Konfigurieren und lösen Sie zusätzliche Aktionen in aus CrowdStrike Falcon Insight

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

2 Minuten Lesedauer

Die CrowdStrike Falcon Insight -Integration unterstützt die Ausführung zusätzlicher Aktionen wie reguläre Ausdrücke (reguläre Ausdrücke). Die CrowdStrike Falcon Insight -Integration bietet 40 zusätzliche Aktionen mit dem Basissystem.

Vorbereitungen

Erforderliche Rolle: sn_si.analyst

Prozedur

Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > CrowdStrike: zusätzliche Aktionen.
Klicken Sie auf Neu, um eine eigene zusätzliche Aktion zu erstellen, oder wählen Sie eine vorhandene Aktion aus, die im Basissystem enthalten ist.
Erstellen wir beispielsweise eine neue zusätzliche Aktion.

Füllen Sie die Felder im Formular aus.


Feld	Beschreibung
Befehlsname	Befehlsname für die zusätzliche Aktion. Beispiel: reg.
Basisname	Basisname für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: reg.
Fähigkeit	Fähigkeitsname für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: Zusätzliche Aktionen für Endpunkt ausführen.
Integrationsquelle	Die Quelle für die zusätzliche Aktion. Beispiel: CrowdStrike Falcon Insight-Integration.
Aktiv	Option, um anzugeben, ob der Zusatz aktiv ist oder nicht.
Befehlstyp	Befehlstyp für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: Anwenderdefiniertes RTR-Skript.
Skript	BS-Typ: Option zum Auswählen des Betriebssystemtyps für Ihr Skript. Wählen Sie eine der folgenden Optionen aus: Windows Mac OS X Linux Keine Skript: Option zum Eingeben Ihres Skripts, wenn Sie eines der folgenden Betriebssysteme ausgewählt haben, mit Ausnahme der Option Keine.
Konfiguration	Tag anzeigen: Option zum Anzeigen des Tags für die Konfiguration. Sie können das Tag für die folgenden Felder auswählen: Fähigkeit: Initiiert. Beispiel: Registrierungssatz – Initiiert. Fähigkeit: Abgeschlossen. Beispiel: Registrierungssatz – Abgeschlossen. Fähigkeit: Fehlgeschlagen Beispiel: Registrierungssatz – Fehlgeschlagen. Genehmigung erforderlich: Option zum Auswählen eines Genehmigers oder einer Gruppe, der bzw. die die Konfiguration genehmigen muss.

Abbildung : 1. CrowdStrike Falcon Insight – Zusätzliche Aktionen

Klicken Sie auf Absenden.
Sie können auch aus den folgenden vorhandenen zusätzlichen Aktionen auswählen.
Das Basissystem enthält 40 zusätzliche Aktionen, mit denen Sie zusätzliche Konfigurationen durchführen können.
Hinweis:
Stellen Sie sicher, dass Sie die Liste „Zusätzliche CrowdStrike-Aktionen“ öffnen und die erforderliche zusätzliche Aktion auf wahrfestlegen, andernfalls ist die zusätzliche Aktion im Arbeitsbereich nicht verfügbar.
Abbildung : 2. Liste der zusätzlichen Aktionen, die im Basissystem enthalten sind
Navigieren zu Security Incidents > Alle Incidents anzeigen.
Wählen Sie den Security Incident aus, den Sie überprüfen möchten, indem Sie zusätzliche Aktionen für den Endpunkt ausführen.
1. Klicken Sie im Abschnitt „Zugehörige Links“ auf Zusätzliche Aktionen für Endpunkt ausführen.
2. Durchsuchen und die gewünschte Fähigkeit auswählen
  Beispiel: Klicken Sie auf reguläre Satzfähigkeit.
3. Wählen Sie Zugehöriges CI einschließen aus, um die zusätzlichen Aktionen für alle zugehörigen CIs des Endpunkts auszuführen.
4. Sie können den Unterschlüssel für die Ausführung der zusätzlichen Aktionen auf dem Endpunkt definieren.
  Dieser Unterschlüssel kann ein KBLM-/Software-/neuer Schlüssel sein.
Um die Ausführung zusätzlicher Aktionen für den Endpunkt zu initiieren, klicken Sie auf Zusätzliche Aktion ausführen.
Zeigen Sie die Automatisierungsaktivitäten der -Ausführung an, und validieren Sie sie.
Validiert den Status der Aktion in den zugehörigen Listen „Zusätzliche Aktionen für Endpunkt“.