엔드포인트 탐지를 위한 플레이북
이 플레이북은 호스트 또는 엔드포인트에서 트리거된 맬웨어 경고(예: 악성 파일 검색)를 조사하기 위한 체계적인 수정 단계를 제공합니다.
호스트 또는 엔드포인트에서 CrowdStrike 경보가 트리거되면 Flow Designer의 엔드포인트 탐지 플레이북을 지침으로 사용하고 이러한 악성 파일의 조사를 최적화할 수 있습니다.
워크플로우는 기존 Playbook을 기반으로 생성되므로 인시던트 조사를 위한 일관되고 효율적인 접근 방식을 제공합니다. Playbook의 각 결정 지점이 결과 중심 작업으로 변환되었으며 이러한 작업의 결과에 따라 플로우의 방향이 변경됩니다.
엔드포인트 탐지 플레이북 시작하기
- sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
- 다음으로 이동 을 클릭하고 엔드포인트 탐지 플레이북을 선택합니다.
- (선택 사항) 엔드포인트 탐지 Playbook 플로우의 사본을 생성하고 필요한 수정을 수행할 수 있습니다. Playbook 플로우의 사본을 생성하려면
아이콘을 클릭하고 플로우 복사를 선택합니다. 플로우를 사용자 지정하거나 특정 변경 사항을 적용하려는 경우에만 이 단계를 수행합니다.그림 1. 엔드포인트 탐지 Playbook - Playbook을 활성화합니다.
- 기본 시스템에서 사용할 수 있는 Playbook을 사용하도록 메인 플로우를 활성화합니다.
- 필요한 변경 사항을 적용한 후 복사한 플로우를 활성화합니다.
트리거 조건: 이 Playbook은 다음 조건이 충족될 때 트리거되고 보안 인시던트와 연결됩니다.
- 범주 는 악성 코드 활동입니다.
- 간단한 설명 은 CrowdStrike 탐지 경고입니다.