Konfigurieren und lösen Sie zusätzliche Aktionen in aus CrowdStrike Falcon Insight

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

2 Minuten Lesedauer

Die CrowdStrike Falcon Insight -Integration unterstützt die Ausführung zusätzlicher Aktionen wie reguläre Ausdrücke (reguläre Ausdrücke). Die CrowdStrike Falcon Insight -Integration bietet 40 zusätzliche Aktionen mit dem Basissystem.

Vorbereitungen

Erforderliche Rolle: sn_si.analyst

Prozedur

Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > CrowdStrike: zusätzliche Aktionen.
Klicken Sie auf Neu, um eine eigene zusätzliche Aktion zu erstellen, oder wählen Sie eine vorhandene Aktion aus, die im Basissystem enthalten ist.
Erstellen wir beispielsweise eine neue zusätzliche Aktion.

Füllen Sie die Felder im Formular aus.


Feld	Beschreibung
Befehlsname	Befehlsname für die zusätzliche Aktion. Beispiel: reg set.
Basisname	Basisname für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: reg.
Fähigkeit	Fähigkeitsname für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: Zusätzliche Aktionen für Endpunkt ausführen.
Integrationsquelle	Die Quelle für die zusätzliche Aktion. Beispiel: CrowdStrike Falcon Insight-Integration.
Aktiv	Option, um anzugeben, ob der Zusatz aktiv ist oder nicht.
Befehlstyp	Befehlstyp für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: Benutzerdefiniertes RTR-Skript.
Skript	BS-Typ: Option zur Auswahl des BS-Typs für Ihr Skript. Wählen Sie eine der folgenden Optionen aus: Windows Mac OS X Linux Keine Skript: Option zur Eingabe Ihres Skripts, wenn Sie eines der folgenden Betriebssysteme ausgewählt haben, mit Ausnahme der Option Keine.
Konfiguration	Taganzeigen: Option zum Anzeigen des Tags für die Konfiguration. Sie können das Tag für die folgenden Felder auswählen: Fähigkeit: Initiiert. Beispiel: reg set – Initiiert. Fähigkeit – Abgeschlossen. Beispiel: reg set – Abgeschlossen. Fähigkeit – Fehlgeschlagen. Beispiel: reg set – Fehlgeschlagen. Genehmigungerforderlich: Option zum Auswählen eines Genehmigers oder einer Gruppe, die die Konfiguration genehmigen muss.

Abbildung : 1. CrowdStrike Falcon Insight – zusätzliche Aktionen

Klicken Sie auf Absenden.
Sie können auch aus den folgenden vorhandenen zusätzlichen Aktionen auswählen.
Das Basissystem enthält 40 zusätzliche Aktionen, mit denen Sie zusätzliche Konfigurationen durchführen können.
Hinweis:
Stellen Sie sicher, dass Sie die Liste „Zusätzliche CrowdStrike-Aktionen“ öffnen und die erforderliche zusätzliche Aktion auf truefestlegen, andernfalls ist die zusätzliche Aktion nicht im Arbeitsbereich verfügbar.
Abbildung : 2. Liste zusätzlicher Aktionen, die mit dem Basissystem bereitgestellt werden
Navigieren zu Security Incidents > Alle Incidents anzeigen.
Wählen Sie den Security Incident aus, den Sie überprüfen möchten, und führen Sie zusätzliche Aktionen für den Endpunkt aus.
1. Klicken Sie im Abschnitt „Zugehörige Links“ auf Zusätzliche Aktionen für Endpunkt ausführen.
2. Durchsuchen Sie die erforderliche Fähigkeit, und wählen Sie sie aus.
  Klicken Sie beispielsweise auf die Fähigkeit reg set.
3. Wählen Sie Zugehöriges CI einschließen aus, um die zusätzlichen Aktionen für alle zugehörigen CIs des Endpunkts auszuführen.
4. Sie können den Unterschlüssel für die Ausführung der zusätzlichen Aktionen auf dem Endpunkt definieren.
  Dieser Unterschlüssel kann ein HKLM/Software/neuer Schlüssel sein.
Um die zusätzlichen Aktionen für den Endpunkt zu initiieren, klicken Sie auf Zusätzliche Aktionausführen.
Zeigen Sie die Automatisierungsaktivitäten der Ausführung an, und validieren Sie sie.
Validieren Sie den Status der Aktion in den zugehörigen Listen „Zusätzliche Aktionen für Endpunkt“.