Configurer les profils et les incidents de sécurité pour l’intégration CrowdStrike Falcon Insight

  • Rversion finale: Australia
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Configurez les paramètres de votre profil de sorte que le profil se déclenche uniquement dans les conditions que vous définissez.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Définissez les conditions qui déclenchent automatiquement les CrowdStrike Falcon Insight options que vous avez sélectionnées pour le profil. Vous pouvez également sélectionner un autre champ d’entrée pour le champ Élément de configuration (CI). Dans cet autre champ, vous pouvez définir des conditions de filtrage de sorte que seuls les incidents de sécurité liés à votre événement déclencheur déclenchent automatiquement le profil.
    Remarque :
    Accéder à la page Configuration du profil uniquement après avoir saisi les détails du profil. Pour plus d’informations, consultez Créer un profil d’aptitude pour l’intégration de CrowdStrike Falcon Insight.

    Procédure

    1. Sur la page Configuration du profil, examinez et configurez les sections suivantes :

      Définir un critère d’incident (automatisation)

      Définissez les conditions d’incident de sécurité qui déclenchent automatiquement les CrowdStrike Falcon Insight options du profil. Si vous ne sélectionnez pas l’option Définir un critère d’incident , les options sont invoquées manuellement à partir de l’incident de sécurité.

      1. Sélectionnez l’option Définir un critère d’incident .
      2. Pour définir les conditions, dans la section Conditions de filtre, sélectionnez un champ et son exigence correspondante.
      3. Dans le champ Nouveau critère, entrez les nouveaux critères, puis définissez la conditionOU ou ET.

      Approbations

      Pour fournir un niveau de contrôle supplémentaire lorsque vous utilisez les options de CrowdStrike Falcon Insight, sélectionnez l’option Exiger l’approbation . L’option d’approbation dans la configuration du profil s’affiche uniquement pour les options Isoler l’hôte et Supprimer l’isolement de l’hôte.

      Remarque :
      L’autorité d’approbation est affectée à l’utilisateur disposant du rôle sn_si.admin. Vous pouvez également réaffecter cette autorité d’approbation à un groupe d’approbation. Pour plus d’informations, voir Configurer un groupe d’approbation.

      Configuration supplémentaire

      Sélectionnez un autre champ sur l’incident de sécurité pour afficher toutes les données de CI correspondantes que vous trouvez lors de l’analyse de vos actifs. Par défaut, l’intégration utilise le champ Élément de configuration (CI) sur l’incident de sécurité.

      1. Sélectionnez l’option Définir un autre champ .
      2. Dans le champ Autre déclencheur CI, sélectionnez un champ d’entrée.
        Remarque :
        Pour plus d’informations, voir Comprendre comment les conditions de déclenchement fonctionnent avec un élément de configuration pour un profil.

      Étiquettes

      Pour baliser les incidents de sécurité avec les CrowdStrike Falcon Insight balises Capacités lancées, Fonctionnalités terminées et Capacités échouées, sélectionnez l’option Balises d’affichage . Par défaut, cette option est désactivée pour tous les profils.
      Remarque :
      Ces balises sont fournies avec le système de base. Vous pouvez créer vos propres balises si nécessaire.

      Balises d’affichage dans l’incident de sécurité

    2. Cliquez sur Terminé.