Automatiser CrowdStrike les soumissions Falcon Sandbox à l’aide de Flow Designer

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • L’intégration CrowdStrike Falcon X Sandbox inclut des modèles de flux créés à l’aide de qui fonctionnent avec les Studio de workflow enregistrements d’incidents de sécurité.

    Avant de commencer

    • Vérifiez que vous avez créé une configuration de soumission Sandbox et que vous avez activé une configuration comme configuration par défaut pour la soumission automatisée. Lorsque le flux est déclenché, la soumission du bac à sable se produit sur votre configuration par défaut.
    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Ces flux sont principalement conçus pour vous aider à démarrer lorsque vous souhaitez automatiser les soumissions de fichiers ou d’URL dans le cadre de votre workflow de réponse aux incidents.

    Lorsque vous activez un exemple de flux, vos pièces jointes de fichier d’hameçonnage sont automatiquement envoyées si vous définissez les incidents de sécurité comme hameçonnage dans votre échantillon de flux. Vous pouvez également soumettre tous les fichiers .exe lorsque ce type de fichier est joint à un enregistrement d’observable.

    Vous pouvez modifier ces exemples de flux pour déclencher une soumission automatisée dans différentes conditions, catégories, conditions composées, etc.

    L’intégration sandbox se compose de deux flux du système de base qui sont désactivés par défaut.
    • Envoyer le fichier lorsque la catégorie est Hameçonnage : ce flux soumet un fichier au bac à sable pour analyse de programme malveillant lorsque la catégorie d’incident de sécurité est définie comme hameçonnage. Vous devez joindre un fichier à l’enregistrement de l’observable sur l’incident de sécurité. Si vous utilisez la fonctionnalité User Reported Phishing (URP), toute pièce jointe à un e-mail est automatiquement analysée et ajoutée à l’enregistrement d’incident SIR en tant qu’enregistrement d’observable. Aucune autre action n’est requise pour automatiser la soumission.
    • Soumettre lorsque le type de fichier de l’observable est exe : ce flux soumet un fichier au bac à sable pour analyse de programme malveillant lorsque l’observable d’incident de sécurité est un exe. Comme pour le flux de catégorie d’hameçonnage, vous devez joindre un fichier à un enregistrement d’observable sur l’incident de sécurité. Vous pouvez le faire manuellement en chargeant le fichier ou automatiquement si une pièce jointe d’e-mail d’hameçonnage, ou un autre mécanisme qui crée l’incident, est associé aux enregistrements observables.

    Lorsque les flux sont configurés et que les conditions d’incident satisfont aux paramètres, les soumissions de bac à sable se déclenchent automatiquement lorsque vous examinez l’incident de sécurité. Examinez la note de travail qui indique qu’une soumission a été lancée, qu’une balise apparaît si activée dans la configuration et qu’un enregistrement des résultats de soumission est en attente.

    L’intégration sandbox contient également plusieurs flux secondaires. Les flux secondaires sont des composants internes des options globales de soumission d’intégration. Vous pouvez personnaliser et modifier les flux secondaires en fonction de vos critères de sécurité.

    Vous pouvez faire référence aux flux secondaires pour résoudre les problèmes liés aux soumissions de bac à sable. Un enregistrement d’exécution est créé chaque fois que vous appelez un flux secondaire. Cet enregistrement indique à quel endroit du flux une erreur particulière s’est produite et vous permet de résoudre le problème.
    Figure 1. Intégration de Sandbox : workflows multiples
    L’intégration sandbox contient plusieurs flux secondaires.
    Remarque :
    • Si vous choisissez de personnaliser les flux par défaut, vous devez vérifier que le flux secondaire Soumettre l’observable pour la soumission automatisée est inclus dans votre flux pour déclencher les soumissions automatiques.
    • Vous pouvez personnaliser et définir vos extensions de fichier pour un exe. Créer une copie du flux Soumettre lorsque le type de fichier pour l’observable est exe et apporter des modifications à la copie. Le type de contenu et les extensions de fichier sont mappés dans le script SandboxUtils . Pour accéder aux includes de script, accédez à Définitions du système > Includes de script et recherchez SandboxUtils.
      Figure 2. Script SandboxUtils
      Accédez au script SandboxUtils et modifiez-le.

    Procédure

    1. Accédez à la Tout > Concepteur de flux > Concepteur > Flux.
    2. Filtrez les flux par type d’application .
      Par exemple, *crowd filtre les deux CrowdStrike Falcon X Sandbox flux.
      L’intégration de Sandbox fournit deux flux par défaut.
    3. Sélectionnez un flux pour afficher les détails.
      L’exemple ci-dessous montre le fichier Soumettre lorsque la catégorie est flux d’hameçonnage.
      Activez le flux du système de base ou personnalisez votre flux.
    4. Cliquez sur Activer , puis sur OK lorsque le message de confirmation s’affiche.

    Que faire ensuite

    Après avoir configuré les flux de soumission automatisés, vous pouvez afficher les résultats de soumission du bac à sable pour analyser toutes les menaces.