flash (SWF).
Oui. Même les organisations qui n'utilisent pas la protection des endpoints de CrowdStrike Falcon peuvent acheter et utiliser Falcon MalQuery. Pour le montant de l'abonnement annuel, les clients peuvent avoir accès au service en utilisant l'application Falcon MalQuery qui se trouve sur la console de gestion de Falcon. (Pour obtenir les informations nécessaires à la souscription de l'abonnement, veuillez appeler le +1.888.512.8906 aux États-Unis ou adresser un e-mail à l'adresse sales@crowdstrike.com.)
Le moteur Falcon Search Engine donne accès au plus grand référentiel de données interrogeables du secteur de la cybersécurité. Certes, il existe d'autres référentiels de ce type, mais une grande partie de leurs données ne sont pas accessibles. Le moteur CrowdStrike Falcon Search Engine est unique en ceci qu'il permet à l'utilisateur d'effectuer des recherches sur une collection comportant plus de 560 téraoctets de logiciels malveillants, constituée au cours des cinq dernières années, en temps réel et sans aucune limite à l'étendue de ses recherches.
Falcon Search Engine est basé sur une nouvelle technique d'indexation en attente de brevet. Cette indexation de haut niveau permet l'accès à une plus grande quantité de données brutes, sans altération de contenu, tout en permettant l'exécution de recherches en temps réel. Notre plateforme cloud nous garantit une meilleure indexation, et cet index permet d'obtenir les résultats de recherche avec la plus grande rapidité possible.
La plateforme Falcon collecte et analyse toutes sortes d'informations de sécurité provenant du monde entier, soit plus de 51 milliards d'événements chaque jour. Ceci signifie que pratiquement tous les types d'informations sur les cybermenaces peuvent être indexés et rendus interrogeables par l'intermédiaire de Falcon Search Engine. Ceci nous permet d'étendre nos fonctions de recherche pour inclure n'importe quel type d'indicateur de menace, ainsi que les relations possibles entre divers événements de sécurité avec CrowdStrike Threat Graph™.
La licence Falcon MalQuery est disponible sur la base d'un abonnement, dont le prix se calcule en fonction du nombre de recherches sur les logiciels malveillants effectuées par mois. Pour en savoir plus, veuillez prendre contact avec CrowdStrike.