Automatizar CrowdStrike envios do Falcon Sandbox usando o Flow Designer

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • A integração CrowdStrike Falcon X Sandbox inclui modelos de fluxo criados usando o Flow Designer que funcionam com registros de incidentes de segurança.

    Antes de Iniciar

    • Verifique se você criou uma configuração de envio Sandbox e habilitou uma configuração como a configuração padrão para envio automatizado. Quando o fluxo é acionado, o envio da área restrita ocorre em sua configuração padrão.
    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Esses fluxos foram projetados principalmente para iniciar quando você deseja automatizar envios de arquivo ou URL como parte do fluxo de trabalho de resposta do incidente.

    Ao ativar um fluxo de amostra, seus anexos de arquivo de phishing serão enviados automaticamente se você definir os incidentes de segurança como phishing em seu fluxo de amostra. Como alternativa, você pode enviar todos os arquivos .exe quando este tipo de arquivo estiver anexado a um registro observável.

    Você pode modificar esses fluxos de amostra para acionar um envio automatizado em diferentes condições, categorias, condições compostas e assim por diante.

    A integração da área restrita consiste em dois fluxos do sistema de base que são desativados por padrão.
    • Enviar arquivo quando a categoria for phishing: este fluxo envia um arquivo para a área restrita para análise de malware quando a categoria de incidente de segurança é definida como phishing. Você deve anexar um arquivo ao registro observável no incidente de segurança. Se você estiver usando a funcionalidade URP (User Reported Phishing), qualquer anexo de e-mail será analisado automaticamente e adicionado ao registro de incidente SIR como um registro observável. Nenhuma ação adicional é necessária para automatizar o envio.
    • Enviar quando o tipo de arquivo do observável for exe: este fluxo envia um arquivo para a área restrita para análise de malware quando o observável do incidente de segurança for um exe. Semelhante ao fluxo de categoria de phishing, você deve anexar um arquivo a um registro observável no incidente de segurança. Você pode fazer isso manualmente, carregando o arquivo, ou automaticamente se um anexo de e-mail de phishing ou outro mecanismo que esteja criando o incidente estiver associado aos registros observáveis.

    Quando os fluxos são configurados e as condições do incidente atendem aos parâmetros, os envios da área restrita são acionados automaticamente quando você revisa o incidente de segurança. Revise a anotação de trabalho que indica que um envio foi iniciado, um marcador aparece se habilitado na configuração e um registro de resultados de envio pendentes.

    A integração da área restrita também contém vários subfluxos. Os subfluxos são componentes internos dos recursos gerais de envio de integração. Você pode personalizar e editar os subfluxos para atender aos seus critérios de segurança.

    Você pode consultar os subfluxos para solucionar problemas com envios da área restrita. Um registro de execução é criado sempre que você invoca um subfluxo. Este registro indica onde ocorreu um erro específico no fluxo e permite que você corrija o problema.
    Figura 1. Sandbox Integration - Vários fluxos de trabalho
    A integração da área restrita contém vários subfluxos.
    Nota:
    • Se você optar por personalizar os fluxos padrão, verifique se o subfluxo Enviar observável para envio automatizado está incluído no fluxo para acionar envios automáticos.
    • Você pode personalizar e definir suas extensões de arquivo para um exe. Crie uma cópia do fluxo Enviar quando o tipo de arquivo do observável for exee faça mudanças na cópia. O tipo de conteúdo e as extensões de arquivo são mapeados no script SandboxUtils. Para acessar as inclusões de script, navegue até Definições do sistema > Inclusões de script e pesquise por SandboxUtils.
      Figura 2. Script SandboxUtils
      Acesse e modifique o script SandboxUtils.

    Procedimento

    1. Navegar até Todos > Flow Designer > Designer > Fluxos.
    2. Filtre os fluxos pelo tipo de aplicação.
      Por exemplo, *crowd filtra os dois fluxos CrowdStrike Falcon X Sandbox.
      A integração Sandbox fornece dois fluxos padrão.
    3. Selecione um fluxo para exibir os detalhes.
      O exemplo abaixo mostra o fluxo Enviar arquivo quando a categoria for phishing.
      Ative o fluxo do sistema de base ou personalize seu fluxo.
    4. Clique em Ativar e em OK quando a mensagem de confirmação for exibida.

    O que Fazer Depois

    Depois de configurar fluxos de envio automatizados, você pode Exibir os resultados de envio da área restrita para analisar quaisquer ameaças.