CrowdStrike क्या है?

विवरण

लक्षणों में होस्ट को फाल्कन सेंसर से संबंधित बगचेक\ब्लू स्क्रीन त्रुटि का अनुभव होना शामिल है।
जिन विंडोज होस्ट पर कोई प्रभाव नहीं पड़ा है, उन्हें किसी कार्रवाई की आवश्यकता नहीं है क्योंकि समस्याग्रस्त चैनल फ़ाइल को वापस कर दिया गया है।
जिन विंडोज होस्ट को 0527 UTC के बाद ऑनलाइन लाया गया है, उन पर भी कोई प्रभाव नहीं पड़ेगा
यह समस्या मैक या लिनक्स-आधारित होस्ट को प्रभावित नहीं कर रही है
चैनल फ़ाइल “C-00000291*.sys” जिसका टाइमस्टैम्प 0527 UTC या बाद का है, वह वापस किया गया (अच्छा) संस्करण है।
चैनल फ़ाइल “C-00000291*.sys” जिसका टाइमस्टैम्प 0409 UTC है, वह समस्याग्रस्त संस्करण है।
नोट: क्राउडस्ट्राइक निर्देशिका में कई “C-00000291*.sys फ़ाइलों का मौजूद होना सामान्य है – जब तक फ़ोल्डर में फ़ाइलों में से किसी एक का टाइमस्टैम्प 0527 UTC या बाद का है, वह सक्रिय सामग्री होगी।
वर्तमान कार्रवाई
क्राउडस्ट्राइक इंजीनियरिंग ने इस समस्या से संबंधित सामग्री परिनियोजन की पहचान की है और उन परिवर्तनों को वापस ले लिया है।
यदि होस्ट अभी भी क्रैश हो रहे हैं और चैनल फ़ाइल परिवर्तन प्राप्त करने के लिए ऑनलाइन रहने में असमर्थ हैं, तो नीचे दिए गए वैकल्पिक चरणों का उपयोग किया जा सकता है।
हम अपने ग्राहकों को आश्वस्त करते हैं कि क्राउडस्ट्राइक सामान्य रूप से काम कर रहा है और यह समस्या हमारे फाल्कन प्लेटफ़ॉर्म सिस्टम को प्रभावित नहीं करती है। यदि आपके सिस्टम सामान्य रूप से काम कर रहे हैं, तो फाल्कन सेंसर स्थापित होने पर उनकी सुरक्षा पर कोई प्रभाव नहीं पड़ता है। इस घटना से फाल्कन कम्प्लीट और ओवरवॉच सेवाएँ बाधित नहीं होती हैं।
उन्नत ईवेंट खोज के माध्यम से प्रभावित होस्ट की पहचान करने के लिए क्वेरी
कृपया यह KB लेख देखें: Windows क्रैश से संभावित रूप से प्रभावित होस्ट की पहचान कैसे करें (pdf) या समर्थन पोर्टल में देखने के लिए लॉग इन करें।

डैशबोर्ड

इसी तरह उपर्युक्त संदर्भित क्वेरी के अनुसार, अब एक डैशबोर्ड उपलब्ध है जो प्रभावित चैनल और CID तथा प्रभावित सेंसर प्रदर्शित करता है। आपकी सदस्यता के आधार पर, यह कंसोल मेनू में या तो उपलब्ध है:

नेक्स्ट-जेन SIEM > डैशबोर्ड या;
जांच करें > डैशबोर्ड
नाम: hosts_possibly_impacted_by_windows_crashes
नोट: डैशबोर्ड का उपयोग “लाइव” बटन के साथ नहीं किया जा सकता

स्वचालित पुनर्प्राप्ति लेख:
कृपया यह लेख देखें: GCP में Windows इंस्टेंस पर ब्लू स्क्रीन से स्वचालित पुनर्प्राप्ति (pdf) या समर्थन पोर्टल में देखने के लिए लॉग इन करें।

व्यक्तिगत होस्ट के लिए वैकल्पिक चरण:
रिवर्टेड चैनल फ़ाइल को डाउनलोड करने का अवसर देने के लिए होस्ट को रीबूट करें। हम रीबूट करने से पहले होस्ट को वायर्ड नेटवर्क (वाईफाई के विपरीत) पर रखने की दृढ़ता से अनुशंसा करते हैं क्योंकि होस्ट ईथरनेट के माध्यम से काफी तेज़ी से इंटरनेट कनेक्टिविटी प्राप्त करेगा।
यदि होस्ट फिर से क्रैश हो जाता है, तो:
विंडोज को सुरक्षित मोड या विंडोज रिकवरी एनवायरनमेंट में बूट करें
नोट: होस्ट को वायर्ड नेटवर्क (वाईफाई के विपरीत) पर रखना और नेटवर्किंग के साथ सुरक्षित मोड का उपयोग करना उपचार में मदद कर सकता है।
%WINDIR%\System32\drivers\CrowdStrike निर्देशिका पर नेविगेट करें
विंडोज रिकवरी डिफ़ॉल्ट रूप से X:\windows\system32 पर सेट होती है
सबसे पहले उपयुक्त पार्टीशन पर नेविगेट करें (डिफ़ॉल्ट C:\ है), और क्राउडस्ट्राइक निर्देशिका पर नेविगेट करें:
C:
cd windows\system32\drivers\crowdstrike
नोट: WinRE/WinPE पर, OS वॉल्यूम की Windows\System32\drivers\CrowdStrike निर्देशिका पर नेविगेट करें
“C-00000291*.sys” से मेल खाने वाली फ़ाइल का पता लगाएँ और उसे हटा दें।
किसी अन्य फ़ाइल या फ़ोल्डर को न हटाएं या न बदलें
होस्ट को कोल्ड बूट करें
होस्ट को बंद करें।
होस्ट को ऑफ स्टेट से शुरू करें।
नोट: बिटलॉकर-एन्क्रिप्टेड होस्ट को रिकवरी कुंजी की आवश्यकता हो सकती है।

सार्वजनिक क्लाउड या वर्चुअल सहित समान वातावरण के लिए वैकल्पिक उपाय:
विकल्प 1:
प्रभावित वर्चुअल सर्वर से ऑपरेटिंग सिस्टम डिस्क वॉल्यूम को अलग करें
अनपेक्षित परिवर्तनों के विरुद्ध सावधानी के रूप में आगे बढ़ने से पहले डिस्क वॉल्यूम का स्नैपशॉट या बैकअप बनाएँ
वॉल्यूम को नए वर्चुअल सर्वर से अटैच/माउंट करें
%WINDIR%\System32\drivers\CrowdStrike निर्देशिका पर जाएँ
“C-00000291*.sys” से मेल खाने वाली फ़ाइल ढूँढ़ें और उसे हटा दें।
वॉल्यूम को नए वर्चुअल सर्वर से अलग करें
निश्चित वॉल्यूम को प्रभावित वर्चुअल सर्वर से फिर से अटैच करें
विकल्प 2:
0409 UTC से पहले स्नैपशॉट पर वापस जाएँ।
AWS-विशिष्ट दस्तावेज़:
मैं क्राउडस्ट्राइक फाल्कन एजेंट से प्रभावित AWS संसाधनों को कैसे पुनर्प्राप्त करूँ?
Azure परिवेश:
कृपया यह Microsoft लेख देखें
कार्यस्थान ONE पोर्टल में उपयोगकर्ता पहुँच पुनर्प्राप्ति कुंजी
जब यह सेटिंग सक्षम होती है, तो उपयोगकर्ता सहायता के लिए हेल्पडेस्क से संपर्क किए बिना कार्यस्थान ONE पोर्टल से BitLocker पुनर्प्राप्ति कुंजी प्राप्त कर सकते हैं। कार्यस्थान ONE पोर्टल में पुनर्प्राप्ति कुंजी चालू करने के लिए, अगले चरणों का पालन करें। 

Tanium के माध्यम से Windows एन्क्रिप्शन प्रबंधन
कृपया अधिक जानकारी के लिए यह Tanium लेख देखें।
Citrix के माध्यम से Bit locker पुनर्प्राप्ति
कृपया अधिक जानकारी के लिए यह Citrix लेख देखें।
BitLocker पुनर्प्राप्ति-संबंधित KBs:
Microsoft Azure में BitLocker पुनर्प्राप्ति (pdf) या समर्थन पोर्टल में देखने के लिए लॉग इन करें।
SCCM का उपयोग करके Microsoft परिवेश में BitLocker पुनर्प्राप्ति (pdf) या समर्थन पोर्टल में देखने के लिए लॉग इन करें।
Active Directory और GPO का उपयोग करके Microsoft परिवेश में BitLocker पुनर्प्राप्ति (pdf) या समर्थन पोर्टल में देखने के लिए लॉग इन करें।
इवान्टी एंडपॉइंट मैनेजर (पीडीएफ) का उपयोग करके माइक्रोसॉफ्ट वातावरण में बिटलॉकर रिकवरी या समर्थन पोर्टल में देखने के लिए लॉग इन करें।
मैनेजइंजिन का उपयोग करके माइक्रोसॉफ्ट वातावरण में बिटलॉकर रिकवरी