Режими роботи¶
Сенсор Falcon для Linux може працювати в одному з трьох режимів, що забезпечують різні рівні інтеграції з ядром системи та функціональності моніторингу.
Огляд режимів¶
User mode¶
User mode — це режим роботи сенсора без використання модуля ядра. Замість цього використовуються eBPF-програми (extended Berkeley Packet Filter), які завантажуються з користувацького простору.
Це режим за замовчуванням для ядер Linux, що підтримують eBPF. Починаючи з версії 7.15, User mode забезпечує той самий рівень виявлення та запобігання загрозам, що й Kernel mode, за винятком Falcon FileVantage.
Переваги User mode:
- Не потребує модуля ядра
- Особливо корисний у середовищах з частими оновленнями ядра
- Підходить для кастомних ядер
- Дозволяє використовувати сенсор там, де неможливо завантажити модуль ядра
Зміна за замовчуванням
Починаючи з версії Falcon sensor 7.15, режим за замовчуванням змінився з Kernel mode на User mode для ядер, що відповідають мінімальним вимогам eBPF.
Kernel mode¶
Kernel mode — це режим, в якому сенсор підключається безпосередньо до ядра Linux для спостереження та реагування на всю активність, що відбувається в системі.
Це режим за замовчуванням, коли ядро Linux не відповідає вимогам для User mode.
Reduced Functionality Mode (RFM)¶
RFM — це безпечний режим роботи, коли версія ядра не підтримується Kernel mode і не відповідає вимогам User mode.
Сенсори в RFM не виявляють загрози та не обробляють події процесів, але продовжують надсилати події SensorHeartBeat, що вказують на присутність сенсора на хості.
Детальніше про RFM див. Reduced Functionality Mode.
Таблиця режимів¶
| Режим сенсора | Умова активації |
|---|---|
| User mode | Ядро Linux відповідає мінімальним вимогам eBPF. У версії 7.15 та новіших це режим за замовчуванням |
| Kernel mode | Ядро Linux не відповідає мінімальним вимогам eBPF |
| RFM | Ядро не підтримується Kernel mode та не відповідає вимогам User mode |
Функціональність User mode¶
Починаючи з версії сенсора 7.15, User mode надає ті самі можливості виявлення та запобігання, що й Kernel mode, за винятком Falcon FileVantage.
Основні можливості¶
У User mode підтримуються всі основні функції безпеки:
Falcon Insight:
- Machine Learning виявлення malware (на сенсорі та в хмарі)
- Behavioral Blocking (IOA Preventions)
- Збір та збереження подій активності endpoint
- Повнофункціональний пошук та threat hunting
- Підтримка подій процесів, файлів та мережі
- IOC Management (хеші, IP-адреси, домени)
- Network Containment
- Real Time Response
- Custom IOA Detections та Exclusions
Falcon Prevent:
- Machine Learning запобігання та виявлення malware
- Behavioral Blocking (IOA Preventions)
- Підтримка контейнерних workloads
- Повна підтримка FUSE файлових систем
- Quarantine
- Script-Based Execution Monitoring
Інші можливості:
- Falcon Discover (Asset Inventory, Account Usage, Application Inventory)
- Falcon Spotlight (виявлення вразливостей)
- XDR (Extended Detection and Response)
- Falcon Overwatch
- Falcon Complete
- Cloud Runtime Protection (Kubernetes & Containers)
Обмеження
Falcon FileVantage в User mode підтримується лише починаючи з версії 7.20 і має обмежену функціональність порівняно з Kernel mode.
Автоматичне перемикання режимів¶
За замовчуванням, сенсор активовано з функцією автоматичного перемикання режимів (mode auto-switching). Це дозволяє сенсору:
- Автоматично переходити в User mode, коли ядро не підтримується Kernel mode, але відповідає вимогам User mode
- Переходити в RFM, якщо недоступні ні Kernel mode, ні User mode
- Автоматично повертатися до Kernel mode, коли ядро знову стає підтримуваним
Приклад: Під час оновлення користувачем ядра до непідтримуваної версії, сенсор Falcon автоматично переключається в User mode, щоб забезпечити безперервний захист системи.
Важливо
Автоматичне перемикання режимів увімкнено за замовчуванням і настійно рекомендується, оскільки забезпечує максимальну функціональність для встановленої версії ядра. За необхідності можна вимкнути автоматичне перемикання та вручну налаштувати сенсор на використання лише Kernel mode або User mode.
Обмеження для Kubernetes
Автоматичне перемикання режимів не підтримується для сенсора Falcon, розгорнутого в середовищах Kubernetes або контейнерів через DaemonSet. У таких випадках User mode увімкнено за замовчуванням, але можна вручну увімкнути Kernel mode під час інсталяції.
Вимоги для User mode¶
Для роботи в User mode ядро Linux має відповідати мінімальним вимогам eBPF. Детальний список вимог до конфігурації ядра описаний в документі Reduced Functionality Mode.
Основні вимоги включають:
- Підтримка eBPF (
CONFIG_BPF=y) - Підтримка eBPF syscalls (
CONFIG_BPF_SYSCALL=y) - BTF (BPF Type Format) інформація (
CONFIG_DEBUG_INFO_BTF=y) - Підтримка kprobes та uprobes
- BPF JIT компіляція
- Інші необхідні опції ядра
Для перевірки відповідності вашого ядра вимогам можна використати автоматичний скрипт перевірки, описаний у документі про RFM.
Вибір режиму роботи¶
Коли використовувати User mode¶
- Часті оновлення ядра — якщо ваше середовище регулярно оновлює ядра
- Кастомні ядра — якщо використовуються кастомізовані ядра
- Обмеження на модулі ядра — якщо політики безпеки забороняють завантаження модулів ядра
- Новіші версії ядра — якщо використовуються найновіші версії ядра, які ще не сертифіковані для Kernel mode
Коли використовувати Kernel mode¶
- Максимальна стабільність — для підтримуваних дистрибутивів з офіційними ядрами
- Falcon FileVantage — якщо потрібна повна функціональність моніторингу файлових змін
- Довгострокова підтримка (LTS) — для серверів з LTS дистрибутивами та стабільними ядрами
Рекомендація
Для більшості випадків рекомендується залишити автоматичне перемикання режимів увімкненим, щоб сенсор сам обирав оптимальний режим роботи залежно від можливостей ядра.
Перевірка поточного режиму¶
Для перевірки режиму роботи сенсора можна використовувати кілька методів:
Локально через CLI¶
Виконайте команду для перевірки стану RFM:
Якщо rfm-state має значення false, сенсор працює в User mode або Kernel mode. Якщо true — сенсор у RFM.
Для перегляду історії змін режимів:
Ця команда особливо корисна для хостів, які перейшли в User mode, щоб з'ясувати причину недоступності Kernel mode.
Через консоль Falcon¶
- Host Management — на сторінці Host setup and management > Manage endpoints > Host management можна:
- Відфільтрувати список хостів для відображення пристроїв у RFM
-
Переглянути статус RFM конкретного хоста на панелі деталей
-
Executive Summary Dashboard — перейдіть до Dashboards and reports > Reports > Executive summary. Dashboard відображає кількість сенсорів у RFM за операційною системою.
-
Investigate — у розділі Investigate > Search > Advanced event search можна виконати запит для перегляду подій
SensorHeartBeat:
#event_simpleName=SensorHeartbeat event_platform=Lin SensorStateBitMap=2 ConfigIDBuild>=15301
| groupBy([aid], function=(selectFromMax(field="@timestamp", include=[@timestamp, ComputerName, aid, ConfigBuild])))
| rename([[ComputerName, Hostname], [aid, "Sensor ID"], [ConfigBuild, "Agent Build"]])
Якщо SensorStateBitMap = 2, сенсор перебуває в RFM. Якщо SensorStateBitMap = 0, сенсор у повнофункціональному режимі.
Вихід з RFM¶
Для повернення сенсора з RFM до повнофункціонального режиму (User mode або Kernel mode) можна:
- Оновити сенсор Falcon до версії, що підтримує ваше встановлене ядро
- Змінити ядро хоста на версію, що підтримується Kernel mode або відповідає вимогам User mode
Запобігання RFM¶
Для запобігання переходу сенсорів у RFM рекомендується:
- Відключити автоматичні оновлення ядра та оновлювати ядро лише коли воно підтримується сенсором Falcon
- Перевіряти сумісність ядра перед оновленням за допомогою інструменту перевірки підтримуваних ядер (потрібна авторизація)
- Використовувати LTS ядра для підтримуваних дистрибутивів
Підтримка нових ядер
Хоча нові LTS ядра для підтримуваних дистрибутивів не відразу сумісні з сенсором, CrowdStrike додає підтримку якомога швидше. Інформацію про версії сенсорів, що підтримують конкретні ядра, можна переглянути в офіційній документації.
Додаткова інформація¶
- Системні вимоги Falcon sensor для Linux (потрібна авторизація)
- Підтримувані ядра Linux (потрібна авторизація)
- Офіційна документація eBPF