통합에는 CrowdStrike Falcon X 샌드박스 보안 인시던트 기록을 사용하여 워크플로우 스튜디오 생성된 플로우 템플릿이 포함됩니다.
시작하기 전에
샌드박스 제출 구성을 만들고 하나의 구성을 자동화된 제출의 기본 구성으로 활성화했는지 확인합니다. 플로우가 트리거되면 샌드박스 제출이 기본 구성에서 발생합니다.
필요한 역할: sn_si.admin
이 태스크 정보
이러한 플로우는 주로 인시던트 응답 워크플로우의 일부로 파일 또는 URL 제출을 자동화하려는 경우에 시작할 수 있도록 설계되었습니다.
샘플 플로우를 활성화하면 샘플 플로우에서 보안 인시던트를 피싱으로 정의하면 피싱 첨부 파일이 자동으로 제출됩니다. 또는 이 파일 형식이 옵저버블 기록에 첨부된 경우 모든 .exe 파일을 제출할 수 있습니다.
이러한 샘플 플로우를 수정하여 다양한 조건, 범주, 복합 조건 등에서 자동 제출을 트리거할 수 있습니다.
샌드박스 통합은 기본적으로 비활성화되어 있는 두 가지 기본 시스템 플로우로 구성됩니다.
범주가 피싱인 경우 파일 제출: 이 플로우는 보안 인시던트 범주가 피싱으로 정의될 때 맬웨어 분석을 위해 샌드박스에 파일을 제출합니다. 보안 인시던트의 옵저버블 기록에 파일을 첨부해야 합니다. URP(사용자 보고 피싱) 기능을 사용하는 경우 이메일 첨부 파일이 자동으로 구문 분석되어 SIR 인시던트 기록에 옵저버블 기록으로 추가됩니다. 제출을 자동화하기 위해 추가 작업이 필요하지 않습니다.
옵저버블의 파일 형식이 exe인 경우 제출: 이 플로우는 보안 인시던트 옵저버블이 exe인 경우 맬웨어 분석을 위해 샌드박스에 파일을 제출합니다. 피싱 범주 플로우와 마찬가지로 보안 인시던트의 옵저버블 기록에 파일을 첨부해야 합니다. 이 작업은 파일을 업로드하여 수동으로 수행하거나 피싱 이메일 첨부 파일 또는 인시던트를 생성하는 기타 메커니즘이 옵저버블 기록과 연결된 경우 자동으로 수행할 수 있습니다.
플로우가 구성되고 인시던트 조건이 매개변수를 만족하면 보안 인시던트를 검토할 때 샌드박스 제출이 자동으로 트리거됩니다. 제출이 시작되었고, 구성에서 활성화된 경우 태그가 표시되며, 제출 결과 기록이 보류 중임을 나타내는 작업 메모를 검토합니다.
샌드박스 통합에는 여러 하위 플로우도 포함되어 있습니다. 하위 플로우는 전체 통합 제출 기능의 내부 구성요소입니다. 보안 기준에 맞게 하위 플로우를 사용자 지정하고 편집할 수 있습니다.
하위 플로우를 참조하여 샌드박스 제출과 관련된 문제를 해결할 수 있습니다. 실행 기록은 하위 플로우를 호출할 때마다 생성됩니다. 이 기록은 플로우에서 특정 오류가 발생한 위치를 나타내며 문제를 해결할 수 있도록 합니다. 그림 1. 샌드박스 통합 - 여러 워크플로우
주:
기본 플로우를 사용자 지정하도록 선택하는 경우 자동 제출을 트리거하기 위해 자동화된 제출을 위한 옵저버블 제출 하위 플로우가 플로우에 포함되어 있는지 확인해야 합니다.
exe에 대한 파일 확장자를 사용자 지정하고 정의할 수 있습니다. 옵저버블의 파일 형식이 exe인 경우 플로우 제출의 사본을 작성하고 사본을 변경합니다. 콘텐츠 유형 및 파일 확장명은 SandboxUtils 스크립트에 매핑됩니다. 스크립트 포함에 액세스하려면 시스템 정의 > 스크립트 포함 으로 이동하여 SandboxUtils를 검색합니다.그림 2. SandboxUtils 스크립트
프로시저
다음으로 이동 모두 > 플로우 디자이너 > 디자이너 > 플로우.
애플리케이션 유형별로 플로우를 필터링합니다.
예를 들어, *crowd는 두 CrowdStrike Falcon X 샌드박스 흐름을 필터링합니다.
