Automatisieren Sie CrowdStrike Falcon Sandbox-Übermittlungen mit Flow Designer

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Die CrowdStrike Falcon X Sandbox -Integration enthält Flow-Vorlagen, die mit Workflow-Studio erstellt wurden und mit Security Incident-Datensätzen arbeiten.

    Vorbereitungen

    • Stellen Sie sicher, dass Sie eine Sandbox-Übermittlungskonfiguration erstellt und eine Konfiguration als Standardkonfiguration für die automatisierte Übermittlungaktiviert haben. Wenn der Flow ausgelöst wird, erfolgt die Sandbox-Übermittlung in Ihrer Standardkonfiguration.
    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Diese Flows sollen Ihnen in erster Linie den Einstieg erleichtern, wenn Sie die Datei- oder URL-Übermittlungen als Teil Ihres Workflows zur Reaktion auf Incidents automatisieren möchten.

    Wenn Sie einen Beispiel-Flow aktivieren, werden Ihre Phishing-Dateianhänge automatisch übermittelt, wenn Sie die Security Incidents in Ihrem Beispiel-Flow als Phishing definieren. Alternativ können Sie alle .exe-Dateien übermitteln, wenn dieser Dateityp an einen Datensatz eines erkennbaren Elements angehängt ist.

    Sie können diese Beispiel-Flows so ändern, dass eine automatisierte Übermittlung unter verschiedenen Bedingungen, Kategorien, zusammengesetzten Bedingungen usw. ausgelöst wird.

    Die Sandbox-Integration besteht aus zwei Basissystem-Flows, die standardmäßig deaktiviert sind.
    • Datei senden, wenn Kategorie Phishing ist: Dieser Flow übermittelt eine Datei zur Malware-Analyse an die Sandbox, wenn die Kategorie des Security Incident als Phishing definiert wird. Sie müssen eine Datei an den Datensatz des erkennbaren Elements im Security Incident anhängen. Wenn Sie die Funktion User Reported Phishing (URP) verwenden, werden E-Mail-Anhänge automatisch analysiert und dem SIR-Incident-Datensatz als erkennbares Element hinzugefügt. Um die Übermittlung zu automatisieren, ist keine weitere Aktion erforderlich.
    • Absenden, wenn der Dateityp für das erkennbare Element „exe“ ist: Dieser Flow übermittelt eine Datei zur Malware-Analyse an die Sandbox, wenn das erkennbare Element des Security Incidents eine „exe“ ist. Ähnlich wie beim Phishing-Kategorie-Flow müssen Sie im Security Incident eine Datei an einen erkennbaren Datensatz anhängen. Sie können dies manuell tun, indem Sie die Datei hochladen, oder automatisch, wenn den erkennbaren Datensätzen ein Phishing-E-Mail-Anhang oder ein anderer Mechanismus zugeordnet ist, der den Incident erstellt.

    Wenn die Flows konfiguriert sind und die Incident-Bedingungen die Parameter erfüllen, werden die Sandbox-Übermittlungen automatisch ausgelöst, wenn Sie den Security Incident überprüfen. Überprüfen Sie die Arbeitsnotiz, die anzeigt, dass eine Übermittlung initiiert wurde, ein Tag angezeigt wird (sofern in der Konfiguration aktiviert) und ein Ergebnisdatensatz für die ausstehende Übermittlung angezeigt wird.

    Die Sandbox-Integration enthält auch mehrere Subflows. Die Subflows sind interne Komponenten der allgemeinen Integrationsübermittlungsfunktionen. Sie können die Subflows an Ihre Sicherheitskriterien anpassen und bearbeiten.

    Sie können auf die Subflows verweisen, um Probleme mit Sandbox-Übermittlungen zu beheben. Jedes Mal, wenn Sie einen Subflow aufrufen, wird ein Ausführungsdatensatz erstellt. Dieser Datensatz gibt an, wo im Flow ein bestimmter Fehler aufgetreten ist, und ermöglicht Ihnen, das Problem zu beheben.
    Abbildung : 1. Sandbox-Integration: Mehrere Workflows
    Die Sandbox-Integration enthält mehrere Subflows.
    Hinweis:
    • Wenn Sie die Standard-Flows anpassen möchten, sollten Sie sich vergewissern, dass der Subflow „Erkennbares Element für die automatisierte Übermittlung übermitteln“ in Ihrem Flow enthalten ist, um automatische Übermittlungen auszulösen.
    • Sie können Ihre Dateierweiterungen für eine exe anpassen und definieren. Erstellen Sie eine Kopie des Flows Absenden, wenn der Dateityp für das erkennbare Element exe ist, und nehmen Sie Änderungen an der Kopie vor. Der Inhaltstyp und die Dateierweiterungen werden im SandboxUtils- Skript zugeordnet. Um auf Skripteinbindungen zuzugreifen, navigieren Sie zu Systemdefinitionen > Skripteinbindungen, und suchen Sie nach SandboxUtils.
      Abbildung : 2. SandboxUtils-Skript
      Greifen Sie auf das SandboxUtils-Skript zu, und ändern Sie es.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designer > Flowsan.
    2. Filtern Sie die Flows nach Anwendungstyp.
      Zum Beispiel filtert *Crowd die beiden CrowdStrike Falcon X Sandbox -Flows.
      Die Sandbox-Integration bietet zwei Standard-Flows.
    3. Wählen Sie einen Flow aus, um die Details anzuzeigen.
      Das folgende Beispiel zeigt den Flow Datei senden, wenn die Kategorie Phishing ist.
      Aktivieren Sie den Basissystem-Flow, oder passen Sie Ihren Flow an.
    4. Klicken Sie auf Aktivieren und dann auf OK, wenn die Bestätigungsmeldung angezeigt wird.

    Nächste Maßnahme

    Nachdem Sie automatisierte Übermittlungs-Flows konfiguriert haben, können Sie die Ergebnisse der Sandbox-Übermittlung anzeigen, um Bedrohungen zu analysieren.