Configurar perfis e incidentes de segurança para a integração CrowdStrike Falcon Insight

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Defina as configurações de perfil para que o perfil seja acionado somente nas condições definidas por você.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Defina as condições que acionam automaticamente as capacidades CrowdStrike Falcon Insight que você selecionou para o perfil. Você também pode selecionar um campo de entrada alternativo para o campo Item de configuração (IC). Neste campo alternativo, você pode definir condições de filtragem para que somente os incidentes de segurança relacionados ao evento de acionamento acionem automaticamente o perfil.
    Nota:
    Navegue até a página Configuração de perfil somente depois de inserir os detalhes do perfil. Para obter mais informações, consulte Criar um perfil de capacidade para a integração do CrowdStrike Falcon Insight.

    Procedimento

    1. Na página Configuração de perfil, revise e configure as seguintes seções:

      Definir critérios de incidente (automação)

      Defina as condições de incidente de segurança que acionam automaticamente as capacidades CrowdStrike Falcon Insight do perfil. Se você não selecionar a opção Definir critérios de incidente, as capacidades serão invocadas manualmente a partir do incidente de segurança.

      1. Selecione a opção Definir critérios de incidente.
      2. Para definir as condições, na seção Condições do filtro, selecione um campo e o requisito correspondente.Acondição de automação.
      3. No campo Novos critérios, insira os novos critérios e defina a condição OU ou E. Condição de automação e adição de novos critérios.

      Approvals

      Para fornecer um nível extra de controle ao usar os recursos do CrowdStrike Falcon Insight, selecione a opção Requer aprovação. A opção de aprovações na configuração do perfil aparece somente para as capacidades Isolar host e Remover isolamento de host.

      Nota:
      A autoridade de aprovação é atribuída ao usuário com a função sn_si.admin. Você também pode reatribuir esta autoridade de aprovação a um grupo de aprovação. Para obter mais informações, consulte configuração de um grupo de aprovação.
      Forneça um nível adicional de controle usando a opção de aprovação.

      Configuração adicional

      Selecione um campo alternativo no incidente de segurança para exibir todos os dados de IC correspondentes que você encontrar durante a verificação de seus ativos. Por padrão, a integração usa o campo Item de configuração (IC) no incidente de segurança.

      1. Selecione a opção Definir campo alternativo.
      2. No Campo de gatilho de IC alternativo, selecione um campo de entrada.
        Nota:
        Para obter mais informações, consulte Entenda como as condições do gatilho funcionam com um item de configuração para um perfil.

      Marcadores

      Para marcar incidentes de segurança com os marcadores CrowdStrike Falcon Insight Capacidades-Iniciadas, Capacidades-Concluídas e Capacidades-Falha, selecione a opção Exibir marcadores. Por padrão, esta opção está desabilitada para todos os perfis.
      Nota:
      Esses marcadores são fornecidos com o sistema de base. Você pode criar seus próprios marcadores, se necessário.

      Exibir marcadores no incidente de segurança

    2. Clique em Concluído.