Instala y configura CrowdStrike Falcon Sensor en macOS

CrowdStrike Falcon es una potente plataforma de seguridad nativa en la nube, diseñada para ofrecer protección antivirus y de endpoints líder en la industria para dispositivos macOS y Windows. Aprovechando tecnologías de vanguardia como la inteligencia artificial (IA) y el aprendizaje automático (ML), Falcon detecta, previene y responde proactivamente a las amenazas antes de que puedan afectar tus sistemas.

Ya sea que estés gestionando una flota de endpoints o asegurando un entorno de trabajo híbrido, CrowdStrike Falcon ofrece protección en tiempo real, un impacto mínimo en el sistema y sólidas capacidades de integración.

Requisitos #

Para desplegar correctamente CrowdStrike Falcon en macOS a través de Applivery, asegúrate de contar con lo siguiente:

  • Paquete del cliente de CrowdStrike Falcon (.pkg).

  • Identificación del cliente (CID) y etiqueta de grupo proporcionadas por CrowdStrike.

  • Script de activación (para licenciar el agente).

  • Política de Full Disk Access (mediante perfil de configuración).

  • Perfil .mobileconfig personalizado.

  • Configuración del filtro de contenidos web para garantizar una cobertura de protección completa.

  • 1 licencia de Applivery para la Distribución de Apps.

Preparar CrowdStrike Falcon #

Para desplegar CrowdStrike Falcon utilizando Applivery, deberás subir el paquete comprimido de la aplicación (.zip) a la sección de Distribución de Apps y configurarlo con un script de activación posterior a la instalación.

Primero, descarga el instalador de CrowdStrike Falcon .pkg desde tu panel de CrowdStrike y asegúrate de copiar tu CID y la etiqueta de grupo, ya que los necesitarás más adelante para el script de activación.

Una vez descargado, comprime el archivo .pkg haciendo clic derecho sobre él y seleccionando Comprimir, lo que generará el archivo .zip necesario para Applivery.

A continuación, inicia sesión en el panel de Applivery y navega hasta la sección de Distribución de Apps. Desde allí, sigue los pasos descritos en nuestra documentación:

  1. Crear tu primera app.
  2. Cargar tu primera build.
app-distribution

Configurar la política de CrowdStrike Falcon #

Una vez en el panel de control de Applivery, dirígete a la sección Gestión de Dispositivos y selecciona Políticas (1). Selecciona la política donde desees desplegar la app. Desde el menú lateral izquierdo, accede a la sección Apps (2) y haz clic en el botón + Añadir App (3).

En el modal que se abrirá, selecciona la pestaña Applivery (4) para continuar con la configuración.

Establece la plataforma como macOS (5), selecciona Tu Workspace (6) como el origen de la app y busca la app de CrowdStrike Falcon que creaste previamente en el menú desplegable de apps (7). Para la selección de build, elige Last (8) para asegurarte de que siempre se despliegue la versión más reciente.

crowdstrike-falcon

Continúa al siguiente paso y elige el modo de instalación según tu estrategia: Instalación forzosa, Requerido para la inscripción o Disponible.

En la sección de Configuración, selecciona Post-install (9) y pega tu script de activación, asegurándote de reemplazar los valores de ejemplo con tu CID real y tu etiqueta de grupo.

post-install-script

Script de activación #

				
					#!/bin/bash

# Configure CID and Grouping Tag <----- MODIFY WITH YOUR VARIABELES
CID="CID"
GROUPING_TAG="TAG" #OPTIONAL

# Apply CID license
sudo /Applications/Falcon.app/Contents/Resources/falconctl license "$CID"

# Set Grouping Tag. Comment it if you will not use tags.
sudo /Applications/Falcon.app/Contents/Resources/falconctl grouping-tags set "$GROUPING_TAG"

# Restart the service to apply changes
sudo /Applications/Falcon.app/Contents/Resources/falconctl unload
sudo /Applications/Falcon.app/Contents/Resources/falconctl load

echo "Configuration successfully updated."
				
			

Política de Full Disk Access #

Para garantizar el correcto funcionamiento del agente tras la instalación, es necesario otorgarle permisos de Acceso Total al Disco. Esto se realiza editando la misma política en la que se desplegó el agente.

Dentro de la política, comienza seleccionando + Añadir configuración (10) desde el menú lateral izquierdo, y luego elige la configuración Preferencias de privacidad Control de políticas (11).

privacy-preferences-policy-control

A continuación, añadiremos dos entradas relacionadas con Política del sistema Archivos de administración del sistema. Para cada elemento añadido, establece el acceso como Permitido.

La primera configuración debe incluir los siguientes parámetros:

  • Requisito de código:

identifier "com.crowdstrike.falcon.Agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = X9E956P446

  • Identificador: com.crowdstrike.falcon.Agent.
  • Tipo de identificador: Bundle ID.
  • Código estático: Deshabilitado.

Para la segunda configuración:

  • Requisito de código:
identifier "com.crowdstrike.falcon.App" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = X9E956P446
  • Identificador: com.crowdstrike.falcon.App.
  • Tipo de identificador: Bundle ID.
  • Código estático: Deshabilitado.

Perfil .mobileconfig personalizado de CrowdStrike Falcon #

Para aplicar la configuración personalizada, navega hasta la política deseada y haz clic en + Añadir configuración (12) desde el menú lateral izquierdo.

Luego, selecciona el botón + Importar (13) y pega el contenido .xml proporcionado en el editor.

Una vez completado este paso, asegúrate de hacer clic en Guardar cambios para aplicar la configuración.

crowdstrike-xml
				
					<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>PayloadDescription</key>
	<string>Network Content Filter, System Extensions, and Privacy Preferences</string>
	<key>PayloadDisplayName</key>
	<string>Crowdstrike Settings</string>
	<key>PayloadEnabled</key>
	<true/>
	<key>PayloadIdentifier</key>
	<string>com.applivery.crowdstrike</string>
	<key>PayloadOrganization</key>
	<string>Applivery, Inc.</string>
	<key>PayloadRemovalDisallowed</key>
	<false/>
	<key>PayloadScope</key>
	<string>System</string>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadUUID</key>
	<string>bbc888dc-6f2c-479d-9f3a-ce0593e6420e</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
	<key>PayloadContent</key>
	<array>
		<dict>
			<key>FilterBrowsers</key>
			<false/>
			<key>FilterDataProviderBundleIdentifier</key>
			<string>com.crowdstrike.falcon.Agent</string>
			<key>FilterDataProviderDesignatedRequirement</key>
			<string>identifier "com.crowdstrike.falcon.Agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] and certificate leaf[field.1.2.840.113635.100.6.1.13] and certificate leaf[subject.OU] = "X9E956P446"</string>
			<key>FilterGrade</key>
			<string>inspector</string>
			<key>FilterPacketProviderBundleIdentifier</key>
			<string>com.crowdstrike.falcon.Agent</string>
			<key>FilterPacketProviderDesignatedRequirement</key>
			<string>identifier "com.crowdstrike.falcon.Agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] and certificate leaf[field.1.2.840.113635.100.6.1.13] and certificate leaf[subject.OU] = "X9E956P446"</string>
			<key>FilterPackets</key>
			<false/>
			<key>FilterSockets</key>
			<true/>
			<key>FilterType</key>
			<string>Plugin</string>
			<key>Organization</key>
			<string>CrowdStrike Inc.</string>
			<key>PayloadDisplayName</key>
			<string>Web Content Filter</string>
			<key>PayloadIdentifier</key>
			<string>io.applivery.crowdstrike.2C5CBFD0-7CFE-41CB-95BC-A681F4D293B8</string>
			<key>PayloadType</key>
			<string>com.apple.webcontent-filter</string>
			<key>PayloadUUID</key>
			<string>2C5CBFD0-8CFE-41CB-95BC-A681F4D293B8</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>PluginBundleID</key>
			<string>com.crowdstrike.falcon.App</string>
			<key>UserDefinedName</key>
			<string>Falcon</string>
		</dict>
		<dict>
			<key>AllowUserOverrides</key>
			<true/>
			<key>AllowedSystemExtensionTypes</key>
			<dict>
				<key>X9E956P446</key>
				<array>
					<string>EndpointSecurityExtension</string>
					<string>NetworkExtension</string>
				</array>
			</dict>
			<key>AllowedSystemExtensions</key>
			<dict>
				<key>X9E956P446</key>
				<array>
					<string>com.crowdstrike.falcon.Agent</string>
				</array>
			</dict>
			<key>NonRemovableFromUISystemExtensions</key>
			<dict>
				<key>X9E956P446</key>
				<array>
					<string>com.crowdstrike.falcon.Agent</string>
				</array>
			</dict>
			<key>PayloadDescription</key>
			<string>Configures System Extensions Policy settings</string>
			<key>PayloadDisplayName</key>
			<string>System Extensions</string>
			<key>PayloadIdentifier</key>
			<string>20258B06-5889-4424-8893-A3AF1AFAAEDC</string>
			<key>PayloadOrganization</key>
			<string>CrowdStrike Inc.</string>
			<key>PayloadType</key>
			<string>com.apple.system-extension-policy</string>
			<key>PayloadUUID</key>
			<string>20258B06-5889-4424-8893-A3AF1AFAAEDC</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
		</dict>
		<dict>
			<key>NotificationSettings</key>
			<array>
				<dict>
					<key>BundleIdentifier</key>
					<string>com.crowdstrike.falcon.UserAgent</string>
					<key>NotificationsEnabled</key>
					<true/>
				</dict>
			</array>
			<key>PayloadDisplayName</key>
			<string>Notifications</string>
			<key>PayloadIdentifier</key>
			<string>61090B22-3DCD-435E-ABB2-BE997B3CB78D</string>
			<key>PayloadType</key>
			<string>com.apple.notificationsettings</string>
			<key>PayloadUUID</key>
			<string>61090B22-3DCD-435E-ABB2-BE997B3CB78D</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
		</dict>
		<dict>
			<key>PayloadDescription</key>
			<string>Configures Privacy Preferences Policy Control settings</string>
			<key>PayloadDisplayName</key>
			<string>Privacy Preferences</string>
			<key>PayloadIdentifier</key>
			<string>9A10BE5D-5E57-4C22-89C9-20597A04B616</string>
			<key>PayloadOrganization</key>
			<string>CrowdStrike Inc.</string>
			<key>PayloadType</key>
			<string>com.apple.TCC.configuration-profile-policy</string>
			<key>PayloadUUID</key>
			<string>9A10BE5D-5E57-4C22-89C9-20597A04B616</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>Services</key>
			<dict>
				<key>SystemPolicyAllFiles</key>
				<array>
					<dict>
						<key>Allowed</key>
						<true/>
						<key>CodeRequirement</key>
						<string>identifier "com.crowdstrike.falcon.Agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "X9E956P446"</string>
						<key>Comment</key>
						<string></string>
						<key>Identifier</key>
						<string>com.crowdstrike.falcon.Agent</string>
						<key>IdentifierType</key>
						<string>bundleID</string>
						<key>StaticCode</key>
						<false/>
					</dict>
					<dict>
						<key>Allowed</key>
						<true/>
						<key>CodeRequirement</key>
						<string>identifier "com.crowdstrike.falcon.App" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = X9E956P446</string>
						<key>Comment</key>
						<string>
							</string>
						<key>Identifier</key>
						<string>com.crowdstrike.falcon.App</string>
						<key>IdentifierType</key>
						<string>bundleID</string>
						<key>StaticCode</key>
						<false/>
					</dict>
				</array>
			</dict>
		</dict>
	</array>
	<key>PayloadDescription</key>
	<string></string>
	<key>PayloadDisplayName</key>
	<string>Crowdstrike Falcon Content Filter</string>
	<key>PayloadEnabled</key>
	<true/>
	<key>PayloadRemovalDisallowed</key>
	<true/>
	<key>PayloadScope</key>
	<string>System</string>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
</dict>
</plist>
				
			

Filtro de contenidos web #

Ahora agregaremos una nueva configuración seleccionando nuevamente + Añadir configuración desde el menú lateral izquierdo.

Luego, selecciona otra vez el botón + Importar y pega el siguiente contenido .xml.

				
					<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>PayloadContent</key>
	<array>
		<dict>
			<key>FilterDataProviderBundleIdentifier</key>
			<string>com.crowdstrike.falcon.Agent</string>
			<key>FilterDataProviderDesignatedRequirement</key>
			<string>identifier "com.crowdstrike.falcon.Agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] and certificate leaf[field.1.2.840.113635.100.6.1.13] and certificate leaf[subject.OU] = "X9E956P446"</string>
			<key>FilterGrade</key>
			<string>inspector</string>
			<key>FilterPackets</key>
			<false/>
			<key>FilterSockets</key>
			<true/>
			<key>FilterType</key>
			<string>Plugin</string>
			<key>Organization</key>
			<string>CrowdStrike Inc.</string>
			<key>PayloadDisplayName</key>
			<string>Web Content Filter Payload</string>
			<key>PayloadOrganization</key>
			<string>Applivery</string>
			<key>PayloadType</key>
			<string>com.apple.webcontent-filter</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>PluginBundleID</key>
			<string>com.crowdstrike.falcon.App</string>
			<key>UserDefinedName</key>
			<string>Falcon</string>
		</dict>
	</array>
	<key>PayloadDescription</key>
	<string></string>
	<key>PayloadDisplayName</key>
	<string>Crowdstrike Falcon Content Filter</string>
	<key>PayloadEnabled</key>
	<true/>
	<key>PayloadRemovalDisallowed</key>
	<true/>
	<key>PayloadScope</key>
	<string>System</string>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
</dict>
</plist>
				
			
Updated on mayo 8, 2025
¿Te ha sido útil este artículo?

En esta página