Automatiser les CrowdStrike soumissions Falcon Sandbox à l’aide de Concepteur de flux

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • L’intégration CrowdStrike Falcon X Sandbox inclut des modèles de flux créés à l’aide de Studio de workflow qui fonctionnent avec les enregistrements d’incidents de sécurité.

    Avant de commencer

    • Vérifiez que vous avez créé une configuration de soumission Sandbox et que vous avez activé une configuration comme configuration par défaut pour la soumission automatisée. Lorsque le flux est déclenché, la soumission du bac à sable se produit sur votre configuration par défaut.
    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Ces flux sont principalement conçus pour vous aider à automatiser les soumissions de fichiers ou d’URL dans le cadre de votre workflow de réponse aux incidents.

    Lorsque vous activez un exemple de flux, vos pièces jointes de fichier d’hameçonnage sont automatiquement envoyées si vous définissez les incidents de sécurité comme étant de l’hameçonnage dans votre échantillon de flux. Vous pouvez également soumettre tous les fichiers .exe lorsque ce type de fichier est joint à un enregistrement observable.

    Vous pouvez modifier ces exemples de flux pour déclencher une soumission automatisée dans différentes conditions, catégories, conditions composées, etc.

    L’intégration sandbox se compose de deux flux système de base qui sont désactivés par défaut.
    • Soumettre un fichier lorsque la catégorie est Hameçonnage : ce flux soumet un fichier au bac à sable pour analyse de programme malveillant lorsque la catégorie d’incident de sécurité est définie comme Hameçonnage. Vous devez joindre un fichier à l’enregistrement observable sur l’incident de sécurité. Si vous utilisez la fonctionnalité User Reported Phishing (URP), toute pièce jointe d’e-mail est automatiquement analysée et ajoutée à l’enregistrement d’incident SIR en tant qu’enregistrement observable. Aucune autre action n’est requise pour automatiser la soumission.
    • Soumettre lorsque le type de fichier de l’observable est exe : ce flux soumet un fichier au bac à sable pour analyse de programme malveillant lorsque l’observable d’incident de sécurité est un exe. Comme pour le flux de catégorie d’hameçonnage, vous devez joindre un fichier à un enregistrement observable sur l’incident de sécurité. Vous pouvez le faire manuellement en téléchargeant le fichier ou automatiquement si une pièce jointe d’e-mail d’hameçonnage ou tout autre mécanisme à l’origine de l’incident est associé aux enregistrements observables.

    Lorsque les flux sont configurés et que les conditions de l’incident satisfont les paramètres, les soumissions de bac à sable se déclenchent automatiquement lorsque vous examinez l’incident de sécurité. Passez en revue la note de travail qui indique qu’une soumission a été initiée, qu’une balise s’affiche si elle est activée dans la configuration et qu’un enregistrement des résultats de soumission est en attente.

    L’intégration de bac à sable contient également plusieurs flux secondaires. Les flux secondaires sont des composants internes des options de soumission de l’intégration globales. Vous pouvez personnaliser et modifier les flux secondaires en fonction de vos critères de sécurité.

    Vous pouvez consulter les flux secondaires pour résoudre les problèmes liés aux soumissions de bac à sable. Un enregistrement d’exécution est créé chaque fois que vous appelez un flux secondaire. Cet enregistrement indique où une erreur particulière s’est produite dans le flux et vous permet de résoudre le problème.
    Figure 1. Intégration Sandbox : plusieurs workflows
    L’intégration de Sandbox contient plusieurs flux secondaires.
    Remarque :
    • Si vous choisissez de personnaliser les flux par défaut, vous devez vérifier que le flux secondaire Soumettre l’observable pour soumission automatisée est inclus dans votre flux pour déclencher les soumissions automatiques.
    • Vous pouvez personnaliser et définir vos extensions de fichier pour un exe. Créer une copie du flux Soumettre lorsque le type de fichier de l’observable est exe et apporter des changements à la copie. Le type de contenu et les extensions de fichier sont mappés dans le script SandboxUtils . Pour accéder aux includes de script, naviguez vers Définitions du système > Includes de script et recherchez SandboxUtils.
      Figure 2. Script SandboxUtils
      Accédez au script SandboxUtils et modifiez-le.

    Procédure

    1. Accédez à la Tout > Concepteur de flux > Concepteur > Flux.
    2. Filtrez les flux par type d’application .
      Par exemple, *crowd filtre les deux CrowdStrike Falcon X Sandbox flux.
      L’intégration Sandbox fournit deux flux par défaut.
    3. Sélectionnez un flux pour en afficher les détails.
      L’exemple ci-dessous montre la catégorie Soumettre le fichier lorsque la catégorie est flux d’hameçonnage.
      Activez le flux du système de base ou personnalisez votre flux.
    4. Cliquez sur Activer , puis sur OK lorsque le message de confirmation s’affiche.

    Que faire ensuite

    Après avoir configuré les flux de soumission automatisés, vous pouvez afficher les résultats de soumission du bac à sable pour analyser les menaces.