<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Crowdstrike-Falcon-Cs on Tarragon</title><link>https://tarrragon.github.io/blog/tags/crowdstrike-falcon-cs/</link><description>Recent content in Crowdstrike-Falcon-Cs on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Mon, 18 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/crowdstrike-falcon-cs/index.xml" rel="self" type="application/rss+xml"/><item><title>CrowdStrike Falcon Cloud Security</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/</guid><description>&lt;p>CrowdStrike Falcon Cloud Security 是 CrowdStrike 在 Falcon endpoint EDR 平台之上擴張出來的 CNAPP（Cloud-Native Application Protection Platform）產品線。它的核心邏輯是把已經跑在 endpoint 上的 &lt;em>Falcon agent&lt;/em> 同時拿來收 cloud workload / container / Kubernetes node 的 telemetry、再把 CrowdStrike Intelligence 的 threat actor profile 直接餵進 detection rule。對已是 CrowdStrike endpoint 客戶來說、邊際 onboarding cost 接近 0；對非 CrowdStrike 環境、選它的訴求應該是 &lt;em>threat intel + EDR 同 console&lt;/em> 而不是 CSPM 本身。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Falcon Cloud Security 的定位是 &lt;em>agent-first 的 CNAPP&lt;/em>、設計重心在「endpoint EDR agent 順便收 cloud workload 訊號」這條路徑、agentless CSPM 是補位、不是主軸。產品線靠多次收購整合：&lt;em>Bionic&lt;/em>（2023 收購、現為 Falcon ASPM、application security posture management）負責 application architecture + runtime risk map；&lt;em>Flow Security&lt;/em>（2024 收購、現為 Falcon Data Protection / DSPM）負責 sensitive data 發現與 access path；endpoint / workload / container runtime 偵測由 Falcon agent 自家補。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &amp;#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz&lt;/a> 比、Falcon CS 走 &lt;em>agent-first + EDR 整合&lt;/em>、Wiz 走 &lt;em>agentless-first + cloud workload graph&lt;/em>。已部署 Falcon endpoint 的客戶上 Falcon CS 邊際成本 0；純 cloud-native 沒 endpoint workload 的環境、Falcon 的 agent 紅利不存在、Wiz 更快出價值。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &amp;#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud&lt;/a> 比、兩者都走 agent + agentless 雙軌、Prisma 強項是 &lt;em>compliance pack 跟 IaC scanning 模板&lt;/em>、Falcon 強項是 &lt;em>CrowdStrike Intelligence threat actor profile + Counter Adversary Operations 提供的 hunting 服務&lt;/em>。跟 Lacework 比、Lacework 走 &lt;em>behavioral baseline / anomaly detection&lt;/em>、Falcon 走 &lt;em>signature + threat intel&lt;/em>、兩種偵測哲學。&lt;/p></description><content:encoded><![CDATA[<p>CrowdStrike Falcon Cloud Security 是 CrowdStrike 在 Falcon endpoint EDR 平台之上擴張出來的 CNAPP（Cloud-Native Application Protection Platform）產品線。它的核心邏輯是把已經跑在 endpoint 上的 <em>Falcon agent</em> 同時拿來收 cloud workload / container / Kubernetes node 的 telemetry、再把 CrowdStrike Intelligence 的 threat actor profile 直接餵進 detection rule。對已是 CrowdStrike endpoint 客戶來說、邊際 onboarding cost 接近 0；對非 CrowdStrike 環境、選它的訴求應該是 <em>threat intel + EDR 同 console</em> 而不是 CSPM 本身。</p>
<h2 id="服務定位">服務定位</h2>
<p>Falcon Cloud Security 的定位是 <em>agent-first 的 CNAPP</em>、設計重心在「endpoint EDR agent 順便收 cloud workload 訊號」這條路徑、agentless CSPM 是補位、不是主軸。產品線靠多次收購整合：<em>Bionic</em>（2023 收購、現為 Falcon ASPM、application security posture management）負責 application architecture + runtime risk map；<em>Flow Security</em>（2024 收購、現為 Falcon Data Protection / DSPM）負責 sensitive data 發現與 access path；endpoint / workload / container runtime 偵測由 Falcon agent 自家補。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> 比、Falcon CS 走 <em>agent-first + EDR 整合</em>、Wiz 走 <em>agentless-first + cloud workload graph</em>。已部署 Falcon endpoint 的客戶上 Falcon CS 邊際成本 0；純 cloud-native 沒 endpoint workload 的環境、Falcon 的 agent 紅利不存在、Wiz 更快出價值。跟 <a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a> 比、兩者都走 agent + agentless 雙軌、Prisma 強項是 <em>compliance pack 跟 IaC scanning 模板</em>、Falcon 強項是 <em>CrowdStrike Intelligence threat actor profile + Counter Adversary Operations 提供的 hunting 服務</em>。跟 Lacework 比、Lacework 走 <em>behavioral baseline / anomaly detection</em>、Falcon 走 <em>signature + threat intel</em>、兩種偵測哲學。</p>
<p>關鍵張力：<em>agent 是 single point of compromise</em> 是 Falcon agent-first 路線的長期信任成本。2024-07 Falcon sensor 推 bad content update 導致全球 Windows host BSOD 的事件、把 <em>kernel-level agent 一改全炸</em> 的風險具象化、對 agent-first vendor 是長期教訓。選 Falcon CS 等於買 agent 在 host kernel 的存取權、要把 <em>agent 自身的供應鏈</em> 當成風險來源納入評估。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Falcon Cloud Security 在 cloud security stack 中承擔哪一段（CSPM / CWPP / CIEM / ASPM / DSPM）、哪些靠 Falcon agent、哪些靠 agentless connector</li>
<li>已有 CrowdStrike endpoint 跟沒有 CrowdStrike endpoint 兩種起點下、Falcon CS 的判讀是否一樣</li>
<li>CrowdStrike Intelligence 跟 Counter Adversary Operations 在 detection lifecycle 的位置</li>
<li>何時用 Falcon CS、何時走 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> / <a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a> / Lacework 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Falcon Cloud Security deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>Agent coverage 跟版本治理</strong>：哪些 host / workload / container 跑 Falcon agent、是否跨 endpoint + cloud workload + Kubernetes node 一致、agent version 跟 sensor content channel 是否走 staging tenant + canary rollout（2024-07 incident 後的硬性要求）</li>
<li><strong>Agentless connector 覆蓋</strong>：CSPM 連到哪些 cloud account（AWS / GCP / Azure / OCI）、CIEM 是否拉 IAM identity graph、ASPM 連到哪些 application code repo</li>
<li><strong>Threat intel 是否接進 detection lifecycle</strong>：CrowdStrike Intelligence 的 IoC / threat actor TTP 是否餵進 Falcon detection rule、Counter Adversary Operations（MDR / threat hunting 服務）是否訂閱</li>
<li><strong>跟 Falcon EDR 同 console / IR handoff</strong>：cloud finding 跟 endpoint finding 是否在同一個 Incident view、SOC team 跟 cloud team 的 routing 是否定義、跟 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 incident response</a> 是否對齊</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Falcon agent 統一</strong>：endpoint EDR 用的 Falcon sensor 同時收 cloud workload 上的 process / file / network telemetry、不需要再裝第二支 agent。對已用 Falcon endpoint 的組織意義最大 — VM / container host 上裝 Falcon 就同時是 EDR + CWPP + container runtime detection。新環境要評估 <em>agent 的 kernel 存取權</em> 是否可接受、container 內是否能或需要部署 agent（Falcon Container Sensor 走 sidecar / DaemonSet）。</p>
<p><strong>CSPM</strong>：agentless 連 cloud account（AWS / GCP / Azure / OCI）、掃 misconfiguration（public S3 / over-privileged role / unencrypted disk）、對照 CIS Benchmark / NIST / PCI 模板。CSPM 是 <em>配置面</em> 訊號、補 agent 看不到的 cloud control plane 行為（例如 IAM policy change、S3 bucket policy 改變）。</p>
<p><strong>CWPP — workload + container + Kubernetes</strong>：Falcon agent 在 VM host / container host / Kubernetes node 上做 runtime detection、看 process spawn、file integrity、network connection、container escape attempt。比 agentless snapshot scan 強的是 <em>runtime behavior</em>（看到實際發生的 process tree），比 Wiz agentless 弱的是 <em>初始 coverage 速度</em>（要先部署 agent）。</p>
<p><strong>CIEM</strong>：把 cloud IAM identity 跟 access 畫成 graph、識別 over-privileged role / unused permission / cross-account trust risk。跟 <a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> Access Analyzer / <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> Policy Intelligence 是補位、不是替代 — CIEM 給的是 <em>跨雲 + 跨 identity provider</em> 的 risk view。</p>
<p><strong>ASPM（前 Bionic）</strong>：application security posture management、把 application architecture（service graph / data flow / external dependency / vulnerability）畫成 map、識別哪個 vulnerability 真的可達 production attack surface。跟 Wiz Code / Snyk 的訴求重疊、但 Bionic 強項是 <em>runtime + architecture</em> 而不是 pure SAST/SCA。導入需要拉 application telemetry、不是裝完就有結果。</p>
<p><strong>DSPM（前 Flow Security）</strong>：data security posture management、掃 cloud storage / database / SaaS 裡的 sensitive data 位置、誰能存取、access path 是什麼。跟 <a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a> 不同層 — DSPM 是 <em>posture 層</em>（who can access what）、DLP 是 <em>runtime 層</em>（actual data egress event）、兩者互補。</p>
<p><strong>CrowdStrike Intelligence 整合</strong>：CrowdStrike Intelligence 是 CrowdStrike 自家的 threat intel team、定期發 threat actor profile（COZY BEAR / FANCY BEAR / Scattered Spider 等命名來自 CrowdStrike）、IoC、TTP。Falcon CS detection rule 直接吃這層、不用 SOC team 自己訂閱外部 threat feed。這是 Falcon CS 跟 <em>純 CNAPP 競品</em>（Wiz / Prisma）最大差異 — 競品要再買 Mandiant / Recorded Future 才能補。</p>
<p><strong>Charlotte AI</strong>：CrowdStrike 的 LLM-assisted investigation 介面、SOC analyst 用自然語言問 incident（「過去 24hr 有哪些 process 是 first-seen across fleet」）、Charlotte 翻成 Falcon query 跑。屬 SOC productivity 補位、不是 detection logic 本身。</p>
<p><strong>跟 Falcon LogScale / Identity Protection 同 plane</strong>：完整 CrowdStrike stack 客戶可以把 Falcon LogScale（前 Humio 收購、SIEM）+ Falcon Identity Protection（identity threat detection）跟 Falcon CS 整合在同一個 console。Single pane of glass 強、但 vendor lock-in 也最深、退場成本是業界最高。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>CrowdStrike Falcon CS</th>
          <th>Wiz</th>
          <th>Prisma Cloud</th>
          <th>Lacework</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Agent 策略</td>
          <td>Agent-first（Falcon sensor）+ agentless 補位</td>
          <td>Agentless-first（snapshot scan）+ runtime sensor</td>
          <td>Agent + agentless 雙軌（Defender agent）</td>
          <td>Agent-based（Lacework agent + Polygraph）</td>
      </tr>
      <tr>
          <td>強項</td>
          <td>EDR 整合、threat intel、Counter Adversary Ops</td>
          <td>Cloud workload graph、快速 onboarding、無 agent</td>
          <td>Compliance pack、IaC scanning、廣覆蓋</td>
          <td>Behavioral baseline、anomaly detection</td>
      </tr>
      <tr>
          <td>Threat intel</td>
          <td>CrowdStrike Intelligence 內建</td>
          <td>外部 feed integration</td>
          <td>Unit 42 threat intel 內建</td>
          <td>外部 feed integration</td>
      </tr>
      <tr>
          <td>ASPM / app layer</td>
          <td>Falcon ASPM（前 Bionic、runtime + architecture）</td>
          <td>Wiz Code（SAST / SCA / IaC）</td>
          <td>Prisma Code Security（前 Bridgecrew）</td>
          <td>有限</td>
      </tr>
      <tr>
          <td>DSPM</td>
          <td>Falcon Data Protection（前 Flow Security）</td>
          <td>Wiz DSPM</td>
          <td>Data Security Posture Management</td>
          <td>有限</td>
      </tr>
      <tr>
          <td>MDR / hunting</td>
          <td>Counter Adversary Operations（業界先驅）</td>
          <td>無 first-party MDR</td>
          <td>Cortex MDR（Palo Alto）</td>
          <td>有限</td>
      </tr>
      <tr>
          <td>跟 EDR 同 console</td>
          <td>內建（Falcon EDR / Identity Protection / LogScale）</td>
          <td>需外接</td>
          <td>Cortex XDR（同 Palo Alto stack）</td>
          <td>需外接</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>已用 Falcon endpoint、看重 threat intel + MDR</td>
          <td>Cloud-native、無 endpoint workload、要快</td>
          <td>Palo Alto stack 客戶、compliance-heavy 產業</td>
          <td>中等規模、behavioral detection 為主</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>最高（agent + console + threat intel + MDR 綁定）</td>
          <td>中（agentless 退出較快）</td>
          <td>高（Palo Alto stack 整合深）</td>
          <td>中</td>
      </tr>
  </tbody>
</table>
<p>選 Falcon CS 的核心訴求：<em>已是 CrowdStrike endpoint 客戶 / SOC team 已熟 Falcon console + 看重 CrowdStrike Intelligence threat intel + 願意接受 agent-first 的供應鏈風險</em>。純 cloud-only 沒 endpoint workload、agent 紅利不存在、走 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> 更划算。非 CrowdStrike 環境想要 compliance + IaC、走 <a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a>。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Counter Adversary Operations（MDR + threat hunting）</strong>：CrowdStrike 的 managed detection and response 服務、24x7 SOC team + threat hunter 主動掃客戶環境裡的 adversary 跡象。跟一般 MDR 不同的是、它直接接 CrowdStrike Intelligence 的 threat actor profile、看到 TTP 匹配就主動 hunt 而不是等 alert。對 SOC team 規模有限但要面對 nation-state actor 的組織、是補 SOC capability 的快路。</p>
<p><strong>CrowdStrike Intelligence threat actor profile</strong>：CrowdStrike 把 threat actor 用命名規則（BEAR = Russian state、PANDA = Chinese state、KITTEN = Iranian state、SPIDER = eCrime）+ 編號管理、每個 actor 有 TTP、tooling、target sector 的 profile。Detection rule 不再只看 IoC（hash / IP）而是看 <em>actor 的 behavioral pattern</em>、IoC 變了也能抓。配對 <a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/microsoft-storm-0558-2023-signing-key-chain/" data-link-title="7.R7.1.5 Microsoft Storm-0558 2023：簽章金鑰鏈與郵件存取" data-link-desc="從簽章金鑰保護失效到雲端郵件存取，拆解身分信任鏈的關鍵控制點">Microsoft Storm-0558 Signing Key Chain</a> 的 nation-state actor lesson。</p>
<p><strong>Falcon LogScale 整合</strong>：Falcon LogScale（前 Humio）是 CrowdStrike 自家的 SIEM、可以把 Falcon agent telemetry + cloud log + 自家 app log 全收。跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 比、LogScale 強在 <em>跟 Falcon detection 同 plane</em>、計費也不是 ingestion-based；弱在 <em>detection content 跟 ecosystem 比 Splunk 淺</em>。</p>
<p><strong>Charlotte AI + LLM-assisted investigation</strong>：SOC analyst triage 時間長是普遍痛點、Charlotte AI 用 LLM 把自然語言問題翻成 Falcon query、補出 incident timeline summary。屬 SOC productivity 工具、不取代 detection rule、也不取代 analyst judgement。</p>
<p><strong>Falcon Identity Protection 補位</strong>：identity-layer threat detection（pass-the-hash、Kerberoasting、AD enumeration）、跟 <a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a> ITDR 訊號互補。完整 stack 客戶可把 endpoint + cloud + identity 三層 telemetry 一起 correlate。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Agent rollout 一改全炸</strong>：sensor content channel 沒有 staging tenant、prod 直接吃 vendor push 的 update — 2024-07 incident 後 CrowdStrike 推 Sensor Update Policy 允許客戶設 canary ring、所有 prod 都該開、不開等於把 fleet 命交給 vendor QA</li>
<li><strong>Cloud workload coverage 不全 / 偵測盲點</strong>：只有部分 VM 部署 Falcon agent、container / Kubernetes 沒覆蓋 — 補 Falcon Container Sensor（DaemonSet）+ CSPM agentless 連 cloud account 補配置面</li>
<li><strong>Threat intel 沒接進 detection lifecycle</strong>：訂了 CrowdStrike Intelligence 但 SOC team 沒把 actor TTP 對應到自家 detection rule — 走 <a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a>、定期 review intel report + rule coverage gap</li>
<li><strong>CIEM finding 太多 / SOC 看不完</strong>：cloud IAM 累積 over-permission 沒清、CIEM 一掃幾千條 finding — 走 risk prioritization（哪些 identity 真的可達 sensitive resource）+ 跟 <a href="/blog/backend/07-security-data-protection/identity-access-boundary/" data-link-title="7.2 身分與授權邊界" data-link-desc="以問題驅動方式整理身分、授權、會話與供應商身分鏈">Cloud IAM</a> ownership 對齊、不是 dump 給 SOC</li>
<li><strong>ASPM 拉不出 application graph</strong>：Bionic 需要 application telemetry + repo integration、只裝 Falcon agent 不會有 application architecture map — 補 ASPM 的 application onboarding（repo / CI / runtime telemetry）</li>
<li><strong>DSPM 找到 sensitive data 但沒 follow-up</strong>：DSPM 是 <em>posture 層</em>、發現問題後要走 <a href="/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">Data Classification</a> lifecycle、不是只把 finding 丟到 dashboard</li>
<li><strong>Vendor lock-in 過深、退場時 SOC 工作流崩潰</strong>：所有 detection content / IR playbook / Charlotte query / LogScale dashboard 都綁 Falcon — 關鍵 detection rule 同步 export 成 Sigma format（中性 format）、IR playbook 寫成 vendor-neutral 文件、不全押在 Falcon console</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Cloud-native / 無 endpoint workload</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a></td>
      </tr>
      <tr>
          <td>Palo Alto stack + compliance-heavy</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a></td>
      </tr>
      <tr>
          <td>Behavioral baseline / anomaly 為主</td>
          <td>Lacework</td>
      </tr>
      <tr>
          <td>Runtime container syscall 深度偵測</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/" data-link-title="資安與資料保護 Vendor 清單" data-link-desc="規劃身份、秘密、金鑰、入口防護、供應鏈與偵測工具的服務頁撰寫順序與教學大綱">Falco</a> / Cilium Tetragon</td>
      </tr>
      <tr>
          <td>DLP / sensitive data egress event</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>純 SIEM / log aggregation</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></td>
      </tr>
      <tr>
          <td>Incident response routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>Falcon agent 內部 architecture（kernel module / sensor content channel 細節）</li>
<li>CrowdStrike Intelligence 完整 threat actor 名單與 TTP reference</li>
<li>Falcon LogScale 完整 SIEM 操作（屬獨立 SIEM 章節範圍、跟 Splunk 對照）</li>
<li>2024-07 Falcon update incident 的完整 root cause（屬 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 incident response</a> 範圍）</li>
<li>Falcon Identity Protection 的 AD-specific detection rule（屬 identity-access 範圍）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Falcon Cloud Security 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>CrowdStrike 是 SolarWinds incident response 主導 vendor、Falcon endpoint + CrowdStrike Intelligence 整合在事件期間是強項、agent + threat intel 同 plane 的價值具象案例</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/3cx-2023-desktopapp-supply-chain/" data-link-title="7.R7.2.8 3CX 2023：桌面軟體更新鏈攻擊" data-link-desc="合法更新流程被植入後，桌面端供應鏈事件如何傳到企業端點">3CX 2023 Desktop App Supply Chain</a></td>
          <td>CrowdStrike 公開 attribution（指向 LABYRINTH CHOLLIMA）與 detection、Falcon agent runtime 偵測異常 process spawn、signed binary 也要看 behavior</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell CVE-2021-44228</a></td>
          <td>Falcon agent runtime 偵測 JNDI lookup process tree、CrowdStrike Intelligence push IoC + TTP、漏洞披露 → fleet-wide detection deployment 是時間競賽</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/microsoft-storm-0558-2023-signing-key-chain/" data-link-title="7.R7.1.5 Microsoft Storm-0558 2023：簽章金鑰鏈與郵件存取" data-link-desc="從簽章金鑰保護失效到雲端郵件存取，拆解身分信任鏈的關鍵控制點">Microsoft Storm-0558 Signing Key Chain</a></td>
          <td>對照啟示：endpoint agent vendor 自己也是 supply chain target、2024-07 Falcon bad sensor update 全球 Windows BSOD 是這個 risk 的具體表現、agent-first 路線的長期信任成本</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">7.12 雲端控制面安全與 CNAPP</a>、<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a>、<a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a>、Lacework</li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a>（SIEM 對照）、<a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a>（DLP 補位）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a>（CIEM 訊號來源）、<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>（identity threat 對照）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（cloud finding → IR routing）、<a href="/blog/backend/06-reliability/" data-link-title="模組六：可靠性驗證流程" data-link-desc="用 SRE 領域詞彙建問題節點、以服務級案例庫累積驗證脈絡，先建概念與案例庫再進實作交接">6.4 release gate</a>（ASPM finding → release gate）</li>
<li>官方：<a href="https://www.crowdstrike.com/platform/cloud-security/">CrowdStrike Falcon Cloud Security</a></li>
</ul>
]]></content:encoded></item></channel></rss>