Розгортання сенсорів¶
Покроковий гайд по розгортанню CrowdStrike Falcon сенсора на цільові хости за допомогою Pike.
Підготовка¶
Pike може отримувати сенсори автоматично через CrowdStrike API. Для цього потрібні API credentials:
- У Falcon Console перейдіть до Support and resources > API clients and keys
- Створіть API client з scope Sensor Download: Read
Завантажте інсталяційні файли сенсора з Falcon Console:
- Перейдіть до Host setup and management > Deploy > Sensor downloads
- Завантажте потрібні файли:
.deb— для Ubuntu, Debian.rpm— для RHEL, CentOS, Fedora, Rocky, AlmaLinux, Oracle, Amazon Linux, SUSE.exe— для Windows
Не перейменовуйте файли сенсорів Linux
Pike визначає дистрибутив та архітектуру з імені файлу — наприклад, тег .el9.x86_64 у RPM або _amd64 у DEB. Якщо файл перейменовано, Pike не зможе коректно підібрати сенсор для цільового хоста.
Запуск сервера¶
Запустіть Pike подвійним кліком на бінарний файл або з терміналу:
Відкриється GUI з екраном конфігурації.
Налаштування джерела сенсорів¶
Заповніть поля Client ID та Client Secret отриманими API credentials. Оберіть правильний Cloud регіон.
Cloud регіон
Переконайтеся, що вказали правильний cloud регіон. За замовчуванням використовується eu-1.
Pike автоматично отримає CID та завантажить потрібні сенсори на вимогу.
Натисніть кнопку вибору файлів та додайте завантажені файли сенсорів. Можна вказати декілька файлів одночасно для різних платформ — Pike автоматично підбере правильний для кожного хоста.
Заповніть поле CID (CrowdStrike Customer ID).
Sensor grouping tags¶
У секції Sensor можна вказати grouping tags через кому — вони будуть присвоєні сенсору під час встановлення. Це дозволяє фільтрувати хости у Falcon Console.
За замовчуванням Pike автоматично додає тег deployment/pike. Щоб вимкнути це, зніміть відповідний чекбокс у Advanced settings.
Додаткові параметри¶
- Port — HTTP порт сервера (за замовчуванням
8080) - Timeout — таймаут розгортання у хвилинах (за замовчуванням
30,0= без обмежень) - Max downloads — автоматична зупинка після N завантажень (
0= без обмежень) - Auth — токен-автентифікація (увімкнена за замовчуванням)
Старт¶
Натисніть Start. Після запуску сервера Pike відобразить готові one-liner команди для Linux та Windows, які можна скопіювати та виконати на цільових хостах.
Встановлення на цільових хостах¶
Linux¶
На цільовому хості виконайте one-liner як root:
Скрипт автоматично:
- Перевіряє, чи сенсор вже встановлено
- Визначає тип пакетного менеджера (dpkg/rpm) та дистрибутив
- Реєструється на сервері Pike з інформацією про хост
- Завантажує відповідний сенсор
- Перевіряє SHA256 контрольну суму
- Встановлює пакет (
dpkg,dnf,zypper,yumабоrpm) - Налаштовує CID
- Запускає сервіс
falcon-sensor
Windows¶
На цільовому хості виконайте one-liner як Administrator у PowerShell:
Скрипт автоматично:
- Перевіряє наявність прав адміністратора
- Перевіряє, чи сенсор вже встановлено (сервіс
CSFalconService) - Реєструється на сервері Pike
- Завантажує інсталятор
- Перевіряє SHA256 контрольну суму
- Виконує тиху інсталяцію (
/install /quiet /norestart) - Очищає тимчасові файли
Мережевий доступ
Цільові хости повинні мати мережевий доступ до сервера Pike по вказаному порту. Переконайтеся, що firewall не блокує з'єднання.
Масове розгортання¶
Для розгортання на велику кількість хостів one-liner можна виконати через існуючі інструменти автоматизації:
Моніторинг¶
Після старту сервера GUI відображає стан хостів у реальному часі зі статус-іконками:
| Іконка | Статус | Опис |
|---|---|---|
| ○ | Registered | Хост зареєструвався, очікує сенсор |
| ◐ | Sensor Ready | Сенсор підібрано, очікується завантаження |
| ● | Installed | Сенсор успішно встановлено |
| ✕ | Failed | Помилка встановлення |
Якщо для хоста не знайдено сумісного сенсора, Pike поверне зрозуміле повідомлення про помилку, яке також відобразиться на цільовому хості у виводі інсталяційного скрипта.