Créer et configurer un profil pour la recherche de perception

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez la recherche de perceptions pour CrowdStrike Falcon Insight localiser les ordinateurs infectés sur le réseau de votre organisation et pour traiter les tickets de Security Incident Response.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Sélectionnez un ou plusieurs observables et effectuez une recherche de perception manuelle pour CrowdStrike Falcon Insight déterminer la récurrence d’une menace dans le temps.

    Procédure

    1. Accédez à la Tout > Intégration de CrowdStrike Falcon Insight > Profils de recherche de perception.
    2. Cliquez sur Nouveau.
    3. Configurez ce profil pour déterminer les serveurs à rechercher pour une option de recherche CrowdStrike Falcon Insight spécifique.
    4. Renseignez les champs du formulaire :
      Champ Description
      Nom Nom du profil de recherche de perceptions.
      Est une recherche enregistrée La configuration de recherche enregistrée est créée si vous sélectionnez cette option.
      Source de recherche de perceptions La source de la recherche d’observations. Sélectionnez la recherche d’observation de CrowdStrike Falcon Insight comme source.
      Actif Option permettant d’indiquer si l’élément supplémentaire est actif ou non.
      Type d'observable L’intégration de CrowdStrike Falcon Insight prend en charge les types d’observables suivants :
      • Hachage
      • IP
      • URL
      La recherche de perception est prise en charge pour les types d’observables suivants :
      • Nom du domaine
      • Adresse IP (V4)
      • Adresse IP (V6)
      • Hachage MD5
      • Hachage SHA1
      • Hachage SHA256
      Nombre maximum d'observables par recherche Nombre maximal d’observables que vous pouvez afficher à partir d’une requête de recherche.
      Rechercher La chaîne de recherche par défaut est $(observable), mais vous pouvez définir votre propre requête de recherche en spécifiant les paramètres pris en charge par l’intégration CrowdStrike Falcon Insight .
      Paramètres de la recherche de perceptions Paramètres pour définir des requêtes plus complexes qui incluent la logique et d’autres opérateurs pris en charge par le magasin de journaux spécifié

      Vous pouvez utiliser les liens connexes en bas de la page pour générer une requête de test après avoir défini des paramètres de recherche de perceptions.

      Configuration de la recherche de perceptions.

    5. Cliquez sur Envoyer.
      La configuration est terminée et vous pouvez invoquer la recherche de perceptions à partir de l’incident Now Platform de sécurité.
    6. Pour vérifier la configuration et exécuter une recherche de perception, effectuez les étapes suivantes :
      1. Ouvrez un incident de sécurité, faites défiler jusqu’au bas de l’incident de sécurité, puis cliquez sur Afficher toutes les listes connexes.
      2. Si vous sélectionnez un ou plusieurs éléments de configuration (CI) dans les listes connexes Processus en cours d’exécution .
        Remarque :
        Si vous exécutez une recherche de perception pour un CI à partir de la liste connexe Processus en cours, il s’agira uniquement d’une recherche de perception de hachage de processus.
      3. Cliquez sur la liste déroulante Actions sur les lignes sélectionnées... , puis sélectionnez Exécuter la recherche d’observations CrowdStrike.
      4. Rechercher le profil de recherche de perception requis à l’aide de l’option de recherche.
      5. Sélectionnez le profil de recherche de perception requis, puis cliquez sur Soumettre.
      6. Si vous sélectionnez un ou plusieurs observables dans les listes connexes Observables associés .
      7. Cliquez sur la liste déroulante Actions sur les lignes sélectionnées... , puis sélectionnez Exécuter la recherche de perceptions.
      8. Dans la fenêtre contextuelle, sélectionnez une valeur aléatoire et cliquez sur Rechercher.
      9. Une fois la recherche terminée, validez les résultats et les détails dans les notes de travail et les listes connexes.
        Examen des notes de travail pour une recherche d’observations.
      10. Sélectionnez l’onglet Observations pour afficher les détails de la perception.
      11. Cliquez sur l’icône Aperçu à côté du CI pour afficher plus d’informations sur les détails d’observation CrowdStrike.
      12. Cliquez sur les détails de la recherche de perceptions pour afficher les détails de la recherche de perceptions, puis cliquez sur l’onglet Résultats de recherche de perceptions pour obtenir les résultats de la recherche.