Automatisieren Sie CrowdStrike Falcon Sandbox-Übermittlungen mit Flow Designer

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Die CrowdStrike Falcon X Sandbox -Integration umfasst Flow-Vorlagen, die mit Flow Designer erstellt wurden und mit Security Incident-Datensätzen arbeiten.

    Vorbereitungen

    • Vergewissern Sie sich, dass Sie eine Sandbox-Übermittlungskonfiguration erstellt und eine Konfiguration als Standardkonfiguration für die automatisierte Übermittlungaktiviert haben. Wenn der Flow ausgelöst wird, erfolgt die Sandbox-Übermittlung in Ihrer Standardkonfiguration.
    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Diese Flows sollen Ihnen in erster Linie den Einstieg erleichtern, wenn Sie Datei- oder URL-Übermittlungen als Teil Ihres Incident-Antwort-Workflows automatisieren möchten.

    Wenn Sie einen Beispiel-Flow aktivieren, werden Ihre Phishing-Dateianhänge automatisch übermittelt, wenn Sie die Security Incidents in Ihrem Beispiel-Flow als Phishing definieren. Alternativ können Sie alle .exe-Dateien übermitteln, wenn dieser Dateityp an einen Datensatz für erkennbare Elemente angehängt ist.

    Sie können diese Beispiel-Flows ändern, um eine automatisierte Übermittlung unter verschiedenen Bedingungen, Kategorien, zusammengesetzten Bedingungen usw. auszulösen.

    Die Sandbox-Integration besteht aus zwei Basissystem-Flows, die standardmäßig deaktiviert sind.
    • Datei übermitteln, wenn Kategorie Phishing ist: Dieser Flow sendet eine Datei zur Malware-Analyse an die Sandbox, wenn die Security Incident-Kategorie als Phishing definiert ist. Sie müssen eine Datei an den erkennbaren Datensatz des Security Incident anhängen. Wenn Sie die URP-Funktion (User Reported Phishing) verwenden, wird jeder E-Mail-Anhang automatisch analysiert und dem SIR-Incident-Datensatz als Datensatz für erkennbare Elemente hinzugefügt. Es ist keine weitere Aktion erforderlich, um die Übermittlung zu automatisieren.
    • Absenden, wenn Dateityp für erkennbares Element exe ist: Dieser Flow sendet eine Datei zur Malware-Analyse an die Sandbox, wenn das erkennbare Element des Security Incident eine exe-Datei ist. Ähnlich wie beim Phishing-Kategorie-Flow müssen Sie eine Datei an einen erkennbaren Datensatz im Security Incident anhängen. Sie können dies manuell tun, indem Sie die Datei hochladen, oder automatisch, wenn ein Phishing-E-Mail-Anhang oder ein anderer Mechanismus, der den Incident erstellt, den erkennbaren Datensätzen zugeordnet ist.

    Wenn die Flows konfiguriert sind und die Incident-Bedingungen die Parameter erfüllen, werden die Sandbox-Übermittlungen automatisch ausgelöst, wenn Sie den Security Incident überprüfen. Überprüfen Sie die Arbeitsnotiz, die angibt, dass eine Übermittlung initiiert wurde, ein Tag angezeigt wird, falls in der Konfiguration aktiviert, und einen Datensatz mit ausstehenden Übermittlungsergebnissen enthält.

    Die Sandbox-Integration enthält auch mehrere Subflows. Die Subflows sind interne Komponenten der allgemeinen Integrationsübermittlungsfunktionen. Sie können die Subflows an Ihre Sicherheitskriterien anpassen und bearbeiten.

    Sie können auf die Subflows verweisen, um Probleme mit Sandbox-Übermittlungen zu beheben. Ein Ausführungsdatensatz wird jedes Mal erstellt, wenn Sie einen Subflow aufrufen. Dieser Datensatz gibt an, wo im Flow ein bestimmter Fehler aufgetreten ist, und ermöglicht Ihnen, das Problem zu beheben.
    Abbildung : 1. Sandbox-Integration: Mehrere Workflows
    Die Sandbox-Integration enthält mehrere Subflows.
    Hinweis:
    • Wenn Sie die Standard-Flows anpassen möchten, sollten Sie überprüfen, ob der Subflow „Erkennbares Element für automatisierte Übermittlung übermitteln“ in Ihrem Flow enthalten ist, um automatische Übermittlungen auszulösen.
    • Sie können Ihre Dateierweiterungen für eine EXE-Datei anpassen und definieren. Erstellen Sie eine Kopie des Flows Absenden, wenn der Dateityp für das erkennbare Element exe ist, und nehmen Sie Änderungen an der Kopie vor. Inhaltstyp und Dateierweiterungen werden im SandboxUtils- Skript zugeordnet. Um auf Skripteinbindungen zuzugreifen, navigieren Sie zu Systemdefinitionen > Skripteinbindungen, und suchen Sie nach SandboxUtils.
      Abbildung : 2. SandboxUtils-Skript
      Greifen Sie auf das SandboxUtils-Skript zu, und ändern Sie es.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designer > Flows.
    2. Filtern Sie die Flows nach dem Anwendungstyp.
      Zum Beispiel filtert *Crowd die beiden Flows CrowdStrike Falcon X Sandbox.
      Die Sandbox-Integration bietet zwei Standard-Flows.
    3. Wählen Sie einen Flow aus, um die Details anzuzeigen.
      Das folgende Beispiel zeigt den Flow Datei senden, wenn die Kategorie „Phishing“ ist.
      Aktivieren Sie den Basissystem-Flow, oder passen Sie Ihren Flow an.
    4. Klicken Sie auf Aktivieren und dann auf OK, wenn die Bestätigungsmeldung angezeigt wird.

    Nächste Maßnahme

    Nachdem Sie automatisierte Übermittlungs-Flows konfiguriert haben, können Sie die Sandbox-Übermittlungsergebnisse anzeigen, um etwaige Bedrohungen zu analysieren.