Configurar e acionar ações adicionais no CrowdStrike Falcon Insight

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • A integração CrowdStrike Falcon Insight oferece suporte à execução de ações adicionais, como expressão regular (regex). A integração CrowdStrike Falcon Insight fornece 40 ações adicionais com o sistema de base.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Tudo > Integração com CrowdStrike Falcon Insight > Ações adicionais do CrowdStrike.
    2. Clique em Novo para criar sua própria ação adicional ou selecione uma ação existente que vem com o sistema de base.
      Por exemplo, vamos criar uma nova ação adicional.
    3. No formulário, preencha os campos.
      Campo Descrição
      Nome do Comando Nome do comando para a ação adicional. Por exemplo, reg set.
      Nome base Nome base da ação adicional. Este campo é definido por padrão. Por exemplo, reg.
      Capacidade Nome da capacidade da ação adicional. Este campo é definido por padrão. Por exemplo, Executar ações adicionais no endpoint.
      Origem da integração A origem da ação adicional. Por exemplo, Integração do CrowdStrike Falcon Insight.
      Ativo Opção para indicar se o adicional está ativo ou não.
      Tipo de Comando Tipo de comando para a ação adicional. Este campo é definido por padrão. Por exemplo, Script personalizado de RTR.
      Script
      • Tipo de SO: opção para selecionar o tipo de SO para o script. Selecione uma das seguintes propriedades:
        • Windows
        • MAC OS X
        • Linux
        • Nenhum(a)
      • Script: opção para inserir seu script se você selecionou um dos seguintes sistemas operacionais, exceto para a opção Nenhum.
      Configuração
      • Exibir marcador: opção para exibir o marcador da configuração. Você pode selecionar o marcador para os seguintes campos:
        • Capacidade - Iniciada. Por exemplo, reg set - Iniciado.
        • Capacidade - Concluída. Por exemplo, reg set - Completed.
        • Capacidade - Falha. Por exemplo, reg set - Failed.
      • Exigir aprovação: opção para selecionar um aprovador ou grupo que precisa aprovar a configuração.
      Figura 1. Ações adicionais do CrowdStrike Falcon Insight
      Ações adicionais do CrowdStrike Falcon Insight
    4. Clique em Enviar.
    5. Você também pode escolher entre as seguintes ações adicionais existentes.
      Existem 40 ações adicionais que vêm com o sistema de base, que você pode usar para executar configurações adicionais.
      Nota:
      Certifique-se de abrir a lista Ações adicionais do CrowdStrike e definir a ação adicional necessária como verdadeira, caso contrário, a ação adicional não estará disponível no espaço.
      Figura 2. Lista de ações adicionais que vem com o sistema de base
      Lista de ações adicionais que vem com o sistema de base
    6. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    7. Selecione o incidente de segurança que você deseja revisar com a execução de ações adicionais no endpoint.
      1. Na seção de links relacionados, clique em Executar ações adicionais no endpoint.
      2. Navegue e selecione a capacidade necessária.
        Por exemplo, clique na capacidade de definir reg.
      3. Selecione Incluir IC relacionado para executar as ações adicionais em todos os ICs relacionados do endpoint.
      4. Você pode definir a subchave para executar as ações adicionais no endpoint.
        Esta subchave pode ser uma chave HKLM/Software/nova.
    8. Para iniciar a execução de ações adicionais no endpoint, clique em Executar ação adicional.
    9. Exibir as atividades de automação da execução e validá-las.
    10. Valide o status da ação nas listas relacionadas Ações adicionais nas listas relacionadas ao endpoint.