Automatiser les CrowdStrike soumissions de Falcon Sandbox à l’aide de Concepteur de flux

  • Rversion finale: Australia
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Automatisez vos soumissions de fichiers ou d’URL à l’aide de l’intégration et Studio de workflow dans le CrowdStrike Falcon X Sandbox cadre de votre workflow de réponse aux incidents. L’intégration comprend des modèles de flux que vous pouvez utiliser pour vos enregistrements d’incidents de sécurité.

    Avant de commencer

    • Vérifiez que vous avez créé une configuration de soumission à Sandbox et que vous avez activé une configuration comme configuration par défaut pour la soumission automatisée. Lorsque le flux est déclenché, la soumission du bac à sable se produit sur votre configuration par défaut.
    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Ces flux sont principalement conçus pour vous aider à automatiser les soumissions de fichiers ou d’URL dans le cadre de votre workflow de réponse aux incidents.

    Lorsque vous activez un exemple de flux, les pièces jointes de votre fichier d’hameçonnage sont automatiquement envoyées si vous définissez les incidents de sécurité comme étant de l’hameçonnage dans votre exemple de flux. Vous pouvez également soumettre tous les fichiers .exe lorsque ce type de fichier est joint à un enregistrement observable.

    Vous pouvez modifier ces exemples de flux pour déclencher une soumission automatisée dans différentes conditions, catégories, conditions composées, etc.

    L’intégration de Sandbox se compose de deux flux système de base qui sont désactivés par défaut.
    • Soumettre le fichier lorsque la catégorie est Hameçonnage : ce flux soumet un fichier au bac à sable pour analyse de programme malveillant lorsque la catégorie d’incident de sécurité est définie comme Hameçonnage. Vous devez joindre un fichier à l’enregistrement de l’observable sur l’incident de sécurité. Si vous utilisez la fonctionnalité de hameçonnage signalé par les utilisateurs (URP), toute pièce jointe d’e-mail est automatiquement analysée et ajoutée à l’enregistrement d’incident SIR en tant qu’enregistrement observable. Aucune autre action n’est requise pour automatiser la soumission.
    • Soumettre lorsque le type de fichier de l’observable est exe : ce flux soumet un fichier au bac à sable pour analyse de programme malveillant lorsque l’observable de l’incident de sécurité est un exe. Comme pour le flux de catégorie d’hameçonnage, vous devez joindre un fichier à un enregistrement observable sur l’incident de sécurité. Vous pouvez le faire manuellement en chargeant le fichier ou automatiquement si une pièce jointe d’e-mail d’hameçonnage ou un autre mécanisme à l’origine de l’incident est associé aux enregistrements observables.

    Lorsque les flux sont configurés et que les conditions d’incident satisfont aux paramètres, les soumissions de bac à sable se déclenchent automatiquement lorsque vous examinez l’incident de sécurité. Passez en revue la note de travail qui indique qu’une soumission a été lancée, qu’une balise apparaît si elle est activée dans la configuration et qu’un enregistrement des résultats de soumission est en attente.

    L’intégration de Sandbox contient également plusieurs flux secondaires. Les flux secondaires sont des composants internes des options globales de soumission de l’intégration. Vous pouvez personnaliser et modifier les flux secondaires en fonction de vos critères de sécurité.

    Vous pouvez consulter les flux secondaires pour résoudre les problèmes liés aux soumissions de bac à sable. Un enregistrement d’exécution est créé chaque fois que vous invoquez un flux secondaire. Cet enregistrement indique où une erreur particulière s’est produite dans le flux et vous permet de résoudre le problème.
    Figure 1. Intégration de Sandbox : plusieurs workflows
    L’intégration de Sandbox contient plusieurs flux secondaires.
    Remarque :
    • Si vous choisissez de personnaliser les flux par défaut, vous devez vérifier que le flux secondaire Soumettre l’observable pour une soumission automatisée est inclus dans votre flux pour déclencher les soumissions automatiques.
    • Vous pouvez personnaliser et définir vos extensions de fichier pour un exe. Créer une copie du flux Soumettre lorsque le type de fichier de l’observable est exe et apportez des changements à la copie. Le type de contenu et les extensions de fichier sont mappés dans le script SandboxUtils . Pour accéder aux includes de script, accédez à Définitions du système > Includes de script et recherchez SandboxUtils.
      Figure 2. Script SandboxUtils
      Accédez au script SandboxUtils et modifiez-le.

    Procédure

    1. Accédez à la Tous > Concepteur de flux > Concepteur > Flux.
    2. Filtrez les flux par type d’application .
      Par exemple, *crowd filtre les deux CrowdStrike Falcon X Sandbox flux.
      L’intégration Sandbox fournit deux flux par défaut.
    3. Sélectionnez un flux pour en afficher les détails.
      L’exemple ci-dessous montre la catégorie Soumettre le fichier lorsque la catégorie est flux d’hameçonnage.
      Activez le flux du système de base ou personnalisez votre flux.
    4. Sélectionnez Activer , puis sélectionnez OK lorsque le message de confirmation s’affiche.

    Que faire ensuite

    Après avoir configuré les flux de soumission automatisés, vous pouvez afficher les résultats de soumission du bac à sable pour analyser les menaces.