Konfigurieren Sie Profile und Security Incidents für die CrowdStrike Falcon Insight -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Konfigurieren Sie Ihre Profileinstellungen so, dass das Profil nur unter den von Ihnen festgelegten Bedingungen ausgelöst wird.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Definieren Sie die Bedingungen, die automatisch die Fähigkeiten CrowdStrike Falcon Insight auslösen, die Sie für das Profil ausgewählt haben. Sie können auch ein alternatives Eingabefeld für das Feld Configuration Item (CI) auswählen. In diesem alternativen Feld können Sie Filterbedingungen festlegen, sodass nur die Security Incidents, die sich auf Ihr auslösendes Event beziehen, das Profil automatisch auslösen.
    Hinweis:
    Navigieren Sie erst zur Seite „Profilkonfiguration“, nachdem Sie die Profildetails eingegeben haben. Weitere Informationen finden Sie unter Fähigkeitsprofile für die CrowdStrike Falcon Insight-Integration erstellen.

    Prozedur

    1. Überprüfen und konfigurieren Sie auf der Seite „Profilkonfiguration“ die folgenden Abschnitte:

      Incident-Kriterien definieren (Automatisierung)

      Definieren Sie die Bedingungen für Security Incidents, die automatisch die CrowdStrike Falcon Insight -Fähigkeiten für das Profil auslösen. Wenn Sie die Option Incident-Kriterien definieren nicht auswählen, werden die Fähigkeiten manuell über den Security Incident aufgerufen.

      1. Wählen Sie die Option Incident-Kriterien definieren aus.
      2. Um die Bedingungen zu definieren, wählen Sie im Abschnitt „Filterbedingungen“ ein Feld und die entsprechende Anforderung aus.Automatisierungsbedingung.
      3. Geben Sie im Feld Neue Kriterien die neuen Kriterien ein, und definieren Sie dann die ODER- oder UND- Bedingung.Automatisierungsbedingung und Hinzufügen eines neuen Kriteriums.

      Genehmigungen

      Um bei Verwendung der CrowdStrike Falcon Insight-Fähigkeiten eine zusätzliche Steuerungsebene bereitzustellen, wählen Sie die Option Genehmigung erforderlich aus. Die Genehmigungsoption in der Profilkonfiguration wird nur für die Funktionen Host isolieren und Hostisolierung entfernen angezeigt.

      Hinweis:
      Die Genehmigungsberechtigung wird dem Benutzer mit der Rolle sn_si.admin zugewiesen. Sie können diese Genehmigungsberechtigung auch einer Genehmigungsgruppe neu zuweisen. Weitere Informationen finden Sie unter Genehmigungsgruppen einrichten.
      Bieten Sie mithilfe der Genehmigungsoption zusätzliche Kontrolle.

      Zusätzliche Konfiguration

      Wählen Sie ein alternatives Feld im Security Incident aus, um übereinstimmende CI-Daten anzuzeigen, die Sie beim Scannen Ihrer Assets finden. Standardmäßig verwendet die Integration das Feld Configuration Item (CI) im Security Incident.

      1. Wählen Sie die Option Alternatives Feld definieren aus.
      2. Wählen Sie im Feld „Alternatives CI-Auslöserfeld“ ein Eingabefeld aus.
        Hinweis:
        Weitere Informationen finden Sie unter Funktionsweise von Auslöserbedingungen mit einem Konfigurationselement für ein Profil.

      Tags

      Um Security Incidents mit den Tags CrowdStrike Falcon Insight Fähigkeiten – Initiiert, Fähigkeiten – Abgeschlossen und Fähigkeiten – Fehlgeschlagen zu kennzeichnen, wählen Sie die Option Tags anzeigen aus. Standardmäßig ist diese Option für alle Profile deaktiviert.
      Hinweis:
      Diese Tags werden mit dem Basissystem bereitgestellt. Sie können bei Bedarf eigene Tags erstellen.

      Zeigen Sie Tags im Security Incident an

    2. Klicken Sie auf Erledigt.