Agregar exclusión de URL en CrowdStrike Falcon

El objetivo es permitir que las simulaciones de phishing enviadas desde ZULA no sean bloqueadas ni generen alertas en CrowdStrike Falcon. Esta es una guía rápida para tener noción sobre cómo hacerlo. Recomendamos contactar con el proveeedor especializado para efectuar la configuración.

Estos son los pasos a seguir:

1. Accedé a la consola web: https://falcon.crowdstrike.com
2. Iniciá sesión con tu cuenta de administrador.
3. En el panel lateral izquierdo, hacé clic en “Configuration” o “Configurations” (según idioma).
4. Seleccioná “Prevention Policies” o “Sensor Configuration“.
5. Seleccioná la política de prevención que se aplica a los equipos donde se ejecutarán las simulaciones.
6. Si necesitás aplicar esta exclusión a un grupo específico, podés clonar la política y asignarla a ese grupo.
7. Dentro de la política, buscá la sección de “IOA Exceptions“, “Allow List“, o similar (puede variar según la versión del Falcon).
8. Hacé clic en “Add Exception” o “Add Allow Rule“.
9. Seleccioná “URL” o “Domain” como tipo de exclusión.
10. Ingresá la URL comodín y todas las URL que utiliza ZULA que se encuentran disponibles en el siguiente artículo.
11. Marcá la opción para permitir el acceso y desactivar alertas, si está disponible.
12. Hacé clic en “Save” o “Apply” para guardar la política.
13. Si modificaste una política existente, los cambios se aplicarán a los dispositivos asociados automáticamente. Si creaste una nueva política, asignala al grupo de endpoints correspondientes.

Agregá comentarios descriptivos en cada regla para saber que están relacionadas con simulaciones ZULA. Las exclusiones pueden tardar unos minutos en propagarse a todos los endpoints.