Criar e configurar um perfil para a pesquisa de detecções

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

2 min. de leitura

Use pesquisas de detecções para CrowdStrike Falcon Insight para localizar máquinas infectadas na rede da sua organização e para lidar com casos de resposta a incidentes de segurança.

Antes de Iniciar

Função necessária: sn_si.analyst

Por Que e Quando Desempenhar Esta Tarefa

Selecione observáveis individuais ou múltiplos e execute uma pesquisa de detecções manual em CrowdStrike Falcon Insight para determinar a predominância de uma ameaça ao longo do tempo.

Procedimento

Navegar até Todos > Integração com CrowdStrike Falcon Insight > Perfis de pesquisa de detecções.
Clique em Nova.
Configure este perfil para determinar em quais servidores pesquisar uma capacidade de pesquisa específica do CrowdStrike Falcon Insight.

No formulário, preencha os campos:


Campo	Descrição
Nome	Nome do perfil da Pesquisa de detecções.
Pesquisa salva	A configuração de pesquisa salva será criada se você selecionar esta opção.
Origem da pesquisa de detecções	A origem da pesquisa de detecções. Selecione a Pesquisa de detecções do CrowdStrike Falcon Insight como a origem.
Ativo	Opção para indicar se o adicional está ativo ou não.
Tipo de observável	A integração do CrowdStrike Falcon Insight é compatível com os seguintes tipos de observável: Hash IP URL A pesquisa de detecções é compatível com os seguintes tipos de observáveis: Nome do domínio Endereço IP (V4) Endereço IP (V6) Hash MD5 Hash SHA1 Hash SHA256
Máximo de observáveis por pesquisa	Número máximo de observáveis que você pode exibir em uma consulta de pesquisa.
Pesquisar	A cadeia de caracteres de pesquisa padrão é `$(observable)`, mas você pode definir sua própria consulta de pesquisa especificando parâmetros compatíveis com a integração CrowdStrike Falcon Insight.
Parâmetros da Pesquisa de detecções	Parâmetros para definir consultas mais complexas que incluem lógica e outros operadores compatíveis com o armazenamento de log especificado Você pode usar os Links relacionados na parte inferior da página para gerar uma consulta de teste depois de definir os Parâmetros de pesquisa de detecções.

Clique em Enviar.
A configuração está concluída e você pode invocar a pesquisa de detecções a partir do incidente de segurança Now Platform.
Para verificar a configuração e executar uma pesquisa de detecções, execute as seguintes etapas:
1. Abra um incidente de segurança, role até a parte inferior do incidente de segurança e clique em Mostrar todas as listas relacionadas.
2. Se você selecionar um ou mais itens de configuração (IC) nas listas relacionadas a Processos em execução.
  
  Nota:
  Se você executar uma pesquisa de detecções para um IC da lista relacionada Processos em execução, será somente uma pesquisa de detecções de hash de processo.
3. Clique na lista suspensa Ações nas linhas selecionadas... e selecione Executar Pesquisa de detecções do CrowdStrike.
4. Pesquise o perfil de pesquisa de detecções necessário usando a opção de pesquisa.
5. Selecione o perfil de pesquisa de detecções necessário e clique em Enviar.
6. Se você selecionar um ou mais observáveis nas listas relacionadas a observáveis associados.
7. Clique na lista suspensa Ações nas linhas selecionadas... e selecione Executar pesquisa de detecções.
8. No pop-up do intervalo de tempo, selecione qualquer valor aleatório e clique em Pesquisar.
9. Ao concluir a pesquisa, valide os resultados e detalhes nas anotações de trabalho e nas listas relacionadas.
10. Selecione a guia Detecções para exibir os detalhes da detecção.
11. Clique no ícone Visualizar ao lado do IC para exibir mais informações sobre os detalhes de detecções do CrowdStrike.
12. Clique em Detalhes da pesquisa de detecções para exibir os detalhes da pesquisa de detecções e clique na guia Resultadosda pesquisa de detecções para obter os resultados da pesquisa.