Erstellen und konfigurieren Sie ein Profil für die Sichtungssuche

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie Sichtungssuchen für CrowdStrike Falcon Insight, um infizierte Computer im Netzwerk Ihrer Organisation zu finden und Security Incident Response-Fälle zu bearbeiten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Sichtungssuche in CrowdStrike Falcon Insight durch, um die Verbreitung einer Bedrohung im Zeitverlauf zu bestimmen.

    Prozedur

    1. Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > Sichtungssuchprofilean.
    2. Klicken Sie auf Neu.
    3. Konfigurieren Sie dieses Profil, um zu bestimmen, welche Server nach einer bestimmten Suchfunktion von CrowdStrike Falcon Insight gesucht werden sollen.
    4. Füllen Sie im Formular die folgenden Felder aus:
      Feld Beschreibung
      Name Name für das Sichtungssuchprofil.
      Ist gespeicherte Suche Wenn Sie diese Option auswählen, wird eine gespeicherte Suchkonfiguration erstellt.
      Sichtungssuchquelle Die Quelle für die Sichtungssuche. Wählen Sie CrowdStrike Falcon Insight-Sichtungssuche als Quelle aus.
      Aktiv Option, um anzugeben, ob der Zusatz aktiv ist oder nicht.
      Erkennbarer Typ Die CrowdStrike Falcon Insight-Integration unterstützt die folgenden erkennbaren Elemente:
      • Hash
      • IP
      • URL
      Die Sichtungssuche wird für die folgenden Typen erkennbarer Elemente unterstützt:
      • Domänenname
      • IP-Adresse (V4)
      • IP-Adresse (V6)
      • MD5-Hash
      • SHA1-Hash
      • SHA256-Hash
      Maximale erkennbare Elemente pro Suche Maximale Anzahl erkennbarer Elemente, die Sie in einer Suchabfrage anzeigen können.
      Suchen Die Standardsuchzeichenfolge ist $(observable), Sie können jedoch Ihre eigene Suchabfrage definieren, indem Sie Parameter angeben, die von der CrowdStrike Falcon Insight -Integration unterstützt werden.
      Sichtungssuchparameter Parameter zum Definieren komplexerer Abfragen, die Logik und andere Operatoren enthalten, die vom angegebenen Protokollspeicher unterstützt werden

      Sie können die zugehörigen Links unten auf der Seite verwenden, um nach der Definition von Sichtungssuchparametern eine Testabfrage zu generieren.

      Sichtungssuche konfigurieren

    5. Klicken Sie auf Absenden.
      Die Konfiguration ist abgeschlossen, und Sie können die Sichtungssuche über den Security Incident Now Platform aufrufen.
    6. Um die Konfiguration zu verifizieren und eine Sichtungssuche auszuführen, gehen Sie wie folgt vor:
      1. Öffnen Sie einen Security Incident, scrollen Sie zum Ende des Security Incidents, und klicken Sie auf Alle zugehörigen Listen anzeigen.
      2. Wenn Sie ein oder mehrere Configuration Items (CI) aus den zugehörigen Listen „ Laufende Prozesse “ auswählen.
        Hinweis:
        Wenn Sie eine Sichtungssuche für ein CI aus der zugehörigen Liste „Laufende Prozesse“ ausführen, handelt es sich nur um eine Prozess-Hash-Sichtungssuche.
      3. Klicken Sie auf die Dropdown-Liste Aktionen für ausgewählte Zeilen... und wählen Sie Run CrowdStrike Sightings Search(CrowdStrike-Sichtungssuche ausführen) aus.
      4. Suchen Sie mithilfe der Suchoption nach dem erforderlichen Sichtungssuchprofil.
      5. Wählen Sie das gewünschte Sichtungssuchprofil aus, und klicken Sie auf Absenden.
      6. Wenn Sie ein oder mehrere erkennbare Elemente aus den zugehörigen Listen für zugeordnete erkennbare Elemente auswählen.
      7. Klicken Sie auf die Dropdown-Liste Aktionen für ausgewählte Zeilen... und wählen Sie die Option Sichtungssuche ausführenaus.
      8. Wählen Sie im Popup-Fenster für den Zeitrahmen einen beliebigen Wert aus, und klicken Sie auf Suchen.
      9. Validieren Sie nach Abschluss der Suche die Ergebnisse und Details in den Arbeitsnotizen und zugehörigen Listen.
        Arbeitsnotizen für eine Sichtungssuche werden überprüft.
      10. Wählen Sie die Registerkarte Sichtungen aus, um die Sichtungsdetails anzuzeigen.
      11. Klicken Sie auf das Vorschausymbol neben dem CI, um weitere Informationen zu CrowdStrike-Sichtungsdetails anzuzeigen.
      12. Klicken Sie auf die Details der Sichtungssuche, um die Details der Sichtungssuche anzuzeigen, und klicken Sie auf die Registerkarte Sichtungssuchergebnisse, um die Suchergebnisseanzuzeigen.