Erstellen Sie ein Fähigkeitsprofil für die Integration CrowdStrike Falcon Insight .

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie die CrowdStrike Falcon Insight -Fähigkeiten aus, die das Profil ausführen soll.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Überlegen Sie, warum Sie ein Profil erstellen möchten, bevor Sie ihm CrowdStrike Falcon Insight -Fähigkeiten hinzufügen. In der folgenden Tabelle sind die Fähigkeiten aufgeführt, die Sie einem Profil hinzufügen müssen, wenn das Profil bestimmte Abfragen oder Aktionen ausführen soll.

    Sie können ein einzelnes Profil erstellen, das Abfragen von Systemdetails ausführt, angemeldete Benutzer auflistet, laufende Services abruft, laufende Prozesse abruft, Netzwerkstatistiken abruft, den Host isoliert und den isolierten Host entfernt. Alternativ können Sie mehrere Profile mit jeweils einer eigenen Fähigkeit erstellen.
    Hinweis:
    Die Funktionen „Host isolieren“, „Isolierung entfernen“ und „Datei abrufen“ können beim Erstellen eines Profils nicht mit anderen Fähigkeiten zusammengeführt werden.
    Tabelle : 1. Profiltypen und erforderliche CrowdStrike Falcon Insight-Fähigkeiten
    Profilzweck CrowdStrike-Fähigkeiten
    Erfassen Sie Hostdetails und angemeldete Benutzer
    • Hostdetails abrufen
    • Angemeldete Anwender abrufen
    Ruft die Netzwerkstatistiken, Prozesse und Services ab, die für einen Host ausgeführt werden
    • Netzwerkstatistiken abrufen
    • Laufende Prozesse abrufen
    • Laufende Services abrufen
    Isolieren Sie einen Host Host isolieren
    Entfernt die Isolation für einen Host Isolation entfernen
    Ruft eine Datei von einem Hostendpunkt ab Datei abrufen

    Prozedur

    1. Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > CrowdStrike-Fähigkeitenprofile.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Feld Beschreibung
      Name Name für das neue Fähigkeitsprofil.

      Dieser Name hilft Ihnen, den Profiltyp zu identifizieren, und ist auch der Standardname für das Sicherheits-Tag, das diesem Profil zugeordnet ist.
      Aktiv Gibt an, ob das Profil aktiv ist oder nicht.

      Wenn das Profil aktiv ist, wird es automatisch ausgelöst, wenn ein Security Incident erstellt wird, der den von Ihnen in der Konfiguration angegebenen Filterbedingungen entspricht.
      Beschreibung Eindeutige Beschreibung für das Fähigkeitsprofil.
      Quelle Name des Servers. Sie können nur zuvor konfigurierte Server aus der Liste anzeigen.
      Bestellung

      Flow-Priorität. Der Wert für dieses Feld gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen.

      Der Flow mit der niedrigsten Nummer hat die höchste Priorität. Um die Reihenfolge der Vorgänge festzulegen, geben Sie einen Wert ein. Beispiel: 100, 200, 300, 400.

      Standard: 100
      CrowdStrike Falcon Insight-Fähigkeiten Fähigkeiten des CrowdStrike Falcon Insight-Profils.

      Wählen Sie in der Spalte Verfügbar bis Ausgewähltdie gewünschten Fähigkeiten für dieses Profil aus.

      Das folgende Beispiel zeigt ein vollständiges Formular für ein Profil mit der Fähigkeit „Systemdetails abrufen“.

      Falcon Insight-Profildetails.
    4. Klicken Sie auf Next (Weiter).

    Nächste Maßnahme

    Jetzt können SieIhr Profil konfigurieren. Stellen Sie sicher, dass Sie die Konzepte zum Konfigurieren von Profilen und Auslöserbedingungen überprüft haben, bevor Sie das Profil konfigurieren.