Konfigurieren Sie Profile und Security Incidents für die -Integration CrowdStrike Falcon Insight .

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Konfigurieren Sie Ihre Profileinstellungen so, dass das Profil nur unter den von Ihnen festgelegten Bedingungen ausgelöst wird.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Definieren Sie die Bedingungen, die die Fähigkeiten CrowdStrike Falcon Insight, die Sie für das Profil ausgewählt haben, automatisch auslösen. Sie können auch ein alternatives Eingabefeld für das Feld Configuration Item (CI) auswählen. In diesem alternativen Feld können Sie Filterbedingungen festlegen, sodass nur die Security Incidents, die mit dem auslösenden Ereignis zusammenhängen, das Profil automatisch auslösen.
    Hinweis:
    Navigieren Sie erst zur Seite Profilkonfiguration, nachdem Sie die Profildetails eingegeben haben. Weitere Informationen finden Sie unter Fähigkeitsprofil für die CrowdStrike Falcon Insight-Integration erstellen.

    Prozedur

    1. Überprüfen und konfigurieren Sie auf der Seite „Profilkonfiguration“ die folgenden Abschnitte:

      Incident-Kriterien definieren (Automatisierung)

      Definieren Sie die Bedingungen für Security Incidents, die automatisch die Fähigkeiten CrowdStrike Falcon Insight für das Profil auslösen. Wenn Sie die Option Kriterien für Incident definieren nicht auswählen, werden die Fähigkeiten manuell über den Security Incident aufgerufen.

      1. Wählen Sie die Option Kriterien für Incident definieren aus.
      2. Um die Bedingungen zu definieren, wählen Sie im Abschnitt Filterbedingungen ein Feld und die entsprechende Anforderung aus.EineAutomatisierungsbedingung.
      3. Geben Sie im Feld Neue Kriterien die neuen Kriterien ein, und definieren Sie dann die ODER- oder die UND- Bedingung.Automatisierungsbedingung und Hinzufügen eines neuen Kriteriums.

      Genehmigungen

      Um eine zusätzliche Kontrollebene bereitzustellen, wenn Sie die CrowdStrike Falcon Insight-Fähigkeiten verwenden, wählen Sie die Option Genehmigung erforderlich aus. Die Option „Genehmigungen“ in der Profilkonfiguration wird nur für die Funktionen Host isolieren und Hostisolierung entfernen angezeigt.

      Hinweis:
      Die Genehmigungsberechtigung wird dem Benutzer mit der Rolle sn_si.admin zugewiesen. Sie können diese Genehmigungsberechtigung auch einer Genehmigungsgruppe neu zuweisen. Weitere Informationen finden Sie unter Genehmigungsgruppe einrichten.
      Stellen Sie mithilfe der Genehmigungsoption eine zusätzliche Kontrollebene bereit.

      Zusätzliche Konfiguration

      Wählen Sie ein alternatives Feld im Security Incident aus, um alle übereinstimmenden CI-Daten anzuzeigen, die Sie beim Scannen Ihrer Assets gefunden haben. Standardmäßig verwendet die Integration das Feld Configuration Item (CI) für den Security Incident.

      1. Wählen Sie die Option Alternatives Feld definieren aus.
      2. Wählen Sie im Feld Alternative CI-Auslöserein Eingabefeld aus.
        Hinweis:
        Weitere Informationen hierzu finden Sie unter Funktionsweise von Auslöserbedingungen mit Konfigurationselementen für Profile verstehen.

      Tags

      Um Security Incidents mit den Tags CrowdStrike Falcon Insight Fähigkeiten – Initiiert, Fähigkeiten – Abgeschlossen und Fähigkeiten – Fehlgeschlagen zu kennzeichnen, wählen Sie die Option Tags anzeigen aus. Standardmäßig ist diese Option für alle Profile deaktiviert.
      Hinweis:
      Diese Tags werden mit dem Basissystem bereitgestellt. Bei Bedarf können Sie eigene Tags erstellen.

      Zeigen Sie Tags im Security Incident an

    2. Klicken Sie auf Erledigt.