사이팅 검색을 위한 프로파일 생성 및 구성
사이팅 검색을 CrowdStrike Falcon 인사이트 사용하여 조직의 네트워크 전반에서 감염된 컴퓨터를 찾고 보안 인시던트 응답 케이스를 해결합니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
개별 또는 여러 옵저버블을 선택하고 수동 사이팅 검색 CrowdStrike Falcon 인사이트 을 수행하여 시간 경과에 따른 위협의 확산을 확인합니다.
프로시저
-
양식의 필드에 내용을 입력합니다.
필드 설명 이름 사이팅 검색 프로파일의 이름입니다. 저장된 검색 여부 이 옵션을 선택하면 저장된 검색 구성이 생성됩니다. 관찰 검색 소스 사이팅 검색의 소스입니다. CrowdStrike Falcon Insight 관찰 검색을 소스로 선택합니다. 활성 추가 항목이 활성 상태인지 여부를 나타내는 옵션입니다. 옵저버블 유형 CrowdStrike Falcon Insight 통합은 다음 옵저버블 유형을 지원합니다. - 해시
- IP
- URL
사이팅 검색은 다음 옵저버블 유형에 대해 지원됩니다.- 도메인 이름
- IP 주소(V4)
- IP 주소(V6)
- MD5 해시
- SHA1 해시
- SHA256 해시
검색당 최대 옵저버블 검색 쿼리에서 볼 수 있는 최대 옵저버블 수입니다. 검색 기본 검색 문자열은 $(옵저버블)이지만 통합에서 CrowdStrike Falcon 인사이트 지원하는 매개변수를 지정하여 고유한 검색 쿼리를 정의할 수 있습니다.사이팅 검색 매개변수 지정된 로그 저장소에서 지원하는 논리 및 기타 연산자를 포함하는 보다 복잡한 쿼리를 정의하는 매개변수 페이지 하단의 관련 링크를 사용하여 사이팅 검색 매개변수를 정의한 후 테스트 쿼리를 생성할 수 있습니다.