Flow Designer를 사용하여 Falcon Sandbox 제출 자동화 CrowdStrike
릴리스 버전: Australia
업데이트 날짜 2025년 07월 31일
소요 시간: 3분
통합 워크플로우 스튜디오 을 사용하고 CrowdStrike Falcon X 샌드박스 인시던트 응답 워크플로우의 일부로 파일 또는 URL 제출을 자동화합니다. 통합에는 보안 인시던트 기록에 사용할 수 있는 플로우 템플릿이 포함됩니다.
시작하기 전에
샌드박스 제출 구성을 생성했으며 하나의 구성을 자동화된 제출에 대한 기본 구성으로 사용하도록 설정했는지 확인합니다. 플로우가 트리거되면 기본 구성에서 샌드박스 제출이 발생합니다.
필요한 역할: sn_si.admin
이 태스크 정보
이러한 플로우는 주로 인시던트 응답 워크플로우의 일부로 파일 또는 URL 제출을 자동화하려는 경우에 시작할 수 있도록 설계되었습니다.
샘플 플로우를 활성화할 때 샘플 플로우에서 보안 인시던트를 피싱으로 정의하면 피싱 파일 첨부 파일이 자동으로 제출됩니다. 또는 이 파일 유형이 옵저버블 기록에 첨부된 경우 모든 .exe 파일을 제출할 수 있습니다.
이러한 샘플 플로우를 수정하여 다양한 조건, 범주, 합성 조건 등에서 자동화된 제출을 트리거할 수 있습니다.
샌드박스 통합은 기본적으로 비활성화되는 두 개의 기본 시스템 플로우로 구성됩니다.
범주가 피싱일 때 파일 제출: 이 플로우는 보안 인시던트 범주가 피싱으로 정의될 때 맬웨어 분석을 위해 파일을 샌드박스에 제출합니다. 보안 인시던트의 옵저버블 기록에 파일을 첨부해야 합니다. URP(사용자 보고 피싱) 기능을 사용하는 경우 모든 이메일 첨부 파일이 자동으로 구문 분석되어 SIR 인시던트 기록에 옵저버블 기록으로 추가됩니다. 제출을 자동화하기 위해 추가 작업이 필요하지 않습니다.
옵저버블에 대한 파일 유형이 exe일 때 제출: 이 플로우는 보안 인시던트 옵저버블이 exe일 때 맬웨어 분석을 위해 파일을 샌드박스에 제출합니다. 피싱 범주 플로우와 마찬가지로 보안 인시던트에 대한 옵저버블 기록에 파일을 첨부해야 합니다. 파일을 업로드하여 수동으로 이 작업을 수행하거나, 피싱 이메일 첨부 파일 또는 인시던트를 생성하는 기타 메커니즘이 옵저버블 기록과 연결된 경우 자동으로 이 작업을 수행할 수 있습니다.
플로우가 구성되고 인시던트 조건이 매개변수를 만족하면 보안 인시던트를 검토할 때 샌드박스 제출이 자동으로 트리거됩니다. 제출이 시작되었고, 구성에서 태그가 활성화된 경우 태그가 나타나고, 보류 중인 제출 결과 기록이 있음을 나타내는 작업 메모를 검토합니다.
샌드박스 통합에는 여러 하위 플로우도 포함되어 있습니다. 하위 플로우는 전체 통합 제출 기능의 내부 구성요소입니다. 보안 기준에 맞게 하위 플로우를 사용자 지정하고 편집할 수 있습니다.
하위 플로우를 참조하여 샌드박스 제출 문제를 해결할 수 있습니다. 하위 플로우를 호출할 때마다 실행 기록이 생성됩니다. 이 기록은 플로우에서 특정 오류가 발생한 위치를 나타내며 문제를 해결할 수 있도록 해줍니다. 그림 1. 샌드박스 통합 - 다중 워크플로우
주:
기본 플로우를 사용자 지정하도록 선택하는 경우 자동 제출을 트리거하려면 자동화된 제출을 위한 옵저버블 제출 하위 플로우가 플로우에 포함되어 있는지 확인해야 합니다.
exe의 파일 확장명을 사용자 지정하고 정의할 수 있습니다. 플로우의 사본 생성 옵저버블에 대한 파일 유형이 exe일 때 제출하고 복사본을 변경합니다. 콘텐츠 유형 및 파일 확장명은 SandboxUtils 스크립트에서 매핑됩니다. 스크립트 포함에 액세스하려면 스크립트 포함> 시스템 정의 로 이동하여 SandboxUtils를 검색합니다.그림 2. SandboxUtils 스크립트
프로시저
다음으로 이동 모두 > 플로우 디자이너 > 디자이너 > 플로우.
애플리케이션 유형별로 플로우를 필터링합니다.
예를 들어, *crowd는 두 CrowdStrike Falcon X 샌드박스 플로우를 필터링합니다.
