Automatiser les CrowdStrike soumissions Falcon Sandbox à l’aide de Concepteur de flux

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • L’intégration CrowdStrike Falcon X Sandbox inclut des modèles de flux créés à l’aide de la qui fonctionnent avec les Concepteur de flux enregistrements d’incidents de sécurité.

    Avant de commencer

    • Vérifiez que vous avez créé une configuration de soumission Sandbox et que vous avez activé une configuration comme configuration par défaut pour la soumission automatisée. Lorsque le flux est déclenché, la soumission du bac à sable se produit sur votre configuration par défaut.
    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Ces flux sont principalement conçus pour vous aider à démarrer lorsque vous souhaitez automatiser les soumissions de fichiers ou d’URL dans le cadre de votre workflow de réponse aux incidents.

    Lorsque vous activez un flux d’échantillonnage, vos pièces jointes de fichier d’hameçonnage sont automatiquement envoyées si vous définissez les incidents de sécurité comme du hameçonnage dans votre échantillon de flux. Alternativement, vous pouvez soumettre tous les fichiers .exe lorsque ce type de fichier est joint à un enregistrement observable.

    Vous pouvez modifier ces exemples de flux pour déclencher une soumission automatisée dans différentes conditions, catégories, conditions composées, etc.

    L’intégration sandbox se compose de deux flux du système de base qui sont désactivés par défaut.
    • Soumettre le fichier lorsque la catégorie est Hameçonnage : ce flux soumet un fichier au bac à sable pour analyse de programme malveillant lorsque la catégorie d’incident de sécurité est définie comme Hameçonnage. Vous devez joindre un fichier à l’enregistrement observable de l’incident de sécurité. Si vous utilisez la fonctionnalité User Reported Phishing (URP), toute pièce jointe à un e-mail est automatiquement analysée et ajoutée à l’enregistrement d’incident SIR en tant qu’enregistrement observable. Aucune autre action n’est requise pour automatiser la soumission.
    • Soumettre lorsque le type de fichier de l’observable est exe : ce flux soumet un fichier au bac à sable pour l’analyse de programme malveillant lorsque l’observable d’incident de sécurité est un exe. De la même manière que pour le flux de catégorie d’hameçonnage, vous devez joindre un fichier à un enregistrement observable sur l’incident de sécurité. Vous pouvez le faire manuellement en chargeant le fichier ou automatiquement si une pièce jointe d’e-mail d’hameçonnage, ou tout autre mécanisme qui crée l’incident, est associé aux enregistrements observables.

    Lorsque les flux sont configurés et que les conditions d’incident répondent aux paramètres, les soumissions de bac à sable (sandbox) se déclenchent automatiquement lorsque vous examinez l’incident de sécurité. Examinez la note de travail qui indique qu’une soumission a été initiée, qu’une balise s’affiche si elle est activée dans la configuration et qu’un enregistrement de résultats de soumission est en attente.

    L’intégration sandbox contient également plusieurs flux secondaires. Les flux secondaires sont des composants internes des options globales de soumission d’intégration. Vous pouvez personnaliser et modifier les flux secondaires en fonction de vos critères de sécurité.

    Vous pouvez référer les flux secondaires pour résoudre les problèmes liés aux soumissions de bac à sable. Un enregistrement d’exécution est créé chaque fois que vous appelez un flux secondaire. Cet enregistrement indique à quel endroit du flux une erreur particulière s’est produite et vous permet de résoudre le problème.
    Figure 1. Intégration Sandbox - Plusieurs workflows
    L’intégration sandbox contient plusieurs flux secondaires.
    Remarque :
    • Si vous choisissez de personnaliser les flux par défaut, vous devez vérifier que le flux secondaire Soumettre l’observable pour la soumission automatisée est inclus dans votre flux pour déclencher des soumissions automatiques.
    • Vous pouvez personnaliser et définir vos extensions de fichiers pour un fichier exe. Créer une copie du flux Soumettre lorsque le type de fichier pour l’observable est exe et apporter des modifications à la copie. Le type de contenu et les extensions de fichier sont mappés dans le script SandboxUtils . Pour accéder aux script includes, accédez à Définitions du système > Script Includes et recherchez SandboxUtils.
      Figure 2. Script SandboxUtils
      Accède au script SandboxUtils et le modifie.

    Procédure

    1. Accédez à la Tous > Concepteur de flux > Concepteur > Flux.
    2. Filtrez les flux par type d’application .
      Par exemple, *crowd filtre les deux CrowdStrike Falcon X Sandbox flux.
      L’intégration de Sandbox fournit deux flux par défaut.
    3. Sélectionnez un flux pour afficher les détails.
      L’exemple ci-dessous montre le flux Soumettre le fichier lorsque la catégorie est Hameçonnage.
      Activez le flux du système de base ou personnalisez votre flux.
    4. Cliquez sur Activer , puis sur OK lorsque le message de confirmation s’affiche.

    Que faire ensuite

    Après avoir configuré des flux de soumission automatisés, vous pouvez afficher les résultats de soumission du bac à sable (sandbox ) pour analyser toutes les menaces.