Konfigurieren und lösen Sie zusätzliche Aktionen in aus CrowdStrike Falcon Insight

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Die CrowdStrike Falcon Insight -Integration unterstützt die Ausführung zusätzlicher Aktionen wie reguläre Ausdrücke (reguläre Ausdrücke). Die CrowdStrike Falcon Insight -Integration bietet 40 zusätzliche Aktionen mit dem Basissystem.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > CrowdStrike: zusätzliche Aktionen.
    2. Klicken Sie auf Neu, um eine eigene zusätzliche Aktion zu erstellen, oder wählen Sie eine vorhandene Aktion aus, die im Basissystem enthalten ist.
      Erstellen wir beispielsweise eine neue zusätzliche Aktion.
    3. Füllen Sie die Felder im Formular aus.
      Feld Beschreibung
      Befehlsname Befehlsname für die zusätzliche Aktion. Beispiel: reg set.
      Basisname Basisname für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: reg.
      Fähigkeit Fähigkeitsname für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: Zusätzliche Aktionen für Endpunkt ausführen.
      Integrationsquelle Die Quelle für die zusätzliche Aktion. Beispiel: CrowdStrike Falcon Insight-Integration.
      Aktiv Option, um anzugeben, ob der Zusatz aktiv ist oder nicht.
      Befehlstyp Befehlstyp für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: Benutzerdefiniertes RTR-Skript.
      Skript
      • BS-Typ: Option zur Auswahl des BS-Typs für Ihr Skript. Wählen Sie eine der folgenden Optionen aus:
        • Windows
        • Mac OS X
        • Linux
        • Keine
      • Skript: Option zur Eingabe Ihres Skripts, wenn Sie eines der folgenden Betriebssysteme ausgewählt haben, mit Ausnahme der Option Keine.
      Konfiguration
      • Taganzeigen: Option zum Anzeigen des Tags für die Konfiguration. Sie können das Tag für die folgenden Felder auswählen:
        • Fähigkeit: Initiiert. Beispiel: reg set – Initiiert.
        • Fähigkeit – Abgeschlossen. Beispiel: reg set – Abgeschlossen.
        • Fähigkeit – Fehlgeschlagen. Beispiel: reg set – Fehlgeschlagen.
      • Genehmigungerforderlich: Option zum Auswählen eines Genehmigers oder einer Gruppe, die die Konfiguration genehmigen muss.
      Abbildung : 1. CrowdStrike Falcon Insight – zusätzliche Aktionen
      CrowdStrike Falcon Insight – zusätzliche Aktionen
    4. Klicken Sie auf Absenden.
    5. Sie können auch aus den folgenden vorhandenen zusätzlichen Aktionen auswählen.
      Das Basissystem enthält 40 zusätzliche Aktionen, mit denen Sie zusätzliche Konfigurationen durchführen können.
      Hinweis:
      Stellen Sie sicher, dass Sie die Liste „Zusätzliche CrowdStrike-Aktionen“ öffnen und die erforderliche zusätzliche Aktion auf truefestlegen, andernfalls ist die zusätzliche Aktion nicht im Arbeitsbereich verfügbar.
      Abbildung : 2. Liste zusätzlicher Aktionen, die mit dem Basissystem bereitgestellt werden
      Liste zusätzlicher Aktionen, die mit dem Basissystem bereitgestellt werden
    6. Navigieren zu Security Incidents > Alle Incidents anzeigen.
    7. Wählen Sie den Security Incident aus, den Sie überprüfen möchten, und führen Sie zusätzliche Aktionen für den Endpunkt aus.
      1. Klicken Sie im Abschnitt „Zugehörige Links“ auf Zusätzliche Aktionen für Endpunkt ausführen.
      2. Durchsuchen Sie die erforderliche Fähigkeit, und wählen Sie sie aus.
        Klicken Sie beispielsweise auf die Fähigkeit reg set.
      3. Wählen Sie Zugehöriges CI einschließen aus, um die zusätzlichen Aktionen für alle zugehörigen CIs des Endpunkts auszuführen.
      4. Sie können den Unterschlüssel für die Ausführung der zusätzlichen Aktionen auf dem Endpunkt definieren.
        Dieser Unterschlüssel kann ein HKLM/Software/neuer Schlüssel sein.
    8. Um die zusätzlichen Aktionen für den Endpunkt zu initiieren, klicken Sie auf Zusätzliche Aktionausführen.
    9. Zeigen Sie die Automatisierungsaktivitäten der Ausführung an, und validieren Sie sie.
    10. Validieren Sie den Status der Aktion in den zugehörigen Listen „Zusätzliche Aktionen für Endpunkt“.