Vous pouvez configurer les paramètres de profil de sorte qu’un profil s’exécute uniquement lorsqu’un ensemble de conditions spécifiques est rempli, ou vous pouvez configurer un profil pour rechercher des valeurs de champ spécifiques sur un incident de sécurité.

Après avoir créé un profil et sélectionné les CrowdStrike Falcon Insight options sur lesquelles vous souhaitez que le profil s’exécute, vous pouvez définir des conditions de déclenchement afin que votre profil s’exécute automatiquement lorsque les valeurs de champ par défaut correspondent à l’incident Now Platform de sécurité.

Par défaut, l’intégration utilise le champ Élément de configuration (CI) sur un incident de sécurité. Ce champ est utilisé pour faire correspondre vos ID d’actifs avec les informations stockées dans la Now Platform base de données. Lorsqu’un incident de sécurité SIR est créé par un événement de sécurité et qu’un profil est activé, vos actifs sont analysés pour rechercher une valeur correspondante sur le nom d’hôte ou une adresse IP.

Lorsqu’une valeur correspondante est trouvée dans la base de données, cette donnée est collectée à partir de la CrowdStrike Falcon Insight console et est transférée vers votre Now Platform instance où elle s’affiche dans les listes connexes d’un incident de sécurité.

L’exemple suivant montre un champ Élément de configuration renseigné avec un nom d’hôte sur un incident de sécurité SIR.

Lorsque le champ Élément de configuration (CI) n’est pas renseigné avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour afficher toutes les données de CI correspondantes que vous trouvez lors de l’analyse de vos actifs.

Lorsque vous configurez la configuration du profil, vous pouvez sélectionner un autre champ de déclenchement CI pour l’identification du point de terminaison afin de vous assurer que les données CI de la CrowdStrike Falcon Insight recherche sont renseignées sur l’incident de sécurité associé. Vous pouvez sélectionner n’importe quel champ de l’incident de sécurité comme champ de déclenchement CI alternatif, y compris les champs personnalisés que vous créez. Si le champ CI n’est pas renseigné sur l’incident de sécurité associé lors de la création de l’incident, sélectionnez l’autre champ CI pour vous assurer que vos profils sont déclenchés.

L’exemple suivant montre un autre champ renseigné avec un nom d’hôte sur un incident de sécurité SIR. L’autre champ est le champ Description .