← CrowdStrike Glosario Modulos Quiz Flashcards Simulador Examen Escenarios Shield

Modulos del Curso

Resumen, vocabulario y claves de cada modulo - Todo en espanol

0%

Tu progreso en el curso

0 completados 0 en progreso 12 pendientes

12 modulos | 6h 25min tiempo total estimado

PENDIENTE

FALCON 100: Falcon Platform Architecture Overview

30 min | Arquitectura de la plataforma
Objetivo: Entender como esta construida la plataforma CrowdStrike Falcon, por que es diferente a un antivirus clasico, y como encajan todas las piezas.
  • CrowdStrike Falcon es cloud-native: Toda la inteligencia y procesamiento esta en la nube. No necesitas servidores propios ni actualizar firmas. El sensor envia datos a la nube y ahi se analiza todo.
  • El sensor es ligero: Se instala en cada endpoint (PC, servidor) y consume pocos recursos. Solo recopila datos y los envia. No es como un antivirus pesado que ralentiza el equipo.
  • Threat Graph: Es el cerebro de CrowdStrike. Una base de datos masiva que procesa billones de eventos por semana de todos los clientes. Si un ataque se detecta en un cliente, todos los demas se protegen automaticamente.
  • Arquitectura de un solo agente: Un unico sensor da acceso a todos los modulos (Prevent, Insight, Discover, Spotlight...). Esto es una ventaja enorme frente a la competencia.
  • Enfoque en IOAs (Indicators of Attack): CrowdStrike analiza el comportamiento en tiempo real. Si un proceso hace algo sospechoso (ej: Word lanzando PowerShell), lo detecta aunque sea un malware nuevo.
  • Falcon Console: Tu panel de control web donde gestionas todo: alertas, politicas, equipos, investigaciones.
Recuerda: CrowdStrike usa un solo sensor ligero, es cloud-native (no on-premises), y su ventaja principal es IOAs + Threat Graph. Estas tres ideas aparecen constantemente.
Cloud-native
Nativo en la nube
Disenado para funcionar en la nube desde el principio
Falcon Sensor
Sensor / Agente
Agente ligero instalado en cada endpoint
Threat Graph
Grafo de amenazas
Base de datos masiva que correlaciona eventos globales
Falcon Console
Consola Falcon
Interfaz web de gestion y administracion
IOA
Indicador de ataque
Deteccion basada en comportamiento en tiempo real
IOC
Indicador de compromiso
Evidencia de un ataque pasado (hash, IP, dominio)
Endpoint
Punto final / Equipo
PC, portatil, servidor o movil en la red
Single agent architecture
Arquitectura de agente unico
Un solo sensor para todos los modulos

Practica los conceptos de este modulo:

Quiz FALCON 100 Flashcards Falcon Ver en glosario
PENDIENTE

FALCON 101: Falcon Platform Essentials

50 min | Modulos principales de la plataforma
Objetivo: Conocer los modulos principales de Falcon y entender que hace cada uno. El "catalogo de productos" de CrowdStrike.
  • Falcon Prevent (NGAV): Antivirus de nueva generacion. Bloquea malware conocido y desconocido con machine learning. Primera linea de defensa.
  • Falcon Insight (EDR): Visibilidad total de cada equipo: procesos, conexiones, archivos. Permite investigar incidentes con el process tree.
  • Falcon OverWatch: Equipo humano de threat hunters 24/7. Complementan la IA buscando lo que las maquinas no ven.
  • Falcon Discover: Higiene de TI. Inventario de aplicaciones, cuentas y activos. Detecta shadow IT.
  • Falcon Spotlight: Vulnerabilidades sin escaneos. Usa datos del sensor. Cero impacto en rendimiento.
  • Falcon Fusion (SOAR): Automatizacion. Flujos "si pasa X, haz Y". Ej: ransomware detectado → aislar equipo automaticamente.
  • Falcon Identity Protection: Protege Active Directory, detecta credenciales robadas y movimiento lateral.
  • Falcon Device Control: Control de USBs y perifericos.
  • Falcon Firewall Management: Gestiona Windows Firewall desde la consola de forma centralizada.
Truco para el examen: Prevent = bloquear, Insight = investigar, OverWatch = humanos, Discover = inventario, Spotlight = vulnerabilidades, Fusion = automatizar.
NGAV
Antivirus nueva generacion
Usa ML y comportamiento, no solo firmas
EDR
Deteccion y respuesta en endpoints
Monitoriza, detecta y permite responder
Threat Hunting
Caza de amenazas
Busqueda proactiva de amenazas ocultas
SOAR
Automatizacion de seguridad
Orquestar y automatizar respuestas
Shadow IT
TI en la sombra
Software/hardware no autorizado en la red
Process Tree
Arbol de procesos
Cadena que muestra que proceso lanzo cual
Device Control
Control de dispositivos
Gestion de USBs y perifericos
Vulnerability Management
Gestion de vulnerabilidades
Identificar y priorizar debilidades

Practica los conceptos de este modulo:

Quiz FALCON 101 Flashcards Modulos Ver en glosario
PENDIENTE

FALCON 102: Falcon Platform Onboarding Configuration

1 hora | Configuracion inicial de la plataforma
Objetivo: Aprender a configurar Falcon desde cero: crear usuarios, instalar sensores, configurar politicas y organizar equipos. El modulo mas practico hasta ahora.
  • Configuracion inicial: Crear usuarios, asignar roles (Administrator, Analyst, Viewer...), configurar MFA/2FA. El Falcon Administrator tiene acceso total.
  • Instalacion del sensor: Necesitas el CID (Customer ID). Se puede desplegar via GPO, SCCM, scripts o manualmente.
  • Host Groups: Organizas equipos en grupos. Estaticos (manuales) o Dinamicos (automaticos por reglas: SO, dominio, OU, tags).
  • Prevention Policies: Defines QUE bloquea Falcon. Diferentes politicas para diferentes grupos. Se asignan a Host Groups.
  • Sensor Update Policies: Controlas cuando y como se actualizan los sensores. Canales N, N-1, N-2.
  • Exclusiones: Para falsos positivos con software legitimo. Por ruta, hash o proceso. Cada exclusion es un punto ciego potencial.
  • RBAC: Control de acceso basado en roles. Principio de minimo privilegio.
  • Verificacion: Comprobar en Host Management que los equipos aparecen con grupo y politica correctos.
Flujo de onboarding: 1) Crear usuarios/roles → 2) Instalar sensor (CID) → 3) Crear Host Groups → 4) Asignar Policies → 5) Verificar. Host Groups dinamicos son mejores que estaticos en entornos grandes.
CID (Customer ID)
ID de cliente
Identificador unico necesario para instalar sensores
Host Group
Grupo de equipos
Agrupacion para aplicar politicas distintas
Prevention Policy
Politica de prevencion
Define que bloquea Falcon automaticamente
Sensor Update Policy
Politica de actualizacion
Controla versiones del sensor (N, N-1, N-2)
Exclusion
Exclusion
Regla para ignorar falsos positivos
RBAC
Control de acceso por roles
Cada usuario solo ve/hace lo que necesita
GPO (Group Policy)
Politica de grupo
Metodo de despliegue masivo en Windows/AD
Sensor Tags
Etiquetas del sensor
Etiquetas para organizar y crear grupos dinamicos

Practica los conceptos de este modulo:

Quiz FALCON 102 Flashcards Gestion Escenario: Desplegar 200 equipos
PENDIENTE

FALCON 104: Getting Started with Endpoint Security

25 min | Detecciones y respuesta a incidentes
Objetivo: Aprender a trabajar con detecciones y alertas del dia a dia. Como ver, investigar y gestionar incidentes. Este es tu trabajo diario como administrador.
  • Dashboard principal: Resumen de detecciones recientes, equipos con problemas, tendencias. Lo primero que miras cada manana.
  • Severidad: Informational → Low → Medium → High → Critical. Prioriza siempre Critical y High.
  • Process Tree: Reconstruye la escena: que proceso inicio todo, que lanzo, que conexiones hizo, que archivos toco.
  • Flujo de alertas: New → In Progress → True/False Positive → Closed. Siempre documenta por que la cierras.
  • Acciones de respuesta: Network Contain (aislar), Quarantine (cuarentena del archivo), RTR (acceso remoto al equipo).
  • Mapeo MITRE ATT&CK: Cada deteccion te dice que tactica/tecnica se detecto (Execution, Persistence, Lateral Movement...).
Conoce el flujo: New → In Progress → TP/FP → Closed y las acciones: Contain, Quarantine, RTR. Cada deteccion se mapea a MITRE ATT&CK.
Detection
Deteccion / Alerta
Alerta generada cuando Falcon detecta algo sospechoso
Severity
Severidad / Gravedad
Nivel de la alerta: Info, Low, Medium, High, Critical
Network Containment
Aislamiento de red
Aisla el equipo pero mantiene conexion con CrowdStrike
RTR (Real Time Response)
Respuesta en tiempo real
Acceso remoto al equipo desde la consola
True Positive
Verdadero positivo
Alerta confirmada como amenaza real
False Positive
Falso positivo
Alerta incorrecta, era software legitimo
Quarantine
Cuarentena
Aislar un archivo para que no se ejecute
Tactic / Technique
Tactica / Tecnica
Clasificacion MITRE del tipo de ataque

Practica los conceptos de este modulo:

Quiz FALCON 104 Escenario: Ransomware detectado Escenario: Investigar phishing
PENDIENTE

FALCON 105: Sensor Installation, Configuration & Troubleshooting

45 min | Instalacion y solucion de problemas del sensor
Objetivo: Profundizar en la instalacion del sensor: metodos de despliegue, configuracion avanzada y troubleshooting cuando algo falla.
  • Metodos de instalacion: Manual, GPO, SCCM/MECM, PowerShell, Intune, Jamf (Mac). Cada metodo segun el entorno.
  • Requisitos: CID, instalador correcto para el SO, permisos de admin local, conectividad a la nube de CrowdStrike.
  • Sensor Tags: Etiquetas durante la instalacion. Muy utiles para Host Groups dinamicos.
  • Troubleshooting: Si no reporta: verificar conectividad, comprobar servicio, revisar logs. Modo de diagnostico disponible.
  • Proxy: En entornos con proxy, configurar durante la instalacion o via politica.
  • Canales de actualizacion: N (ultima), N-1 (una atras), N-2 (dos atras). N-1 en produccion, N en piloto.
El CID es obligatorio, los Sensor Tags organizan automaticamente, y los canales N/N-1/N-2 son pregunta clasica.
Sensor Tag
Etiqueta del sensor
Etiqueta asignada durante instalacion
Proxy
Proxy
Intermediario entre el sensor y la nube
Troubleshooting
Solucion de problemas
Diagnosticar y resolver fallos
N / N-1 / N-2
Canales de version
Ultima, una atras, dos atras
PENDIENTE

FALCON 106: Customizing Dashboards in Falcon

20 min | Personalizar dashboards
Objetivo: Personalizar los dashboards de la consola para ver la informacion mas relevante de un vistazo.
  • Dashboards predefinidos: Detecciones, estado de sensores, vulnerabilidades, actividad de usuarios.
  • Dashboards personalizados: Crea los tuyos con los widgets que necesites. Ideal para tu rol o equipo.
  • Widgets: Graficos, tablas, contadores. Anadir, quitar, mover y redimensionar.
  • Filtros: Por periodo de tiempo, Host Group, severidad, SO.
  • Compartir: Comparte dashboards con otros usuarios del equipo.
Saber que puedes crear dashboards personalizados con widgets y filtrar y compartir con el equipo.
PENDIENTE

FALCON 107: Falcon Firewall Management Fundamentals

15 min | Gestion del firewall de host
Objetivo: Gestionar el firewall de Windows de forma centralizada desde Falcon.
  • Firewall Policies: Reglas que permiten o bloquean trafico por puerto, protocolo, IP, aplicacion. Se asignan a Host Groups.
  • Reglas de arriba a abajo: La primera regla que coincide se aplica. El orden importa.
  • Modo monitor vs enforce: Monitor = solo registra. Enforce = bloquea de verdad. Prueba siempre en monitor primero.
  • Sin agentes extra: El sensor ya tiene la capacidad. Se habilita desde la consola.
Reglas se procesan de arriba a abajo (orden importa) y el modo monitor es clave para probar antes de aplicar.
PENDIENTE

SOAR 100: Falcon Fusion SOAR Fundamentals

45 min | Automatizacion de respuesta
Objetivo: Usar Falcon Fusion para automatizar respuestas. Crear flujos "si pasa X, haz Y automaticamente".
  • Workflows: Tienen Trigger (que lo activa), Condiciones (cuando aplica), Acciones (que hace).
  • Triggers: Deteccion nueva, cambio de severidad, nuevo host, vulnerabilidad encontrada.
  • Acciones: Contener equipo, enviar notificacion, ejecutar RTR, cambiar estado, anadir a grupo.
  • Plantillas: Vienen listas para usar y personalizar.
  • Beneficio: Reduce tiempo de respuesta de horas a segundos.
Estructura: Trigger → Condicion → Accion. Falcon Fusion puede contener equipos automaticamente ante detecciones criticas.
PENDIENTE

FALCON 160: Falcon for Mobile

15 min | Proteccion de dispositivos moviles
Objetivo: Entender como CrowdStrike protege moviles (iOS/Android) integrados en la plataforma.
  • Proteccion movil: Detecta apps maliciosas, phishing movil, configuraciones inseguras, jailbreak/root.
  • Vista unificada: Los moviles aparecen en la misma consola que los PCs.
  • Amenazas moviles: WiFi inseguras, apps no oficiales, phishing por SMS.
Falcon for Mobile da visibilidad unificada y detecta amenazas moviles como phishing SMS y apps maliciosas.
PENDIENTE

ITSEC 121: Vulnerability Management Fundamentals

40 min | Gestion de vulnerabilidades con Spotlight
Objetivo: Usar Falcon Spotlight para gestionar vulnerabilidades sin escaneos tradicionales.
  • Sin escaneos: Usa datos del sensor. Cero impacto en rendimiento.
  • CVE y CVSS: CVE = identificador unico de la vulnerabilidad. CVSS = puntuacion 0-10 (10 = critica).
  • Priorizacion inteligente: Prioriza por riesgo real: exploit publico, equipo expuesto, etc.
  • Tiempo real: Si instalas/quitas software, se refleja inmediatamente.
  • Remediacion: Spotlight te dice que tienes, parchear es tu responsabilidad.
Spotlight: sin escaneos (datos del sensor), prioriza por riesgo real, informacion en tiempo real.
PENDIENTE

ITSEC 122: Asset Management Fundamentals

40 min | Gestion de activos con Discover
Objetivo: Usar Falcon Discover para tener un inventario completo de activos, aplicaciones y cuentas.
  • Unmanaged hosts: Discover encuentra equipos que no tienen sensor. Puntos ciegos de tu proteccion.
  • Inventario de apps: Todas las apps instaladas, versiones, en que equipos. Detecta shadow IT.
  • Cuentas de usuario: Admins, cuentas inactivas, cuentas sospechosas. Reduce superficie de ataque.
  • Sin agentes extra: Todo con el mismo sensor.
Discover: encuentra unmanaged hosts, detecta shadow IT, funciona con el mismo sensor.
PENDIENTE

Falcon Administrator ILT Courses

Instructor-Led Training | Clases en directo
Objetivo: Completar la formacion con clases dirigidas por un instructor. Estas son las sesiones en directo que complementan el e-learning.
  • ILT = Instructor-Led Training: Clases en directo (presenciales o virtuales) con un instructor de CrowdStrike.
  • Labs practicos: Normalmente incluyen laboratorios donde practicas con una consola de Falcon real.
  • Requisito: Debes completar todos los modulos de e-learning antes de acceder al ILT.
  • Examen: Al final del ILT es donde normalmente se realiza el examen de certificacion.
CrowdStrike Falcon Administrator - Material de estudio