사이팅 검색을 위한 프로파일 생성 및 구성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 사이팅 검색을 CrowdStrike Falcon 인사이트 사용하여 조직의 네트워크에서 감염된 시스템을 찾고 보안 인시던트 응답 케이스를 처리합니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    개별 또는 여러 옵저버블을 선택하고 수동 사이팅 검색을 CrowdStrike Falcon 인사이트 수행하여 시간 경과에 따른 위협의 보급을 확인합니다.

    프로시저

    1. 다음으로 이동 모두 > CrowdStrike Falcon Insight 통합 > 사이팅 검색 프로파일레이블이 표시됩니다.
    2. 새로 만들기를 클릭합니다.
    3. 특정 CrowdStrike Falcon Insight 검색 역량을 검색할 서버를 결정하려면 이 프로필을 구성합니다.
    4. 양식에서 필드에 다음을 입력합니다.
      필드 설명
      이름 사이팅 검색 프로파일의 이름입니다.
      저장된 검색 여부 이 옵션을 선택하면 저장된 검색 구성이 생성됩니다.
      관찰 검색 소스 사이팅 검색의 소스입니다. CrowdStrike Falcon Insight 관찰 검색을 소스로 선택합니다.
      활성 추가가 활성 상태인지 여부를 나타내는 옵션입니다.
      옵저버블 유형 CrowdStrike Falcon Insight 통합은 다음과 같은 옵저버블 유형을 지원합니다.
      • 해시
      • IP
      • URL
      다음 옵저버블 유형에 대해 사이팅 검색이 지원됩니다.
      • 도메인 이름
      • IP 주소(V4)
      • IP 주소(V6)
      • MD5 해시
      • SHA1 해시
      • SHA256 해시
      검색당 최대 옵저버블 검색 쿼리에서 볼 수 있는 옵저버블의 최대 수입니다.
      검색 기본 검색 문자열은 $(observable)이지만 통합에서 CrowdStrike Falcon 인사이트 지원하는 매개변수를 지정하여 고유한 검색 쿼리를 정의할 수 있습니다.
      사이팅 검색 매개변수 지정된 로그 저장소에서 지원하는 논리 및 기타 연산자를 포함하는 보다 복잡한 쿼리를 정의하는 매개변수

      페이지 하단의 관련 링크를 사용하여 사이팅 검색 매개변수를 정의한 후 테스트 쿼리를 생성할 수 있습니다.

      사이팅 검색 구성

    5. 제출을 클릭합니다.
      구성이 완료되었으며 보안 인시던트에서 Now Platform 사이팅 검색을 호출할 수 있습니다.
    6. 구성을 확인하고 사이팅 검색을 실행하려면 다음 단계를 수행합니다.
      1. 보안 인시던트를 열고 보안 인시던트의 맨 아래로 스크롤한 다음 모든 관련 목록 표시를 클릭합니다.
      2. 실행 중인 프로세스 관련 목록에서 CI(구성 항목)를 하나 이상 선택하는 경우
        주:
        실행 중인 프로세스 관련 목록에서 CI에 대한 사이팅 검색을 실행하는 경우 프로세스 해시 사이팅 검색만 됩니다.
      3. 선택한 행에 대해 수행할 작업...(Actions on selected rows...) 드롭다운 목록을 클릭하고 CrowdStrike 사이팅 검색 실행을 선택합니다.
      4. 검색 옵션을 사용하여 필요한 사이팅 검색 프로파일을 조회합니다.
      5. 필요한 Sighting Search Profile(사이팅 검색 프로파일)을 선택하고 Submit(제출)을 클릭합니다.
      6. 연결된 옵저버블 관련 목록에서 하나 이상의 옵저버블을 선택하는 경우
      7. 선택한 행에 대한 작업...(Actions on selected rows...) 드롭다운 목록을 클릭하고 사이팅 검색 실행(Run Sightings Search)을 선택합니다.
      8. 시간 범위 팝업에서 임의의 값을 선택하고 검색을 클릭합니다.
      9. 검색이 완료되면 작업 메모 및 관련 목록에서 결과와 상세 정보를 확인합니다.
        사이팅 검색에 대한 작업 메모 검토.
      10. 사이팅 탭을 선택하여 사이팅 상세 정보를 봅니다.
      11. CI 옆의 미리 보기 아이콘을 클릭하여 CrowdStrike 관찰 상세 정보에 대한 자세한 정보를 보십시오.
      12. 사이팅 검색 상세 정보를 보려면 Sightings 검색 상세 정보를 클릭하고, 검색 결과에 대해서는 Sightings 검색 결과 탭을 클릭합니다.