Créer et configurer un profil pour la recherche de perception

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Utilisez les recherches CrowdStrike Falcon Insight de perceptions pour localiser les machines infectées sur le réseau de votre organisation et pour traiter les tickets de réponse aux incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Sélectionnez un ou plusieurs observables et effectuez une recherche de perception manuelle pour CrowdStrike Falcon Insight déterminer la prévalence d’une menace au fil du temps.

    Procédure

    1. Accédez à la Tout > Intégration de CrowdStrike Falcon Insight > Profils de recherche de perception.
    2. Cliquez sur Nouveau.
    3. Configurez ce profil pour déterminer les serveurs à rechercher pour une option de recherche CrowdStrike Falcon Insight spécifique.
    4. Renseignez les champs du formulaire :
      Champ Description
      Nom Nom du profil de recherche de perceptions.
      Est une recherche enregistrée La configuration de recherche enregistrée est créée si vous sélectionnez cette option.
      Source de recherche de perceptions La source de la recherche d’observations. Sélectionnez la recherche d’observation de CrowdStrike Falcon Insight comme source.
      Actif Option permettant d’indiquer si le supplémentaire est actif ou non.
      Type d'observable L’intégration de CrowdStrike Falcon Insight prend en charge les types d’observables suivants :
      • Hachage
      • IP
      • URL
      La recherche de perception est prise en charge pour les types d’observables suivants :
      • Nom du domaine
      • Adresse IP (V4)
      • Adresse IP (V6)
      • Hachage MD5
      • Hachage SHA1
      • Hachage SHA256
      Nombre maximum d'observables par recherche Nombre maximal d’observables que vous pouvez afficher à partir d’une requête de recherche.
      Rechercher La chaîne de recherche par défaut est $(observable), mais vous pouvez définir votre propre requête de recherche en spécifiant les paramètres pris en charge par l’intégration CrowdStrike Falcon Insight .
      Paramètres de la recherche de perceptions Paramètres pour définir des requêtes plus complexes qui incluent la logique et d’autres opérateurs pris en charge par le magasin de journaux spécifié

      Vous pouvez utiliser les liens connexes en bas de la page pour générer une requête de test après avoir défini des paramètres de recherche de perceptions.

      Configuration de la recherche de perceptions.

    5. Cliquez sur Envoyer.
      La configuration est terminée et vous pouvez invoquer la recherche de perceptions à partir de l’incident Now Platform de sécurité.
    6. Pour vérifier la configuration et exécuter une recherche de perception, procédez comme suit :
      1. Ouvrez un incident de sécurité, faites défiler jusqu’au bas de l’incident de sécurité, puis cliquez sur Afficher toutes les listes connexes.
      2. Si vous sélectionnez un ou plusieurs éléments de configuration (CI) dans les listes connexes Exécution des processus .
        Remarque :
        Si vous exécutez une recherche de perception pour un CI à partir de la liste connexe Exécution des processus, il ne s’agira alors que d’une recherche de perception de hachage de processus.
      3. Cliquez sur la liste déroulante Actions sur les lignes sélectionnées... , puis sélectionnez Exécuter la recherche d’observations CrowdStrike.
      4. Recherchez le profil de recherche de perceptions requis à l’aide de l’option de recherche.
      5. Sélectionnez le profil de recherche de perception requis, puis cliquez sur Soumettre.
      6. Si vous sélectionnez un ou plusieurs observables dans les listes connexes Observables associés .
      7. Cliquez sur la liste déroulante Actions sur les lignes sélectionnées... , puis sélectionnez Exécuter la recherche de perceptions.
      8. Dans la fenêtre contextuelle du délai, sélectionnez une valeur aléatoire et cliquez sur Rechercher.
      9. Une fois la recherche terminée, validez les résultats et les détails dans les notes de travail et les listes connexes.
        Examen des notes de travail pour une recherche d’observations.
      10. Sélectionnez l’onglet Perceptions pour afficher les détails de l’observation.
      11. Cliquez sur l’icône Aperçu en regard du CI pour afficher plus d’informations sur les détails d’observation de CrowdStrike.
      12. Cliquez sur Détails de recherche de perceptions pour afficher les détails de la recherche de perceptions, puis sur l’onglet Résultats de recherche de perceptions pour les résultats de recherche.