Configurar perfis e incidentes de segurança para a integração CrowdStrike Falcon Insight

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Defina as configurações de perfil para que o perfil seja acionado somente nas condições que você definir.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Defina as condições que acionam automaticamente os recursos CrowdStrike Falcon Insight que você selecionou para o perfil. Você também pode selecionar um campo de entrada alternativo para o campo Item de Configuração (IC). Neste campo alternativo, você pode definir condições de filtragem para que somente os incidentes de segurança relacionados ao evento de acionamento acionem automaticamente o perfil.
    Nota:
    Navegue até a página Configuração de perfil somente depois de inserir os detalhes do perfil. Para obter mais informações, consulte Criar um perfil de capacidade para a integração do CrowdStrike Falcon Insight.

    Procedimento

    1. Na página Configuração de perfil, revise e configure as seguintes seções:

      Definir critérios de incidente (automação)

      Defina as condições de incidente de segurança que acionam automaticamente os recursos CrowdStrike Falcon Insight para o perfil. Se você não selecionar a opção Definir critérios de incidente, os recursos serão invocados manualmente a partir do incidente de segurança.

      1. Selecione a opção Definir critérios de incidente.
      2. Para definir as condições, na seção Condições do filtro, selecione um campo e seu requisito correspondente.Acondição de automação.
      3. No campo Novos critérios, insira os novos critérios e defina a condição OU ou E. Condição de automação e adição de novos critérios.

      Aprovações

      Para fornecer um nível extra de controle ao usar os recursos do CrowdStrike Falcon Insight, selecione a opção Requer aprovação. A opção de aprovações na configuração do perfil aparece somente para os recursos Isolar Host e Remover Isolamento de Host.

      Nota:
      A autoridade de aprovação é atribuída ao usuário com a função sn_si.admin. Você também pode reatribuir esta autoridade de aprovação a um grupo de aprovação. Para obter mais informações, consulte configuração de um grupo de aprovação.
      Forneça um nível adicional de controle usando a opção de aprovação.

      Configuração adicional

      Selecione um campo alternativo no incidente de segurança para exibir todos os dados de IC correspondentes que você encontrar ao verificar seus ativos. Por padrão, a integração usa o campo Item de configuração (IC) no incidente de segurança.

      1. Selecione a opção Definir campo alternativo.
      2. No campo Gatilho de IC alternativo, selecione um campo de entrada.
        Nota:
        Para obter mais informações, consulte Entenda como as condições do gatilho funcionam com um item de configuração para um perfil.

      Marcadores

      Para marcar os incidentes de segurança com os marcadores CrowdStrike Falcon Insight Capacidades-Iniciadas, Capacidades-concluídas e Capacidades-falhas, selecione a opção Exibir marcadores. Por padrão, esta opção está desabilitada para todos os perfis.
      Nota:
      Esses marcadores são fornecidos com o sistema de base. Você pode criar seus próprios marcadores, se necessário.

      Exibir marcadores no incidente de segurança

    2. Clique em Concluído.