No. Falcon Onum può essere distribuito in modo indipendente per modernizzare le pipeline di telemetria, ridurre il volume dei dati, migliorare la qualità dei segnali e ottimizzare operazioni di sicurezza più ampie.

Quando è utilizzato insieme a Falcon Next‑Gen SIEM, Onum accelera l'onboarding, migliora il controllo dei dati, ne abilita un routing intelligente e semplifica l'arricchimento dei dati in movimento.

Come soluzione indipendente, Falcon Onum funziona come una pipeline di dati ad alte prestazioni e in tempo reale che raccoglie, struttura, arricchisce e instrada la telemetria in tutto il tuo ecosistema di sicurezza e IT. Onum offre:

• Parsing e arricchimento in tempo reale dei log in movimento
• Riduzione del rumore, filtraggio, mascheramento, arricchimento e modellazione dei dati alla fonte
• Routing intelligente verso più destinazioni : SIEM, data lake, strumenti di analisi e storage
• Supporto per rilevamenti e trasformazioni all'interno della pipeline per destinazioni non Falcon Next‑Gen SIEM

In questa modalità, Falcon Onum offre ai team un controllo dettagliato su come la telemetria si muove all'interno del loro ambiente, contribuendo a ridurre i costi, migliorare la qualità dei dati e accelerare gli strumenti a valle.

Falcon Onum funziona sia insieme a Falcon Next‑Gen SIEM che a Falcon Complete come livello di controllo e routing dei dati, ma il livello di trasformazione consentito dipende dalla destinazione.

CrowdStrike Falcon® Next-Gen SIEM

• Falcon Onum gestisce il control plane dei dati, con routing e mascheramento PII verso Falcon Next‑Gen SIEM.
• Falcon Onum invia eventi grezzi, allineati al CrowdStrike Parsing Standard (CPS), direttamente a Falcon Next‑Gen SIEM per l'indicizzazione e il rilevamento.
• Falcon Onum arricchisce, filtra e rimodella la telemetria prima di fornire copie ottimizzate a destinazioni secondarie come data lake, strumenti di analisi e sistemi di terze parti.

Falcon Complete Next-Gen MDR

• Falcon Complete acquisisce direttamente la telemetria sensor-native e Onum non modifica né influisce su questo percorso di ingestion.
• Falcon Onum può elaborare e instradare copie della telemetria verso destinazioni secondarie (storage, strumenti di analisi, SIEM di terze parti), applicando mascheramento, filtraggio o arricchimento solo su tali diramazioni, preservando al contempo la piena visibilità e l'efficacia MDR di Falcon Complete.

Questa architettura congiunta garantisce un onboarding rapido, il controllo del flusso dei dati e un'accuratezza completa del rilevamento SIEM.

Falcon Onum può applicare trasformazioni per destinazioni secondarie, tra cui:

• Mascheramento a livello di campo e tokenizzazione
• Arricchimento (GeoIP, dati di asset, threat intelligence, tag)
• Filtraggio, soppressione e modellazione
• Normalizzazione del formato (JSON, KV, CSV, XML e altri)

Per i dati che confluiscono in Falcon Next‑Gen SIEM, Onum supporta:

• Mascheramento PII
• Routing selettivo e copia verso il cold storage
• Azioni di data hygiene che non alterano la struttura CPS richiesta da Falcon Next‑Gen SIEM

Questo garantisce ai clienti un controllo a monte, preservando al tempo stesso la logica di rilevamento di Falcon Next‑Gen SIEM.

Sì. Falcon Onum supporta rilevamenti inline come valutazione di regole Sigma, corrispondenza IOC e trigger basati su pattern quando instrada i dati verso destinazioni di terze parti come data lake, SOAR, strumenti di osservabilità e SIEM esterni.

Quando utilizzato con Falcon Next-Gen SIEM:

• I rilevamenti inline sono supportati solo per i percorsi non Next‑Gen SIEM e non per il percorso di ingestion del Next‑Gen SIEM
• Tutti i rilevamenti del Next‑Gen SIEM vengono eseguiti all'interno di Falcon Next‑Gen SIEM utilizzando telemetria grezza strutturata secondo lo standard CPS
• Falcon Onum può comunque instradare i risultati dei rilevamenti (tag, flag, metadati) verso destinazioni alternative, mantenendo intatti i dati del Next‑Gen SIEM

Questo offre ai clienti flessibilità senza influire sulla pipeline di rilevamento nativa di Falcon Next‑Gen SIEM.