Flow Designer를 사용하여 Falcon Sandbox 제출 자동화 CrowdStrike
릴리스 버전: Yokohama
업데이트 날짜 2025년 01월 30일
읽기3분
통합에는 CrowdStrike Falcon X 샌드박스 보안 인시던트 기록과 함께 작동하는 를 워크플로우 스튜디오 사용하여 생성된 플로우 템플릿이 포함됩니다.
시작하기 전에
샌드박스 제출 구성을 생성했고 한 구성을 자동 제출의 기본 구성으로 활성화했는지 확인합니다. 플로우가 트리거되면 기본 구성에서 샌드박스 제출이 발생합니다.
필요한 역할: sn_si.admin
이 태스크 정보
이러한 플로우는 주로 인시던트 응답 워크플로우의 일부로 파일 또는 URL 제출을 자동화하려는 경우에 시작할 수 있도록 설계되었습니다.
샘플 플로우를 활성화할 때 샘플 플로우에서 보안 인시던트를 피싱으로 정의하면 피싱 파일 첨부 파일이 자동으로 제출됩니다. 또는 이 파일 형식이 옵저버블 기록에 첨부된 경우 모든 .exe 파일을 제출할 수 있습니다.
이러한 샘플 플로우를 수정하여 다양한 조건, 범주, 복합 조건 등에서 자동화된 제출을 트리거할 수 있습니다.
샌드박스 통합은 기본적으로 비활성화되어 있는 두 개의 기본 시스템 플로우로 구성됩니다.
범주가 피싱일 때 파일 제출: 이 플로우는 보안 인시던트 범주가 피싱으로 정의되면 맬웨어 분석을 위해 파일을 샌드박스에 제출합니다. 보안 인시던트의 옵저버블 기록에 파일을 첨부해야 합니다. URP(User Reported Phishing) 기능을 사용하는 경우 이메일 첨부 파일이 자동으로 구문 분석되어 SIR 인시던트 기록에 옵저버블 레코드로 추가됩니다. 제출을 자동화하기 위한 추가 조치는 필요하지 않습니다.
옵저버블에 대한 파일 형식이 exe인 경우 제출: 이 플로우는 보안 인시던트 옵저버블이 exe인 경우 맬웨어 분석을 위해 샌드박스에 파일을 제출합니다. 피싱 범주 플로우와 마찬가지로 보안 인시던트의 옵저버블 기록에 파일을 첨부해야 합니다. 파일을 업로드하여 수동으로 이 작업을 수행하거나 피싱 이메일 첨부 파일 또는 인시던트를 생성하는 기타 메커니즘이 옵저버블 기록과 연결된 경우 자동으로 이 작업을 수행할 수 있습니다.
플로우가 구성되고 인시던트 조건이 매개변수를 충족하면 보안 인시던트를 검토할 때 샌드박스 제출이 자동으로 트리거됩니다. 제출이 시작되었고, 구성에서 활성화된 경우 태그가 표시되며, 보류 중인 제출 결과 기록을 나타내는 작업 메모를 검토합니다.
샌드박스 통합에는 여러 하위 플로우도 포함되어 있습니다. 하위 플로우는 전체 통합 제출 기능의 내부 구성요소입니다. 보안 기준에 맞게 하위 플로우를 사용자 지정하고 편집할 수 있습니다.
하위 플로우를 참조하여 샌드박스 제출 관련 문제를 해결할 수 있습니다. 하위 플로우를 호출할 때마다 실행 기록이 생성됩니다. 이 기록은 플로우에서 특정 오류가 발생한 위치를 나타내며 문제를 해결할 수 있도록 합니다. 그림 1. 샌드박스 통합 - 다중 워크플로우
주:
기본 플로우를 사용자 지정하도록 선택하는 경우 자동 제출을 트리거하기 위해 자동화된 제출에 대한 옵저버블 제출 하위 플로우가 플로우에 포함되어 있는지 확인해야 합니다.
exe에 대한 파일 확장명을 사용자 지정하고 정의할 수 있습니다. 플로우의 사본 생성 옵저버블의 파일 형식이 exe일 때 제출하고 복사본을 변경합니다. 컨텐츠 유형과 파일 확장자는 SandboxUtils 스크립트에 매핑됩니다. 스크립트 포함에 액세스하려면 시스템 정의 > 스크립트 포함 으로 이동하여 SandboxUtils를 검색하십시오.그림 2. SandboxUtils 스크립트
프로시저
다음으로 이동 모두 > 플로우 디자이너 > 디자이너 > 플로우.
애플리케이션 유형별로 플로우를 필터링합니다.
예를 들어, *crowd는 두 CrowdStrike Falcon X 샌드박스 플로우를 필터링합니다.
