Configurer les profils et les incidents de sécurité pour l’intégration CrowdStrike Falcon Insight

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Configurez les paramètres de votre profil afin que le profil se déclenche uniquement dans les conditions que vous définissez.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Définissez les conditions qui déclenchent automatiquement les CrowdStrike Falcon Insight options que vous avez sélectionnées pour le profil. Vous pouvez également sélectionner un autre champ d’entrée pour le champ Élément de configuration (CI). Dans cet autre champ, vous pouvez définir des conditions de filtrage afin que seuls les incidents de sécurité associés à votre événement déclencheur déclenchent automatiquement le profil.
    Remarque :
    Accédez à la page Configuration du profil uniquement après avoir saisi les détails du profil. Pour plus d’informations, consultez Créer un profil d’aptitude pour l’intégration de CrowdStrike Falcon Insight.

    Procédure

    1. Dans la page Configuration du profil, examinez et configurez les sections suivantes :

      Définir des critères d’incident (automatisation)

      Définissez les conditions d’incident de sécurité qui déclenchent automatiquement les CrowdStrike Falcon Insight options du profil. Si vous ne sélectionnez pas l’option Définir des critères d’incident , les options sont invoquées manuellement à partir de l’incident de sécurité.

      1. Sélectionnez l’option Définir des critères d’incident .
      2. Pour définir les conditions, dans la section Conditions de filtre, sélectionnez un champ et son exigence correspondante.Condition d’automatisation.
      3. Dans le champ Nouveau critère, saisissez les nouveaux critères, puis définissez la conditionOU ou ET.Condition d’automatisation et ajout d’un nouveau critère.

      Approbations

      Pour fournir un niveau de contrôle supplémentaire lorsque vous utilisez les options de CrowdStrike Falcon Insight, sélectionnez l’option Exiger l’approbation . L’option d’approbation de la configuration de profil s’affiche uniquement pour les options Isoler l’hôte et Supprimer l’isolement de l’hôte.

      Remarque :
      L’autorité d’approbation est affectée à l’utilisateur ayant le rôle sn_si.admin. Vous pouvez également réaffecter cette autorité d’approbation à un groupe d’approbation. Pour plus d’informations, consultez Configurer un groupe d’approbation.
      Fournissez un niveau de contrôle supplémentaire à l’aide de l’option d’approbation.

      Configuration supplémentaire

      Sélectionnez un autre champ sur l’incident de sécurité pour afficher toutes les données CI correspondantes trouvées lors de l’analyse de vos actifs. Par défaut, l’intégration utilise le champ Élément de configuration (CI) sur l’incident de sécurité.

      1. Sélectionnez l’option Définir un champ alternatif .
      2. Dans le champ de déclenchement CI alternatif, sélectionnez un champ d’entrée.
        Remarque :
        Pour plus d’informations, consultez Comprendre le fonctionnement des conditions de déclenchement avec un élément de configuration pour un profil.

      Balises

      Pour baliser les incidents de sécurité avec les CrowdStrike Falcon Insight balises Options, Initiées, Activées terminées et Aptitudes échouées, sélectionnez l’option Afficher les balises . Par défaut, cette option est désactivée pour tous les profils.
      Remarque :
      Ces balises sont fournies avec le système de base. Vous pouvez créer vos propres balises si nécessaire.

      Afficher les balises dans l’incident de sécurité

    2. Cliquez sur Terminé.