Vous pouvez configurer les paramètres du profil afin qu’un profil s’exécute uniquement lorsqu’un ensemble de conditions spécifiques est satisfait ou vous pouvez configurer un profil pour rechercher des valeurs de champ spécifiques sur un incident de sécurité.

Après avoir créé un profil et sélectionné les CrowdStrike Falcon Insight options sur lesquelles vous souhaitez que le profil s’exécute, vous pouvez définir des conditions de déclenchement afin que votre profil s’exécute automatiquement lorsque les valeurs de champ par défaut correspondent à l’incident Now Platform de sécurité.

Par défaut, l’intégration utilise le champ Élément de configuration (CI) sur un incident de sécurité. Ce champ est utilisé pour faire correspondre vos ID d’actifs avec les informations stockées dans la Now Platform base de données. Lorsqu’un incident de sécurité SIR est créé par un événement de sécurité et qu’un profil est activé, vos actifs sont analysés à la recherche d’une valeur correspondante sur le nom d’hôte ou une adresse IP.

Lorsqu’une valeur correspondante est trouvée dans la base de données, ces données sont collectées à partir de la console et extraites vers votre CrowdStrike Falcon InsightNow Platform instance où elles sont affichées sur les listes connexes d’un incident de sécurité.

L’exemple suivant montre un champ d’élément de configuration renseigné avec un nom d’hôte sur un incident de sécurité SIR.

Lorsque le champ Élément de configuration (CI) n’est pas renseigné avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour afficher toutes les données CI correspondantes que vous trouvez lors de l’analyse de vos actifs.

Lors de la configuration du profil, vous pouvez sélectionner un autre champ de déclenchement CI pour l’identification du point de terminaison afin de vous assurer que les données CI issues de la CrowdStrike Falcon Insight recherche sont renseignées sur l’incident de sécurité associé. Vous pouvez sélectionner n’importe quel champ de l’incident de sécurité comme champ de déclenchement CI alternatif, y compris les champs personnalisés que vous créez. Si le champ CI n’est pas renseigné pour l’incident de sécurité associé lors de la création de l’incident, sélectionnez l’autre champ CI pour vous assurer que vos profils sont déclenchés.

L’exemple suivant montre un autre champ renseigné avec un nom d’hôte sur un incident de sécurité SIR. L’autre champ est le champ Description .