サイティング検索のプロファイルの作成と構成

リリースバージョン: Yokohama

更新日 2025年01月30日

所要時間：3分

CrowdStrike Falcon Insight のサイティング検索を使用して、組織のネットワーク全体で感染したマシンを特定し、セキュリティインシデント応答ケースに対処します。

始める前に

必要なロール：sn_si.analyst

このタスクについて

個々のまたは複数の観測事象を選択し、CrowdStrike Falcon Insight で手動サイティング検索を実行することで、脅威のまん延を時系列で見極めることができます。

手順

次のように移動する。 All (すべて) > CrowdStrike Falcon Insight 統合 > サイティング検索プロファイル.
[New] をクリックします。
このプロファイルを構成して、特定の CrowdStrike Falcon Insight 検索機能を検索するサーバーを決定します。

フォームの各フィールドに入力します。


フィールド	説明
名前	サイティング検索プロファイルの名前。
保存された検索	このオプションを選択すると、保存された検索構成が作成されます。
サイティング検索ソース	サイティング検索のソース。ソースとして [CrowdStrike Falcon Insight サイティング検索] を選択します。
アクティブ	追加アクションがアクティブかどうかを示すオプション。
観測可能タイプ	CrowdStrike Falcon Insight 統合では、次の観測可能タイプがサポートされています。ハッシュ IP URL サイティング検索は、次の観測可能タイプでサポートされています。ドメイン名 IP アドレス (V4) IP アドレス (V6) MD5 ハッシュ SHA1 ハッシュ SHA256 ハッシュ
検索あたりの最大観測事象の数	検索クエリから表示できる観測事象の最大数。
検索	デフォルトの検索文字列は `$(observable)` ですが、CrowdStrike Falcon Insight 統合でサポートされているパラメーターを指定して、独自の検索クエリを定義できます。
サイティング検索パラメーター	指定されたログストアでサポートされているロジックやその他の演算子を含むより複雑なクエリを定義するパラメーターサイティング検索パラメーターを定義した後、このページの下部にある [関連リンク] を使用してテストクエリを生成できます。

[Submit] をクリックします。
構成が完了し、Now Platform セキュリティインシデントからサイティング検索を呼び出すことができます。
構成を確認し、サイティング検索を実行するには、次の手順を実行します。
1. セキュリティインシデントを開き、セキュリティインシデントの下部までスクロールして、[すべての関連リストを表示] をクリックします。
2. [実行中のプロセス] 関連リストから 1 つ以上の構成アイテム (CI) を選択した場合。
  
  注:
  [実行中のプロセス] 関連リストから CI のサイティング検索を実行する場合。プロセスハッシュのサイティング検索のみになります。
3. [選択した行のアクション...] ドロップダウンリストから、[CrowdStrike サイティング検索を実行 (Run CrowdStrike Sightings Search)] を選択します。
4. 検索オプションを使用して、必要なサイティング検索プロファイルを検索します。
5. 必要なサイティング検索プロファイルを選択し、[送信] をクリックします。
6. [関連する観測事象 (Associated Observables)] 関連リストから 1 つ以上の観測事象を選択した場合。
7. [選択した行のアクション...] ドロップダウンリストから、[サイティング検索を実行] を選択します。
8. 期間ポップアップで、任意のランダム値を選択して [検索] をクリックします。
9. 検索が完了したら、作業メモと関連リストで結果と詳細を検証します。
10. [サイティング] タブを選択して、サイティングの詳細を表示します。
11. CI の横にある [プレビュー] アイコンをクリックして、CrowdStrike サイティングの詳細に関する追加情報を表示します。
12. [サイティング検索の詳細] タブをクリックしてサイティング検索の詳細を確認し、[サイティング検索結果] タブをクリックして検索結果を確認します。