Skill

deploying-edr-agent-with-crowdstrike

Deploys and configures CrowdStrike Falcon EDR sensor on Windows, macOS, and Linux endpoints for real-time threat detection and SIEM integration. Useful for endpoint onboarding, policy setup, and troubleshooting connectivity.

Linux

Bash

Powershell

security

devops

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

在以下情况下使用本技能：

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

deploying-edr-agent-with-crowdstrike

5.9k

Deploys CrowdStrike Falcon EDR sensors to Windows, macOS, Linux endpoints via SCCM, Intune, GPO, Ansible. Configures policies and integrates telemetry with SIEM like Splunk.

7 files

cybersecurity-skills

deploying-edr-agent-with-crowdstrike

Deploys and configures CrowdStrike Falcon EDR agents on Windows, macOS, and Linux endpoints via SCCM, Intune, GPO, Ansible, or manual install. For threat detection setup and SIEM integration.

asi

test-limacharlie-edr

Deploys temporary LimaCharlie EDR sensor on local Linux/Mac host for testing detection rules, investigating sensor behavior, or development. Auto-cleans up after use.

5 tools

lc-advanced-skills

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

使用 CrowdStrike 部署 EDR 代理

使用场景

在以下情况下使用本技能：

将 CrowdStrike Falcon 传感器部署到 Windows、macOS 或 Linux 端点
为不同端点组配置 Falcon 防护和检测策略
将 CrowdStrike 遥测数据与 SIEM（Splunk、Elastic、Sentinel）集成以进行关联检测
排查传感器连接、性能或检测问题

不适用于部署其他 EDR 解决方案（Carbon Black、SentinelOne）或 Falcon 云工作负载防护（使用专用云部署指南）。

前置条件

具有 Falcon 管理员角色的 CrowdStrike Falcon 控制台访问权限
客户 ID（CID）和 Falcon 传感器安装包
目标端点的管理员/root 访问权限
网络访问：端点必须能访问 CrowdStrike 云（ts01-b.cloudsink.net 的 443 端口）
部署工具：SCCM、Intune、GPO、Ansible 或手动安装

操作流程

步骤 1：获取 Falcon 传感器安装包和 CID

1. 登录 Falcon 控制台：https://falcon.crowdstrike.com
2. 导航：主机设置和管理 → 传感器下载
3. 下载对应的安装包：
   - Windows：WindowsSensor_<版本>.exe
   - macOS：FalconSensorMacOS_<版本>.pkg
   - Linux：falcon-sensor_<版本>_amd64.deb / .rpm
4. 从传感器下载页面复制客户 ID（CID）
   - CID 格式：<32位十六进制>-<2位校验码>

步骤 2：部署 Falcon 传感器 - Windows

通过命令行静默安装：

WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<YOUR_CID>

SCCM 部署：

1. 在 SCCM 中创建应用程序
2. 部署类型：脚本安装程序
3. 安装命令：WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<CID>
4. 检测方法：注册表项存在
   - HKLM\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default
5. 部署到目标集合
6. 部署目的：必需（强制安装）

Microsoft Intune 部署：

1. 导航：设备 → Windows → 配置文件
2. 创建 Win32 应用部署
3. 上传 .intunewin 包（封装后的传感器安装包）
4. 安装命令：WindowsSensor_7.18.17106.exe /install /quiet /norestart CID=<CID>
5. 检测规则：文件存在 C:\Windows\System32\drivers\CrowdStrike\csagent.sys
6. 分配给设备组

GPO 部署：

# 创建启动脚本，检查是否已安装
$sensorPath = "C:\Windows\System32\drivers\CrowdStrike\csagent.sys"
if (-not (Test-Path $sensorPath)) {
    Start-Process -FilePath "\\fileserver\CrowdStrike\WindowsSensor.exe" `
      -ArgumentList "/install /quiet /norestart CID=<CID>" -Wait
}

步骤 3：部署 Falcon 传感器 - Linux

# Debian/Ubuntu
sudo dpkg -i falcon-sensor_7.18.0-17106_amd64.deb
sudo /opt/CrowdStrike/falconctl -s -f --cid=<YOUR_CID>
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor

# RHEL/CentOS
sudo yum install falcon-sensor-7.18.0-17106.el8.x86_64.rpm
sudo /opt/CrowdStrike/falconctl -s -f --cid=<YOUR_CID>
sudo systemctl start falcon-sensor
sudo systemctl enable falcon-sensor

# 验证传感器正在运行并已连接
sudo /opt/CrowdStrike/falconctl -g --rfm-state
# 预期输出：rfm-state=false（传感器正在与云通信）

步骤 4：部署 Falcon 传感器 - macOS

# 安装传感器包
sudo installer -pkg FalconSensorMacOS_7.18.pkg -target /

# 设置 CID
sudo /Applications/Falcon.app/Contents/Resources/falconctl license <YOUR_CID>

# 通过 MDM 配置文件授予完整磁盘访问和系统扩展权限
# macOS Ventura+ 必须（手动批准或 MDM PPPC 配置文件）
# MDM 载荷：com.crowdstrike.falcon.Agent → SystemExtension + Full Disk Access

# 验证传感器状态
sudo /Applications/Falcon.app/Contents/Resources/falconctl stats

步骤 5：配置防护策略

在 Falcon 控制台中，导航至配置 → 防护策略：

推荐的防护策略设置：

机器学习：
  - 云端 ML：激进（额外防护，可能增加误报）
  - 传感器 ML：适中
  - 广告软件和 PUP：适中

行为保护：
  - 写入时检测：已启用（在文件创建时检测恶意软件）
  - 传感器 ML 检测：已启用
  - 仅解释器：已启用（检测基于脚本的攻击）

漏洞利用缓解：
  - 漏洞利用行为防护：已启用
  - 内存扫描：已启用（检测内存中的攻击）
  - 代码注入：已启用

勒索软件：
  - 勒索软件防护：已启用
  - 卷影副本保护：已启用
  - MBR 保护：已启用

为以下群组创建独立策略：

工作站（激进设置）
服务器（适中设置以避免服务器工作负载的误报）
关键基础设施（最高防护，配合例外列表）

步骤 6：配置响应策略

实时响应（RTR）：
  - 为所有传感器组启用 RTR
  - 配置 RTR 管理员和 RTR 响应者角色
  - 启用脚本执行（供 IR 团队使用）
  - 启用文件提取（用于取证）

网络隔离：
  - 为特定主机组预授权隔离操作
  - 配置隔离排除项（允许管理流量）

自动响应：
  - 对高可信度检测启用自动修复
  - 配置勒索软件检测的终止进程操作
  - 对恶意软件文件检测启用隔离

步骤 7：验证部署

# Windows：检查 Falcon 传感器状态
sc query csagent
# 预期：RUNNING

# 检查传感器版本
reg query "HKLM\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default" /v AgentVersion

# 验证云连接
# 在 Falcon 控制台：主机管理 → 主机 → 搜索主机名
# 状态应显示"在线"且最后访问时间戳 < 5 分钟

测试检测能力：

# CrowdStrike 提供测试检测样本
# 从 Falcon 控制台 → 主机设置下载 CsTestDetect.exe
# 在端点上运行以生成测试检测
.\CsTestDetect.exe
# 验证检测在 60 秒内出现在 Falcon 控制台

步骤 8：SIEM 集成

# Falcon SIEM 连接器（流式 API）
# 在 Falcon 控制台配置：支持 → API 客户端和密钥

# 创建权限范围为：事件流 → 读取 的 API 客户端
# 使用 falcon-siem-connector 或 Falcon 数据复制器（FDR）

# Splunk 集成：
# 从 Splunkbase 安装 CrowdStrike Falcon 事件流技术附加组件
# 配置：设置 → 数据输入 → CrowdStrike Falcon 事件流
# 输入 API 客户端 ID 和密钥
# 索引：crowdstrike_events

# Elastic 集成：
# 使用带 CrowdStrike 模块的 Elastic Agent
# 配置：Fleet → 代理策略 → 添加集成 → CrowdStrike

关键概念

术语	定义
Falcon 传感器	轻量级内核模式代理（25-30 MB），收集端点遥测数据并执行防护策略
CID（客户 ID）	将传感器与 CrowdStrike Falcon 租户关联的唯一标识符
RFM（降级功能模式）	因云连接丢失导致传感器以有限能力运行的状态
传感器分组标签	安装时应用的标签，用于自动将主机分配到组和策略
RTR（实时响应）	允许事件响应人员通过 Falcon 与端点交互的远程 Shell 能力
IOA（攻击指标）	基于攻击者技术而非静态特征的行为检测

工具与系统

CrowdStrike Falcon 控制台：托管所有 Falcon 模块的云端管理平台
Falcon SIEM 连接器：将检测和审计事件流式传输到 SIEM 平台
Falcon 数据复制器（FDR）：将原始端点遥测数据流式传输到 S3/云存储供威胁狩猎使用
CrowdStrike Falcon API（OAuth2）：用于自动化、集成和自定义工作流的 RESTful API
PSFalcon：用于 CrowdStrike Falcon API 自动化的 PowerShell 模块

常见误区

安装时缺少 CID：传感器安装了但从未连接到 Falcon 云。务必在安装时传入 CID，而不是事后配置。
未配置代理：在有 Web 代理的环境中，需在安装时配置代理：/install /quiet CID=<CID> APP_PROXYNAME=proxy.corp.com APP_PROXYPORT=8080。
macOS 系统扩展被阻止：macOS 需要明确批准内核/系统扩展。部署前使用 MDM 预先批准 CrowdStrike 扩展。
安全产品冲突：同时运行多个 EDR/AV 产品会导致性能问题和误报。在 Falcon 部署前协调排除项或卸载旧版 AV。
传感器版本固定：Falcon 默认自动更新传感器。对于受变更控制的环境，在测试新版本前在控制台中固定传感器版本。