フローデザイナーを使用した CrowdStrike Falcon Sandbox 送信の自動化
インシデント応答ワークフローの一部として CrowdStrike Falcon X Sandbox 統合と ワークフロースタジオ を使用して、ファイルまたは URL の送信を自動化します。統合には、セキュリティインシデントレコードに使用できるフローテンプレートが含まれています。
始める前に
- サンドボックスの送信構成を作成し、[自動送信のデフォルト設定] として 1 つの構成が有効になっていることを確認します。このフローがトリガーされると、デフォルト構成でサンドボックス送信が発生します。
このタスクについて
サンプルフローでフィッシングとしてセキュリティインシデントを定義すると、サンプルフローをアクティブ化したときに、フィッシングファイル添付ファイルが自動的に送信されます。または、.exe ファイルタイプが観測事象レコードにアタッチされている場合は、このファイルタイプすべてを送信できます。
これらのサンプルフローを変更して、さまざまな条件、カテゴリ、複合条件などで自動送信をトリガーできます。
サンドボックス統合は、デフォルトでは無効になっている 2 つのベースシステムフローで構成されています。- [カテゴリがフィッシングの場合にファイルを送信]:このフローは、セキュリティインシデントカテゴリがフィッシングとして定義されている場合に、マルウェア分析のためにファイルをサンドボックスに送信します。セキュリティインシデントの観測事象レコードにファイルをアタッチする必要があります。ユーザーから報告されたフィッシング (URP) 機能を使用している場合、メールの添付ファイルは自動的に解析され、観測事象レコードとして SIR インシデントレコードに追加されます。送信を自動化するための追加のアクションは必要ありません。
- [観測事象のファイルタイプが exe の場合に送信]:このフローは、セキュリティインシデント観測事象が exe の場合に、マルウェア分析のためにファイルをサンドボックスに送信します。フィッシングカテゴリフローと同様に、セキュリティインシデントの観測事象レコードにファイルをアタッチする必要があります。これは、ファイルをアップロードして手動で行うことも、フィッシングメールの添付ファイル、またはインシデントを作成するその他のメカニズムが観測事象レコードに関連付けられている場合は自動的に行うこともできます。
フローが構成され、インシデント条件がパラメーターを満たすと、セキュリティインシデントをレビューするときにサンドボックスの送信が自動的にトリガーされます。送信が開始されたことを示す作業メモを確認します。構成で有効になっている場合はタグが表示されます。送信処理待ちの結果レコードを確認します。
サンドボックス統合には、複数のサブフローも含まれています。サブフローは、統合送信機能全体の内部コンポーネントです。セキュリティ基準に合わせてサブフローをカスタマイズおよび編集できます。
サブフローを参照して、サンドボックス送信に関する問題のトラブルシューティングを行うことができます。サブフローを呼び出すたびに実行レコードが作成されます。このレコードは、フロー内で特定のエラーが発生した場所を示すため、問題を修正できます。 図 : 1. サンドボックス統合 - 複数のワークフロー
注:
- デフォルトのフローをカスタマイズする場合は、自動送信をトリガーするために [自動送信の観測事象を送信] サブフローがフローに含まれていることを確認する必要があります。
- exe に代わるファイル拡張子をカスタマイズして定義できます。[観測事象のファイルタイプが .exe の場合に送信] フローのコピーを作成し、そのコピーを変更します。コンテンツタイプとファイル拡張子は SandboxUtils スクリプトでマッピングされます。スクリプトインクルードにアクセスするには、[システム定義] > [スクリプトインクルード] に移動し、SandboxUtils を検索します。
図 : 2. SandboxUtils スクリプト
手順
-
[アプリケーション] タイプでフローをフィルタリングします。
たとえば、*crowd は 2 つの CrowdStrike Falcon X Sandbox フローをフィルタリングします。
-
詳細を表示するフローを選択します。
次の例は、[カテゴリがフィッシングの場合にファイルを送信] フローを示しています。
次のタスク
自動送信フローを構成した後は、サンドボックスの送信結果を表示して脅威を分析できます。