Перейти до змісту

Reduced Functionality Mode

Reduced Functionality Mode (RFM), також відомий як «safe mode» або «режим з обмеженою функціональністю», — це стан, у який переходить сенсор Falcon для Windows, коли ядро операційної системи не сертифіковане для роботи з поточною версією сенсора.

Цей режим запобігає проблемам сумісності, які можуть призвести до критичних помилок системи та інших проблем зі стабільністю.

Сенсор у стані RFM продовжує активно моніторити систему та надсилати події, але з обмеженою функціональністю — деякі патерни виявлення загроз та невелика кількість превентивних заходів не будуть спрацьовувати.

Що таке OSFM?

OS Feature Manager (OSFM) — це компонент сенсора, який моніторить зміни в ядрі Windows, щоб сенсор міг адаптуватися до них. Це включає:

  • Можливість сертифікувати нові версії ядер без оновлення версії сенсора
  • Переведення сенсора в RFM, якщо поточне ядро хоста не сертифіковане

Що відбувається з сенсорами в RFM?

Коли сенсор Windows переходить у стан RFM, він:

  • Продовжує активно моніторити систему
  • Надсилає події (SensorHeartBeat)
  • Генерує детекції загроз
  • Тимчасово відключається від деяких елементів ядра

Без цих елементів ядра деякі патерни виявлення загроз та невелика кількість превентивних заходів не спрацьовуватимуть.

Особливості для Domain Controllers

Для клієнтів з Falcon Identity Protection діють додаткові захисні механізми, щоб уникнути порушення нормальної роботи контролера домену:

  • Сенсор моніторить різні лічильники та показники, і може змінювати свою поведінку, щоб зменшити навантаження
  • Якщо показники перевищують встановлені пороги, сенсор може вимкнути правила політики Identity Protection або інспекцію трафіку
  • Сенсор повертається до нормальної роботи, коли показники залишаються нижче другого набору порогів

Для перегляду статусу кожного DC перейдіть до Identity protection > Configure > Domain controller hosts у консолі Falcon.

Системні сповіщення

Якщо сенсор вимикає правило політики Identity Protection або інспекцію трафіку, створюється системне сповіщення.

Чому так відбувається?

Найімовірнішою причиною переходу Windows хостів у стан RFM є оновлення Microsoft. Не всі оновлення Windows змінюють ядро, але коли це відбувається, виникає короткочасна затримка, поки CrowdStrike сертифікує нове ядро для роботи з сенсором.

Перевірка RFM

Через Host Management

На сторінці Host setup and management > Manage endpoints > Host management можна:

  • Відфільтрувати список хостів для відображення пристроїв, що перебувають у стані RFM
  • Переглянути статус RFM конкретного хоста на панелі деталей хоста
  • Якщо хост перебуває в RFM або має невідомий статус RFM, вгорі панелі з'являється попереджувальний банер

Через Executive Summary Dashboard

Перейдіть до Dashboards and reports > Reports > Executive summary. Дашборд відображає кількість сенсорів у стані RFM за операційною системою. Можна клікнути на віджет RFM для отримання додаткових деталей в Investigate.

Через Investigate

У Investigate > Search > Advanced event search можна переглянути події SensorHeartBeat, які містять значення SensorStateBitMap:

  • Якщо SensorStateBitMap = 2, сенсор перебуває в RFM
  • Якщо SensorStateBitMap = 0, сенсор не перебуває в RFM

Для отримання списку хостів у стані RFM виконайте такий запит:

#event_simpleName=SensorHeartbeat event_platform=Win SensorStateBitMap=2 ConfigIDBuild>=17206
| groupBy([aid], function=(selectFromMax(field="@timestamp", include=[@timestamp, ComputerName, aid, ConfigBuild])))
| rename([[ComputerName, Hostname], [aid, "Sensor ID"], [FileName, "OSFM Filename"], [ConfigBuild, "Agent Build"]])

Через API

Інформація про статус RFM також доступна через CrowdStrike Host Management API.

Повернення до повної функціональності

Якщо ви застосували оновлення Windows, які змінюють ядро, до того, як CrowdStrike сертифікував його, ваш сенсор отримає файл сертифікації OSFM з хмари CrowdStrike, коли файл стане доступним. Цей файл дозволить сенсору відновити повну функціональність.

Інформація про випуск файлів сертифікації OSFM публікується у Content Update Release Notes у категорії Sensor Operations Content. Ви також можете підписатися на автоматичні сповіщення про оновлення контенту.

Перевірка отримання сертифікації

Ви можете перевірити, що ваші сенсори отримали поточну сертифікацію одним з наступних способів:

Через запит в Investigate

Виконайте запит, замінивши OSFM-*.bin на поточний файл сертифікації, вказаний у повідомленні про оновлення:

#event_simpleName=LFODownloadConfirmation CompletionEventId=Event_OsfmDownloadCompleteV1 FileName=Osfm-*.bin
| groupBy([aid], function=(selectFromMax(field="@timestamp", include=[@timestamp, ComputerName, aid, FileName, ConfigBuild])))
| rename([[ComputerName, Hostname], [aid, "Sensor ID"], [FileName, "OSFM Filename"], [ConfigBuild, "Agent Build"]])

Локально на хості

Файли сертифікації OSFM розташовані в директорії CrowdStrike:

%SYSTEMROOT%\system32\drivers\CrowdStrike\

Непідтримувані версії Windows

Якщо ваші хости використовують непідтримувану версію Windows, оновіть їх до підтримуваної версії для відновлення повної функціональності. Перелік підтримуваних операційних систем можна переглянути в офіційній документації CrowdStrike (потрібна авторизація).

Додаткова підтримка

Для отримання додаткової інформації щодо усунення проблем або відкриття тікету підтримки відвідайте CrowdStrike Customer Center.