Erstellen und konfigurieren Sie ein Profil für die Sichtungssuche

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

2 Minuten Lesedauer

Verwenden Sie Sichtungssuchen für CrowdStrike Falcon Insight, um infizierte Computer im Netzwerk Ihrer Organisation zu finden und Security Incident Response-Fälle zu bearbeiten.

Vorbereitungen

Erforderliche Rolle: sn_si.analyst

Warum und wann dieser Vorgang ausgeführt wird

Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Sichtungssuche in CrowdStrike Falcon Insight durch, um die Verbreitung einer Bedrohung im Laufe der Zeit zu bestimmen.

Prozedur

Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > Sichtungssuchprofile.
Klicken Sie auf Neu.
Konfigurieren Sie dieses Profil, um zu bestimmen, auf welchen Servern nach einer bestimmten CrowdStrike Falcon Insight-Suchfunktion gesucht werden soll.

Füllen Sie im Formular die folgenden Felder aus:


Feld	Beschreibung
Name	Name für das Sichtungssuchprofil.
Ist gespeicherte Suche	Wenn Sie diese Option auswählen, wird eine gespeicherte Suchkonfiguration erstellt.
Sichtungssuchquelle	Die Quelle für die Sichtungssuche. Wählen Sie CrowdStrike Falcon Insight-Sichtungssuche als Quelle aus.
Aktiv	Option, um anzugeben, ob der Zusatz aktiv ist oder nicht.
Erkennbarer Typ	Die CrowdStrike Falcon Insight-Integration unterstützt die folgenden erkennbaren Typen: Hash IP URL Die Sichtungssuche wird für die folgenden erkennbaren Elemente unterstützt: Domänenname IP-Adresse (V4) IP-Adresse (V6) MD5-Hash SHA1-Hash SHA256-Hash
Maximale erkennbare Elemente pro Suche	Maximale Anzahl von erkennbaren Elementen, die Sie in einer Suchabfrage anzeigen können.
Suchen	Die Standardsuchzeichenfolge ist `$(observable)`, aber Sie können Ihre eigene Suchabfrage definieren, indem Sie Parameter angeben, die von der CrowdStrike Falcon Insight -Integration unterstützt werden.
Sichtungssuchparameter	Parameter zum Definieren komplexerer Abfragen, die Logik und andere Operatoren enthalten, die vom angegebenen Protokollspeicher unterstützt werden Sie können die zugehörigen Links am Ende der Seite verwenden, um nach der Definition der Sichtungssuchparameter eine Testabfrage zu generieren.

Klicken Sie auf Absenden.
Die Konfiguration ist abgeschlossen, und Sie können die Sichtungssuche über den Security Incident Now Platform aufrufen.
Führen Sie die folgenden Schritte aus, um die Konfiguration zu überprüfen und eine Sichtungssuche auszuführen:
1. Öffnen Sie einen Security Incident, scrollen Sie zum Ende des Security Incident und klicken Sie auf Alle zugehörigen Listen anzeigen.
2. Wenn Sie ein oder mehrere Configuration Items (CI) aus den zugehörigen Listen Laufende Prozesse auswählen.
  
  Hinweis:
  Wenn Sie eine Sichtungssuche für ein CI aus der zugehörigen Liste „Laufende Prozesse“ ausführen, handelt es sich nur um eine Prozess-Hash-Sichtungssuche.
3. Klicken Sie auf die Dropdown-Liste Aktionen für ausgewählte Zeilen... und wählen Sie CrowdStrike-Sichtungssuche ausführen aus.
4. Suchen Sie mithilfe der Suchoption nach dem erforderlichen Sichtungssuchprofil.
5. Wählen Sie das erforderliche Sichtungssuchprofil aus, und klicken Sie auf Absenden.
6. Wenn Sie ein oder mehrere erkennbare Elemente aus den zugehörigen Listen Zugeordnete erkennbare Elemente auswählen.
7. Klicken Sie auf die Dropdown-Liste Aktionen für ausgewählte Zeilen... und wählen Sie Sichtungssuche ausführenaus.
8. Wählen Sie im Popup-Fenster „Zeitrahmen“ einen beliebigen zufälligen Wert aus, und klicken Sie auf Suchen.
9. Validieren Sie nach Abschluss der Suche die Ergebnisse und Details in den Arbeitsnotizen und zugehörigen Listen.
10. Wechseln Sie zur Registerkarte Sichtungen, um die Sichtungsdetails anzuzeigen.
11. Klicken Sie auf das Vorschausymbol neben dem CI, um weitere Informationen zu CrowdStrike-Sichtungsdetails anzuzeigen.
12. Klicken Sie auf Sichtungssuchdetails, um die Sichtungssuchdetails anzuzeigen, und klicken Sie auf die Registerkarte Sichtungssuchergebnisse, um Suchergebnisseanzuzeigen.