インジケーターを作成
CrowdStrike Falcon Insight と直接同期する脅威インジケーターを作成および管理し、セキュリティ環境全体で一貫性のある最新の脅威インテリジェンスを実現します。
始める前に
必要なロール:sn_si.analyst
手順
- 移動先 セキュリティインシデント > すべてのインシデントを表示.
- CrowdStrike Falcon Insightでインジケーターを作成する観測事象を含むセキュリティインシデントを選択します。
- [ 関連する観測事象 ] 関連リストを選択します。
- 観測事象を選択します。
- 選択した行の [アクション ] から、[ インジケーターの作成] を選択します CrowdStrike。
-
フォームのフィールドに入力します。
フィールド 説明 選択した観測事象 (Selected Observables) 影響を受ける観測事象。このアクションを使用して、複数の観測事象のインジケーターを作成できます。 注:サポートされている観測事象タイプがマッピングされていない場合、インジケーターは CrowdStrike に作成されません。サポートされている観測事象タイプは次のとおりです。- ドメイン
- MD5
- SHA-256
- IPv4
- IPv6
ソース インジケーターの作成に使用される統合プロファイル構成。 説明 インジケーターの目的。 プラットフォーム このインジケーターが適用されるプラットフォーム。次のオプションが含まれます。 - Windows
- Mac
- Linux
- Android
- iOS
アクション 組織内でインジケーターが検出されたときに実行するアクション。次のオプションが含まれます。 - 検知
- 防止 (ハッシュのみ)
- 防止 (非表示の UI) (ハッシュのみ)
- 許可 (ハッシュのみ)
- アクションなし
モバイルアクション サポートされているモバイルプラットフォームに適用されるアクション。次のオプションが含まれます。 - 検知
- 防止 (ハッシュのみ)
- 許可 (ハッシュのみ)
- アクションなし
重大度 インジケーターに割り当てられた重大度。次のオプションが含まれます。 - 低
- 中
- 高
- 重大
有効期限 インジケーターが自動的に期限切れになる日時 タグ インジケーターを分類/グループ化するためのカスタムラベル。 グローバルに適用 すべてのホストにインジケーターを適用するオプション。 選択を解除すると、選択したホストグループにのみ構成が適用されます。
ホストグループ この構成を受け取る CrowdStrike ホストグループを指定します。 - [インジケーターを作成] を選択します
- アクティビティと UI メッセージを検証します。
- [ CrowdStrike インジケーター ] タブを選択して結果を表示します。