¿Qué es CrowdStrike Falcon?

CrowdStrike Falcon es una plataforma de seguridad nativa en la nube que proporciona antivirus y protección de endpoints para dispositivos macOS y Windows usando IA y ML.

¿Cómo preparo el paquete de CrowdStrike Falcon para Applivery?

Descarga el instalador .pkg de Falcon desde el panel de CrowdStrike, comprímelo en un archivo .zip y carga el .zip a la sección Distribución de Apps en Applivery.

¿Dónde configuro la política de CrowdStrike Falcon en Applivery?

En la sección de gestión de dispositivos, selecciona una política (o crea una nueva) dirígete a la sección Apps y añade la app CrowdStrike Falcon desde tu workspace de Applivery.

¿Cómo activo CrowdStrike Falcon tras la instalación mediante Applivery?

En la configuración de la app, selecciona "Post-install" y pega tu script de activación, reemplazando los valores de marcador de posición con tu CID y Grouping Tag reales.

¿Cómo concedo acceso completo al disco a CrowdStrike Falcon en macOS?

Añade una configuración de control de políticas de preferencias de privacidad dentro de la política, añadiendo dos entradas para System Policy All Files, configurando el acceso como "Permitido" para "com.crowdstrike.falcon.Agent" y "com.crowdstrike.falcon.App".

¿Cómo añado el perfil de configuración personalizado de CrowdStrike Falcon?

En la política deseada, añade una nueva configuración e importa el contenido .xml proporcionado del archivo .mobileconfig en el editor.

¿Cuál es el propósito del script de activación?

El script de activación aplica la licencia de CrowdStrike Falcon usando tu CID y establece el Grouping Tag, asegurando que el agente esté correctamente licenciado y configurado tras la instalación.

Despliega CrowdStrike Falcon en macOS con Applivery

Q: ¿Cuáles son los requisitos para desplegar CrowdStrike Falcon en macOS con Applivery?

Necesitas el paquete cliente de Falcon (.pkg), el CID, el Grouping Tag, el script de activación, la política de acceso completo al disco, un perfil .mobileconfig personalizado y una configuración de filtro de contenido web.

CrowdStrike Falcon es una potente plataforma de seguridad nativa en la nube diseñada para ofrecer antivirus y protección de endpoints líder en el sector para dispositivos macOS y Windows. Aprovechando tecnologías de vanguardia como la inteligencia artificial (IA) y el aprendizaje automático (ML), Falcon detecta, previene y responde de forma proactiva a las amenazas antes de que puedan afectar a tus sistemas.

Ya sea que gestiones una flota de endpoints o protejas un entorno de trabajo híbrido, CrowdStrike Falcon ofrece protección en tiempo real, impacto mínimo en el sistema y capacidades de integración robustas.

Requisitos

Para desplegar CrowdStrike Falcon en macOS a través de Applivery, asegúrate de tener lo siguiente:

Paquete cliente de CrowdStrike Falcon (.pkg).
Identificación del cliente (CID) y Grouping Tag proporcionados por CrowdStrike.
Script de activación (para la licencia del agente).
Política de acceso completo al disco (mediante perfil de configuración).
Perfil .mobileconfig personalizado.
Configuración de filtro de contenido web para garantizar una cobertura de protección completa.
1 licencia de Applivery para Distribución de Apps.

Prepara tu CrowdStrike Falcon

Para desplegar CrowdStrike Falcon usando Applivery, deberás cargar el paquete de app comprimido (.zip) a tu sección de Gestión de Apps y configurarlo con un script de activación posterior a la instalación.

Primero, descarga el instalador .pkg de CrowdStrike Falcon desde tu panel de CrowdStrike y asegúrate de copiar tu CID y Grouping Tag, ya que los necesitarás más adelante para el script de activación.

Una vez descargado, comprime el archivo .pkg haciendo clic derecho sobre él y seleccionando Comprimir, lo que generará un archivo .zip.

A continuación, inicia sesión en el panel de Applivery y navega a la sección Gestión de Apps. Desde allí, sigue los pasos de nuestra documentación:

Configura tu política de CrowdStrike Falcon

A continuación, dirígete a la sección Gestión de Dispositivos y selecciona cualquiera de tus Políticas 1 o crea una nueva. En el menú lateral izquierdo, selecciona la sección Apps 2 y haz clic en el botón + Añadir App 3.

En la vista modal, navega a la pestaña Applivery. Configura la plataforma como macOS, elige Tu Workspace como origen de la app y busca la app Falcon Sensor que creaste anteriormente. Para la selección de build, elige Último para asegurarte de que siempre se despliega la versión más reciente.

Continúa al siguiente paso y selecciona tu modo de instalación preferido — Instalación forzosa, Necesario para la instalación o Disponible — según tu estrategia de despliegue.

En la sección Configuración, selecciona Post-install 9 y pega tu script de activación, asegurándote de reemplazar los valores de marcador de posición con tu CID y Grouping Tag reales.

#!/bin/bash

# Configure CID and Grouping Tag <----- MODIFY WITH YOUR VARIABLES
CID="CID"
GROUPING_TAG="TAG"
#OPTIONAL

# Apply CID license
sudo /Applications/Falcon.app/Contents/Resources/falconctl license "$CID"

# Set Grouping Tag. Comment it if you will not use tags.
sudo /Applications/Falcon.app/Contents/Resources/falconctl grouping-tags set "$GROUPING_TAG"

# Restart the service to apply changes
sudo /Applications/Falcon.app/Contents/Resources/falconctl unload
sudo /Applications/Falcon.app/Contents/Resources/falconctl load

echo "Configuration successfully updated."

Política de acceso completo al disco

Para garantizar el correcto funcionamiento de la app tras la instalación, debemos concederle permisos de acceso completo al disco. Dentro de la política, selecciona +Añadir configuración en el menú lateral izquierdo y elige Control de políticas de preferencias de privacidad.

A continuación, añadiremos dos entradas relacionadas con System Policy All Files. Para cada elemento añadido a esta configuración, establece el acceso como Permitido.

La primera configuración debe incluir los siguientes parámetros:

Requisito de código:

identifier "com.crowdstrike.falcon.Agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = X9E956P446

Identificador: com.crowdstrike.falcon.Agent.
Tipo de identificador: Bundle ID.
Código estático: Desactivado.

Para la segunda configuración:

Requisito de código:

identifier "com.crowdstrike.falcon.App" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = X9E956P446

Identificador: com.crowdstrike.falcon.App.
Tipo de identificador: Bundle ID.
Código estático: Desactivado.

.mobileconfig personalizado de CrowdStrike Falcon

Para aplicar la configuración personalizada, navega a la política deseada y haz clic en + Añadir configuración en el menú del lado izquierdo. Luego, selecciona el botón + Importar y pega el contenido .xml proporcionado en el editor:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>PayloadDescription</key>
	<string>Network Content Filter, System Extensions, and Privacy Preferences</string>
	<key>PayloadDisplayName</key>
	<string>Crowdstrike Settings</string>
	<key>PayloadEnabled</key>
	<true/>
	<key>PayloadIdentifier</key>
	<string>com.applivery.crowdstrike</string>
	<key>PayloadOrganization</key>
	<string>Applivery, Inc.</string>
	<key>PayloadRemovalDisallowed</key>
	<false/>
	<key>PayloadScope</key>
	<string>System</string>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadUUID</key>
	<string>bbc888dc-6f2c-479d-9f3a-ce0593e6420e</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
	<key>PayloadContent</key>
	<array>
		<dict>
			<key>FilterBrowsers</key>
			<false/>
			<key>FilterDataProviderBundleIdentifier</key>
			<string>com.crowdstrike.falcon.Agent</string>
			<key>FilterDataProviderDesignatedRequirement</key>
			<string>identifier "com.crowdstrike.falcon.Agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] and certificate leaf[field.1.2.840.113635.100.6.1.13] and certificate leaf[subject.OU] = "X9E956P446"</string>
			<key>FilterGrade</key>
			<string>inspector</string>
			<key>FilterPacketProviderBundleIdentifier</key>
			<string>com.crowdstrike.falcon.Agent</string>
			<key>FilterPacketProviderDesignatedRequirement</key>
			<string>identifier "com.crowdstrike.falcon.Agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] and certificate leaf[field.1.2.840.113635.100.6.1.13] and certificate leaf[subject.OU] = "X9E956P446"</string>
			<key>FilterPackets</key>
			<false/>
			<key>FilterSockets</key>
			<true/>
			<key>FilterType</key>
			<string>Plugin</string>
			<key>Organization</key>
			<string>CrowdStrike Inc.</string>
			<key>PayloadDisplayName</key>
			<string>Web Content Filter</string>
			<key>PayloadIdentifier</key>
			<string>io.applivery.crowdstrike.2C5CBFD0-7CFE-41CB-95BC-A681F4D293B8</string>
			<key>PayloadType</key>
			<string>com.apple.webcontent-filter</string>
			<key>PayloadUUID</key>
			<string>2C5CBFD0-8CFE-41CB-95BC-A681F4D293B8</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>PluginBundleID</key>
			<string>com.crowdstrike.falcon.App</string>
			<key>UserDefinedName</key>
			<string>Falcon</string>
		</dict>
		<dict>
			<key>AllowUserOverrides</key>
			<true/>
			<key>AllowedSystemExtensionTypes</key>
			<dict>
				<key>X9E956P446</key>
				<array>
					<string>EndpointSecurityExtension</string>
					<string>NetworkExtension</string>
				</array>
			</dict>
			<key>AllowedSystemExtensions</key>
			<dict>
				<key>X9E956P446</key>
				<array>
					<string>com.crowdstrike.falcon.Agent</string>
				</array>
			</dict>
			<key>NonRemovableFromUISystemExtensions</key>
			<dict>
				<key>X9E956P446</key>
				<array>
					<string>com.crowdstrike.falcon.Agent</string>
				</array>
			</dict>
			<key>PayloadDescription</key>
			<string>Configures System Extensions Policy settings</string>
			<key>PayloadDisplayName</key>
			<string>System Extensions</string>
			<key>PayloadIdentifier</key>
			<string>20258B06-5889-4424-8893-A3AF1AFAAEDC</string>
			<key>PayloadOrganization</key>
			<string>CrowdStrike Inc.</string>
			<key>PayloadType</key>
			<string>com.apple.system-extension-policy</string>
			<key>PayloadUUID</key>
			<string>20258B06-5889-4424-8893-A3AF1AFAAEDC</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
		</dict>
		<dict>
			<key>NotificationSettings</key>
			<array>
				<dict>
					<key>BundleIdentifier</key>
					<string>com.crowdstrike.falcon.UserAgent</string>
					<key>NotificationsEnabled</key>
					<true/>
				</dict>
			</array>
			<key>PayloadDisplayName</key>
			<string>Notifications</string>
			<key>PayloadIdentifier</key>
			<string>61090B22-3DCD-435E-ABB2-BE997B3CB78D</string>
			<key>PayloadType</key>
			<string>com.apple.notificationsettings</string>
			<key>PayloadUUID</key>
			<string>61090B22-3DCD-435E-ABB2-BE997B3CB78D</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
		</dict>
		<dict>
			<key>PayloadDescription</key>
			<string>Configures Privacy Preferences Policy Control settings</string>
			<key>PayloadDisplayName</key>
			<string>Privacy Preferences</string>
			<key>PayloadIdentifier</key>
			<string>9A10BE5D-5E57-4C22-89C9-20597A04B616</string>
			<key>PayloadOrganization</key>
			<string>CrowdStrike Inc.</string>
			<key>PayloadType</key>
			<string>com.apple.TCC.configuration-profile-policy</string>
			<key>PayloadUUID</key>
			<string>9A10BE5D-5E57-4C22-89C9-20597A04B616</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>Services</key>
			<dict

Una vez hecho, asegúrate de Guardar cambios para aplicar la configuración.

Cómo desplegar y configurar el sensor CrowdStrike Falcon en macOS

Requisitos

Key Takeaways