Playbook pour la détection de point de terminaison
Ce playbook fournit des étapes de rattrapage systématiques pour examiner les alertes de programme malveillant déclenchées sur un hôte ou un point de terminaison (par exemple, une détection de fichier malveillant).
Lorsque des alertes CrowdStrike sont déclenchées sur un hôte ou un point de terminaison, vous pouvez utiliser le playbook de détection de point de terminaison dans Flow Designer pour obtenir des conseils et optimiser l’investigation de ces fichiers malveillants.
Le workflow est créé à partir d’un playbook existant, ce qui fournit une approche cohérente et efficace pour l’enquête sur les incidents. Chaque point de décision dans le playbook a été converti en une tâche pilotée par les résultats, et le flux change de direction en fonction du résultat de ces tâches.
Prise en main du playbook de détection de point de terminaison
- Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
- Accédez à la et sélectionnez le playbook de détection de point de terminaison .
- (Facultatif) Vous pouvez créer une copie du flux du playbook de détection de point de terminaison et apporter les modifications nécessaires. Pour créer une copie du flux du playbook, cliquez sur l’icône
et sélectionnez Copier le flux. Effectuez cette étape uniquement si vous prévoyez de personnaliser ou d’apporter des changements spécifiques au flux.Figure 1. Playbook de détection de point de terminaison - Activez les playbooks.
- Activez le flux principal pour utiliser le playbook disponible dans le système de base.
- Activez les flux copiés après avoir apporté les modifications requises.
- La catégorie est Activité de code malveillant.
- La brève description est Alertes de détection CrowdStrike.