Playbook für Endpunkterkennung
Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Malware-Warnungen, die auf einem Host oder Endpunkt ausgelöst werden (z. B. Erkennung schädlicher Dateien).
Wenn CrowdStrike-Warnungen auf einem Host oder Endpunkt ausgelöst werden, können Sie das Endpunkterkennungs-Playbook im Flow Designer als Anleitung und zur Optimierung der Untersuchung dieser schädlichen Dateien verwenden.
Der Workflow wird basierend auf einem vorhandenen Playbook erstellt, das einen konsistenten und effizienten Ansatz für die Untersuchung von Incidents bietet. Jeder Entscheidungspunkt im Playbook wurde in eine ergebnisabhängige Aufgabe konvertiert, und der Flow ändert die Richtung basierend auf dem Ergebnis dieser Aufgaben.
Erste Schritte mit dem Endpunkterkennungs-Playbook
- Melden Sie sich als Benutzer mit den Rollen sn_si.user und flow_designer an.
- Navigieren zu und wählen Sie das Endpunkterkennungs- Playbook aus.
- (Optional) Sie können eine Kopie des Endpunkterkennungs-Playbook-Flows erstellen und die erforderlichen Änderungen vornehmen. Um eine Kopie des Playbook-Flows zu erstellen, klicken Sie auf das Menüsymbol
und wählen Sie Flow kopierenaus. Führen Sie diesen Schritt nur aus, wenn Sie den Flow anpassen oder bestimmte Änderungen daran vornehmen möchten.Abbildung : 1. Endpunkterkennungs-Playbook - Aktivieren Sie die Playbooks.
- Aktivieren Sie den Haupt-Flow, um das im Basissystem verfügbare Playbook zu verwenden.
- Aktivieren Sie die kopierten Flows, nachdem Sie die erforderlichen Änderungen vorgenommen haben.
Auslöserbedingung: Dieses Playbook wird ausgelöst und dem Security Incident zugeordnet, wenn die folgenden Bedingungen erfüllt sind:
- Kategorie ist „Böswillige Codeaktivität“.
- Die Kurzbeschreibung lautet CrowdStrike-Erkennungswarnungen.