¿Por qué CrowdStrike Falcon es cloud-native y qué implica para el analista?

Falcon procesa toda la telemetría en la nube, no en el endpoint. El sensor local recopila y envía datos al Threat Graph de CrowdStrike. Para el analista, esto significa que las búsquedas y correlaciones se ejecutan sobre petabytes de datos globales, no solo sobre la telemetría local. La contrapartida es la dependencia de conectividad a internet.

¿Qué es el Threat Graph de CrowdStrike?

Es el grafo de amenazas en la nube que almacena y correlaciona trillones de eventos de todos los clientes de CrowdStrike (anonimizados). Permite detectar amenazas en un cliente basándose en patrones observados en otros. Es el motor detrás de las detecciones de CrowdStrike y lo que alimenta Falcon Intelligence.

¿CrowdStrike OverWatch reemplaza a un equipo SOC interno?

No. OverWatch es un complemento, no un reemplazo. Son threat hunters de CrowdStrike que monitorizan tu entorno 24/7 buscando amenazas que la tecnología sola no detecta. Generan alertas que tu equipo SOC debe investigar y responder. OverWatch no ejecuta acciones de respuesta en tu entorno.

¿Qué diferencia hay entre Falcon Prevent y Falcon Insight?

Falcon Prevent es el módulo de prevención (NGAV): bloquea malware conocido y desconocido antes de la ejecución. Falcon Insight es el módulo EDR: registra toda la actividad del endpoint para detección, investigación y respuesta. Ambos corren en el mismo sensor, pero se licencian por separado.

¿Cómo se compara CrowdStrike en las evaluaciones MITRE ATT&CK?

CrowdStrike ha participado en todas las rondas de MITRE ATT&CK Evaluations desde 2018 con resultados consistentemente altos en visibilidad y detección analítica. En las evaluaciones no hay 'ganador' oficial, pero CrowdStrike destaca por detectar la mayoría de pasos del ataque con contexto enriquecido y mínimas detecciones basadas solo en telemetría.

IntermedioEDRXDRCrowdStrikeFalconSOCblue teamthreat hunting

Guía para Analistas EDR con CrowdStrike Falcon

Guía práctica de CrowdStrike Falcon para analistas SOC: arquitectura cloud-native, flujo de investigación, Event Search, OverWatch, Falcon Intelligence, acciones de respuesta RTR, Charlotte AI y resultados en MITRE ATT&CK Evaluations.

MalwareIntel Research·22 de mayo de 2026·13 min lectura

Serie: Defensa y EDR/XDR — Parte 9

CrowdStrike Falcon: EDR cloud-native

CrowdStrike transformó el mercado EDR con una apuesta radical: un sensor ligero en el endpoint y todo el procesamiento en la nube. Esta arquitectura permite a CrowdStrike correlacionar eventos de millones de endpoints globalmente a través del Threat Graph, detectando amenazas con un contexto que ningún producto on-premises puede replicar. Para el analista SOC, Falcon ofrece una consola unificada donde la investigación, el hunting y la respuesta ocurren sin salir del navegador.

Esta guía cubre el flujo operativo completo de un analista trabajando con CrowdStrike Falcon.

Arquitectura cloud-native

El sensor Falcon

El sensor de CrowdStrike es un agente en modo kernel que recopila telemetría del endpoint y la envía al Threat Graph en la nube. Características principales:

Ligero: consumo de CPU y memoria significativamente inferior a soluciones legacy
Modo kernel: visibilidad profunda de la actividad del sistema operativo
Sin firmas locales: no mantiene una base de datos de firmas en el endpoint. La detección la ejecuta la nube
Prevención offline: el módulo de machine learning local (Falcon Prevent) sigue funcionando sin conexión
Actualizaciones transparentes: el sensor se actualiza sin reiniciar el endpoint

El Threat Graph

El Threat Graph es el cerebro de CrowdStrike. Almacena y correlaciona:

Eventos de procesos, archivos, registro y red de todos los endpoints protegidos globalmente
IOCs y TTPs de amenazas conocidas
Indicadores de ataque (IOAs) basados en comportamiento
Datos de threat intelligence de Falcon Intelligence

La potencia del Threat Graph radica en la correlación global. Si un nuevo tipo de ataque se detecta en un cliente, la protección se propaga automáticamente a todos los demás clientes en segundos. Esta es la ventaja fundamental de la arquitectura cloud-native frente a soluciones on-premises.

Módulos principales

Módulo	Función
Falcon Prevent	NGAV: prevención de malware y exploits
Falcon Insight	EDR: detección, investigación y respuesta
Falcon OverWatch	Managed hunting 24/7
Falcon Intelligence	Threat intelligence integrada
Falcon Discover	Higiene de IT: inventario, cuentas, aplicaciones
Falcon Spotlight	Gestión de vulnerabilidades sin escaneo
Falcon Identity	Protección de identidades (AD)
Falcon Complete	MDR: detección y respuesta gestionada completa

Flujo de investigación

Paso 1: Detections

El panel de Detections es el punto de entrada del analista. Cada detección incluye:

Severity: Critical, High, Medium, Low, Informational
Tactic y Technique: mapeado directo a MITRE ATT&CK
Confidence: nivel de confianza de la detección (basado en IOAs, ML y telemetría)
Endpoint afectado: hostname, IP, OS, usuario logged-in
Descripción: qué detectó el sensor y por qué es sospechoso
Proceso: nombre, PID, línea de comandos, proceso padre

Las detecciones de CrowdStrike son Indicator of Attack (IOA) based: no se basan solo en firmas o hashes, sino en secuencias de comportamiento que replican técnicas de ataque reales. Esto significa que una detección "Suspicious PowerShell Execution" no se activó por un hash concreto, sino porque el comportamiento del proceso replicaba una técnica de ataque documentada.

Paso 2: Process Tree

Al abrir una detección, el analista accede al Process Tree: una visualización jerárquica de toda la cadena de procesos involucrada.

Estructura del Process Tree:

Nodo raíz: proceso que inició la cadena (normalmente el vector de entrada)
Nodos hijos: procesos lanzados por el padre, con expansión recursiva
Información por nodo:
- Nombre del ejecutable, path completo, línea de comandos
- PID, timestamp de inicio y fin
- Usuario
- Hash SHA256 del ejecutable
- Firma digital
- Detecciones asociadas a ese proceso (marcadas en rojo)

Cómo leer el Process Tree:

Localiza el nodo marcado con la detección (resaltado en rojo)
Sube al nodo raíz para entender el vector de entrada
Baja por cada rama para ver la ejecución completa
Busca patrones sospechosos: procesos legítimos lanzando scripts, LOLBins ejecutando descargas, múltiples procesos hijo con nombres aleatorios
Haz clic en cada nodo para ver sus conexiones de red, archivos escritos y claves de registro modificadas

Paso 3: Network Activity

Cada proceso en el Process Tree tiene asociada su actividad de red. El analista debe verificar:

Conexiones salientes: IPs y dominios contactados por cada proceso
Puertos utilizados: C2 sobre puertos estándar (80, 443) es más difícil de detectar que sobre puertos altos
Patrón de beaconing: conexiones a intervalos regulares indican C2 activo
Volumen de datos: transferencias grandes pueden indicar exfiltración
DNS queries: resoluciones de dominio sospechosas o DNS tunneling

Paso 4: Indicators

La pestaña Indicators muestra todos los IOCs e IOAs extraídos de la detección:

Hashes de ejecutables involucrados
IPs y dominios contactados
URLs completas
Paths de archivos creados o modificados
Claves de registro escritas
Mutexes creados

El analista puede:

Buscar cada indicador en Falcon Intelligence para obtener contexto (quién más lo ha visto, a qué familia/actor se atribuye)
Pivotar desde un indicador para buscar el mismo IOC en otros endpoints del entorno
Añadir indicadores a Custom IOC lists para bloqueo preventivo

Paso 5: Response Actions

Desde la investigación, el analista puede ejecutar acciones de respuesta directas.

Event Search: hunting en la nube

Event Search es el motor de búsqueda de telemetría de CrowdStrike. Permite consultar eventos almacenados en el Threat Graph con una sintaxis similar a Splunk.

Tipos de eventos

ProcessRollup2: creación de procesos con línea de comandos, hash, firma, padre
NetworkConnect: conexiones de red por proceso
DnsRequest: resoluciones DNS
FileWrite: escritura de archivos
RegistryOperation: operaciones en el registro de Windows
UserLogon: inicios de sesión
ImageHash: hashes de módulos cargados

Queries de hunting esenciales

Detección de PowerShell codificado:

event_simpleName=ProcessRollup2
| search FileName="powershell.exe" AND CommandLine="*-enc*"
| table ComputerName, UserName, CommandLine, ParentBaseFileName, timestamp
| sort -timestamp

Conexiones desde LOLBins a IPs externas:

event_simpleName=NetworkConnect
| search (FileName="rundll32.exe" OR FileName="regsvr32.exe" OR FileName="mshta.exe" OR FileName="certutil.exe")
| search NOT (RemoteAddressIP4="10.*" OR RemoteAddressIP4="172.16.*" OR RemoteAddressIP4="192.168.*")
| table ComputerName, FileName, RemoteAddressIP4, RemotePort, timestamp

Creación de servicios (persistencia T1543.003):

event_simpleName=ProcessRollup2
| search FileName="sc.exe" AND CommandLine="*create*"
| table ComputerName, UserName, CommandLine, ParentBaseFileName, timestamp

Ejecución desde carpetas temporales (staging T1074):

event_simpleName=ProcessRollup2
| search (FilePath="*\\Temp\\*" OR FilePath="*\\tmp\\*" OR FilePath="*\\AppData\\Local\\*")
| search NOT (FileName="msiexec.exe" OR FileName="setup.exe")
| stats count by FileName, ComputerName
| sort -count

Acceso a LSASS (credential dumping T1003.001):

event_simpleName=ProcessRollup2
| search TargetFileName="*lsass*" AND (FileName!="csrss.exe" AND FileName!="svchost.exe")
| table ComputerName, FileName, CommandLine, UserName, timestamp

Beaconing detection por intervalos regulares:

event_simpleName=NetworkConnect
| stats count, stdev(timestamp) as interval_stdev by RemoteAddressIP4, aid
| where count > 50 AND interval_stdev < 5
| sort -count

Consejos para Event Search

Los nombres de campos son case-sensitive. FileName funciona, filename no
Usa stats y timechart para agregar datos y detectar patrones que no son visibles en eventos individuales
Los eventos tienen un aid (Agent ID) que identifica al endpoint. Usa ComputerName para legibilidad
El wildcard * es costoso al inicio de un string. Si es posible, filtra primero por event_simpleName y luego por campos específicos
Guarda las queries útiles en Saved Searches para reutilizarlas

OverWatch: managed hunting 24/7

Falcon OverWatch es el equipo de threat hunters de CrowdStrike que monitoriza tu entorno en tiempo real. No es un producto tecnológico, sino un servicio humano.

Los analistas de OverWatch revisan telemetría de tu entorno 24/7 buscando actividad que la tecnología sola no detecta. Cuando encuentran algo, generan una alerta en tu consola de Falcon con contexto detallado. OverWatch no ejecuta acciones de respuesta: solo detecta y alerta. No sustituye un SOC interno.

Las alertas de OverWatch tienen alta confianza porque son generadas por humanos expertos. Cuando llega una, el analista debe: leer el contexto proporcionado, verificar en el Process Tree, buscar indicadores similares en otros endpoints, y ejecutar acciones de respuesta según severidad.

Falcon Intelligence: threat intel integrada

Falcon Intelligence proporciona contexto de amenazas directamente en la consola de Falcon.

Threat Intelligence Reports: informes sobre actores, campañas y análisis de malware por Counter Adversary Operations. Incluyen IOCs, TTPs y recomendaciones defensivas.

Indicator Enrichment: al hacer clic en cualquier hash, IP o dominio, Intelligence muestra si es malicioso, quién lo usa, prevalencia global, relaciones con otros indicadores y técnicas ATT&CK asociadas.

Adversary Profiles: perfiles de threat actors con nomenclatura CrowdStrike (Bear = Rusia, Panda = China, Kitten = Iran, Chollima = DPRK, Spider = Criminal), TTPs habituales, herramientas, sectores objetivo y campañas recientes.

Sandbox (Falcon Sandbox): análisis dinámico de archivos sospechosos con informe de comportamiento.

Intelligence está integrado en cada paso de la investigación. Los hashes en detecciones ya tienen enrichment, las IPs en el Process Tree muestran contexto C2. Esto reduce el pivoting entre herramientas.

Response Actions: RTR y contención

Network Containment

El aislamiento de red de CrowdStrike desconecta el endpoint de toda comunicación excepto con la nube de CrowdStrike. Esto permite:

Detener la comunicación C2 inmediatamente
Prevenir movimiento lateral hacia otros endpoints
Mantener acceso completo al endpoint via Real Time Response (RTR) para investigar y remediar
Revertir el aislamiento cuando la amenaza esté contenida

Real Time Response (RTR)

RTR es la funcionalidad de respuesta remota de CrowdStrike. Proporciona una shell interactiva en el endpoint aislado o no, con comandos predefinidos y la posibilidad de ejecutar scripts personalizados.

Comandos RTR disponibles:

Comando	Función
`ls` / `cd`	Navegación de sistema de archivos
`cat` / `filehash`	Lectura y hashing de archivos
`ps`	Listado de procesos activos
`kill`	Terminación de procesos
`reg query` / `reg delete`	Consulta y eliminación de claves de registro
`netstat`	Conexiones de red activas
`get`	Descarga de archivos del endpoint para análisis
`put`	Upload de herramientas al endpoint
`run`	Ejecución de scripts predefinidos
`memdump`	Volcado de memoria de un proceso

RTR tiene tres niveles de acceso: Read-only (consulta, para N1), Active Responder (remediación, para N2) y Admin (scripts custom, para N3/IR).

Custom IOC Blocking

CrowdStrike permite crear listas de IOCs personalizados con tres acciones: Block (impide ejecución o conexión), Detect (alerta sin bloquear) y No action (tracking silencioso). Las listas se propagan a todos los sensores en minutos.

Charlotte AI

Charlotte AI es el asistente de inteligencia artificial integrado en Falcon. Permite a los analistas interactuar con la plataforma usando lenguaje natural.

Capacidades principales

Resumen de incidentes: "Summarize this detection" genera un resumen en lenguaje natural del incidente, incluyendo vector de entrada, técnicas usadas y recomendación de acción
Hunting asistido: "Find all endpoints that connected to IP X in the last 7 days" traduce la pregunta a una query de Event Search y muestra los resultados
Contexto de amenazas: "What is LockBit ransomware?" devuelve información de Falcon Intelligence sobre la familia de malware
Recomendaciones de respuesta: "What should I do about this detection?" sugiere acciones de respuesta basadas en el tipo de amenaza

Charlotte AI es un asistente, no un analista autónomo: sus recomendaciones requieren verificación. Es útil para analistas N1 que necesitan contexto rápido, para generar resúmenes ejecutivos, y como punto de partida para traducir preguntas de hunting a queries de Event Search.

MITRE ATT&CK Evaluations

CrowdStrike ha participado en todas las rondas de MITRE ATT&CK Evaluations con resultados consistentes. MITRE ejecuta ataques simulados (basados en actores reales) y mide visibilidad (telemetría), detección (alertas con contexto ATT&CK) y protección (bloqueo activo).

CrowdStrike destaca por alta cobertura de visibilidad, alto porcentaje de detecciones analíticas con contexto Technique (el nivel máximo), baja dependencia de cambios de configuración entre rondas y respuesta sin delays significativos.

Las evaluaciones MITRE no declaran ganador. Cada organización interpreta según prioridades: visibilidad total, contexto de detección, protección activa o bajo overhead. Consulta los resultados oficiales en attack-evaluations.mitre-engenuity.org para comparar productos con tus criterios.

Consejos prácticos para analistas

Configuración inicial

Define políticas de prevención por grupo de endpoints. Los servidores de producción requieren políticas más conservadoras que los workstations
Configura Custom IOC lists con indicadores de tu sector desde el primer día
Habilita RTR con niveles de acceso apropiados para cada rol del equipo
Integra con tu SIEM: CrowdStrike ofrece APIs para exportar detecciones y telemetría

Durante la investigación

El Process Tree es tu mejor amigo. Entiende la cadena completa antes de buscar en Event Search
Usa Falcon Intelligence antes que VirusTotal. CrowdStrike suele tener información más actualizada sobre amenazas recientes
Documenta en la detección: qué investigaste, qué encontraste y qué acciones tomaste
RTR antes de aislar (si hay tiempo). Recopila evidencia volátil primero: procesos activos, conexiones, memoria

Para hunting avanzado

Combina Event Search con OverWatch alerts. Los IOAs de OverWatch son excelentes semillas para hunting
Usa stats para detectar anomalías cuantitativas: endpoints con actividad de red 10x superior al promedio
Busca procesos menos obvios: los atacantes avanzados renombran binarios o ejecutan via .NET reflection
Correlaciona con Falcon Discover: un ejecutable fuera del inventario aprobado merece más atención

Errores comunes

Confiar solo en la severidad. Una detección Medium de un proceso contactando una IP externa puede ser más grave que un High de un script conocido
No verificar endpoints sin alertas. La ausencia de alerta no significa ausencia de compromiso
Olvidar revertir el aislamiento tras la remediación
No aprovechar la taxonomía de adversarios (Bear, Panda, Spider). Cuando Intelligence atribuye a un actor, investiga su perfil completo

Resumen operativo

Capacidad	Ubicación en Falcon
Alertas de detección	Detections panel
Cadena de procesos	Process Tree
Actividad de red	Network Activity (por proceso)
IOCs e IOAs	Indicators tab
Hunting en telemetría	Event Search
Managed hunting 24/7	OverWatch alerts
Threat intelligence	Falcon Intelligence
Sandbox de archivos	Falcon Sandbox
Aislamiento de red	Network Containment
Shell remota	Real Time Response (RTR)
Bloqueo de IOCs	Custom IOC Management
Asistente AI	Charlotte AI
Cobertura ATT&CK	MITRE Dashboard

CrowdStrike Falcon es la referencia del mercado EDR por una razón: la arquitectura cloud-native con el Threat Graph ofrece un nivel de correlación y contexto difícil de replicar. Para el analista, la clave es dominar tres herramientas: Process Tree para investigación, Event Search para hunting, y RTR para respuesta. Con esas tres, más el contexto de Falcon Intelligence y las alertas de OverWatch, un analista tiene todo lo necesario para gestionar incidentes desde la detección hasta la remediación completa.

Preguntas frecuentes

Libros recomendados

Blue Team Handbook

Amazon (enlace afiliado)