Перейти до змісту

Reduced Functionality Mode

Reduced Functionality Mode (RFM), також відомий як «safe mode» або «режим з обмеженою функціональністю», — це стан, у який переходить сенсор Falcon для Linux, коли версія ядра ОС не підтримується сенсором або в ядрі відсутні необхідні для роботи функції.

Цей режим запобігає проблемам, що можуть виникнути через несумісність сенсора з ядром або через відсутність у ядрі необхідних функцій.

Сенсор у стані RFM не виявляє загрози та не обробляє події, але продовжує надсилати дані (SensorHeartBeat), що сигналізують про його присутність на хості.

Чому так відбувається?

Сенсор Falcon для Linux глибоко інтегрується в ядро, щоб надавати повноцінний моніторинг процесів в ОС. Тому сенсор стає залежним від версії ядра та його конфігурації.

Нові, застарілі або кастомні версії ядра можуть обробляти запити сенсора некоректно, що іноді призводить до проблем зі стабільністю ОС. Також у кастомних ядрах можуть бути відключені функції, необхідні для повноцінної роботи сенсора.

Перевірка RFM

Локально

Щоб перевірити стан сенсора локально, виконайте команду:

sudo /opt/CrowdStrike/falconctl -g --rfm-state

Значення rfm-state має дорівнювати false. Якщо значення true — сенсор перебуває в RFM.

Також можна переглянути історію RFM:

sudo /opt/CrowdStrike/falconctl -g --rfm-history

Ця команда показує історію змін стану RFM та причини цих змін.

Через NG-SIEM

Виконайте такий запит:

#repo=base_sensor #event_simpleName=OsVersionInfo event_platform="Lin" RFMState=1
| groupBy([aid], function=selectLast([ComputerName, OSVersionString, AgentVersion, RFMState]))

Хости, що перебувають у стані RFM, з'являться в результатах запиту.

Виправлення RFM

У більшості випадків для виходу з RFM потрібно оновити або переконфігурувати ядро, щоб воно відповідало вимогам сенсора. Вимоги для User mode та Kernel mode відрізняються. Детальніше про різницю між режимами роботи див. Режими роботи.

Kernel mode

CrowdStrike не публікує повний перелік опцій ядра, необхідних для роботи в Kernel mode. Натомість, компанія надає список дистрибутивів та версій ОС, які офіційно підтримуються сенсором. Переглянути його можна тут (потрібна авторизація).

Для перевірки сумісності вашої ОС та версії ядра можна скористатись цим інструментом (потрібна авторизація).

User mode

Для роботи в User mode основною вимогою є підтримка ядром технології eBPF та її компонентів. Нижче розглянемо, як перевірити наявність цих механізмів у ядрі.

Автоматична перевірка

Щоб перевірити відповідність вашого ядра вимогам сенсора Falcon для User mode, можна використати цей скрипт:

curl -fsSL https://raw.githubusercontent.com/iIT-Distribution/scripts/master/crowdstrike/check-usermode.sh | bash

wget -qO- https://raw.githubusercontent.com/iIT-Distribution/scripts/master/crowdstrike/check-usermode.sh | bash

Він завантажить і запустить скрипт, який автоматично перевірить конфігурацію ядра. Успішна перевірка виглядає так:

image.png

Якщо скрипт виявив помилки, змініть конфігурацію ядра відповідно до вимог, описаних у наступному розділі.

Ручна перевірка

Для роботи в User mode сенсору Falcon необхідні наступні прапорці в конфігурації ядра:

CONFIG_BPF=y
CONFIG_BPF_SYSCALL=y
CONFIG_DEBUG_INFO_BTF=y
CONFIG_TRACING=y
CONFIG_KPROBE_EVENTS=y
CONFIG_UPROBE_EVENTS=y
CONFIG_BPF_JIT=y
CONFIG_SECURITY=y
CONFIG_KALLSYMS_ALL=y
CONFIG_PROC_FS=y
CONFIG_BSD_PROCESS_ACCT=y
CONFIG_CGROUPS=y
CONFIG_CGROUP_BPF=y

Наступні опції також необхідні, але їх можна скомпілювати як модулі (=m):

CONFIG_NET_CLS_BPF=m
CONFIG_NET_CLS_ACT=m
CONFIG_NET_SCH_INGRESS=m

Для ядра версії 5.11 та новіших також обов'язковим є наступний прапорець:

CONFIG_DEBUG_INFO_BTF_MODULES=y