Criar um perfil de capacidade para a integração CrowdStrike Falcon Insight

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Crie um perfil e selecione os CrowdStrike Falcon Insight recursos que você deseja que o perfil execute.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Considere por que você deseja criar um perfil antes de adicionar capacidades CrowdStrike Falcon Insight a ele. A tabela a seguir lista os recursos que você deve adicionar a um perfil quando quiser que o perfil execute determinadas consultas ou ações.

    Você pode criar um único perfil que executa consultas de detalhes do sistema, lista usuários conectados, busca serviços em execução, busca processos em execução, busca estatísticas de rede, isola o host e remove o host isolado. Como alternativa, você pode criar vários perfis, cada um com sua própria capacidade.
    Nota:
    As capacidades Isolar host, remover isolamento e obter arquivo não podem ser mescladas com nenhuma outra capacidade ao criar um perfil.
    Tabela 1. Tipos de perfil e capacidades necessárias do CrowdStrike Falcon Insight
    Finalidade do perfil Capacidades do CrowdStrike
    Reúna detalhes do host e usuários conectados
    • Obter detalhes do host
    • Obter usuários conectados
    Buscar as estatísticas, processos e serviços de rede em execução para um host
    • Obter estatísticas de rede
    • Obter processos em execução
    • Obter serviços em execução
    Isolar um host Isolar Host
    Remover isolamento de um host Remover isolamento
    Obter um arquivo de um endpoint de host Obter arquivo

    Procedimento

    1. Navegar até Tudo > Integração com CrowdStrike Falcon Insight > Perfis de capacidade do CrowdStrike.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Campo Descrição
      Nome Nome do novo perfil de capacidade.

      Este nome ajuda a identificar o tipo de perfil e também é o nome padrão para o marcador de segurança associado a este perfil.
      Ativo Indica se o perfil está ativo ou não.

      Quando o perfil está ativo, ele é acionado automaticamente quando um incidente de segurança é criado que corresponde às condições de filtragem que você especificou na configuração.
      Descrição Descrição exclusiva do perfil de capacidade.
      Origem Nome do servidor. Você só pode exibir servidores configurados anteriormente na lista.
      Ordem

      Prioridade de fluxo. O valor deste campo indica a ordem em que os fluxos são executados quando dois ou mais perfis compartilham condições de acionamento.

      O fluxo com o número mais baixo tem a prioridade mais alta. Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300, 400.

      Padrão: 100
      Capacidades do CrowdStrike Falcon Insight Capacidades do perfil do CrowdStrike Falcon Insight.

      Selecione os recursos desejados para este perfil na coluna Disponível para o selecionado.

      O exemplo a seguir mostra um formulário completo para um perfil com a capacidade Obter detalhes do sistema.

      Detalhes do perfil do Falcon Insight.
    4. Clique em Avançar.

    O que Fazer Depois

    Agora você podeconfigurar seu perfil. Certifique-se de ter revisado os conceitos de configuração de perfis e condições de gatilho antes de configurar o perfil.