Créer un profil d’aptitude pour l’intégration CrowdStrike Falcon Insight

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Créez un profil et sélectionnez les CrowdStrike Falcon Insight options que vous souhaitez que le profil exécute.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Réfléchissez aux raisons pour lesquelles vous souhaitez créer un profil avant de lui ajouter CrowdStrike Falcon Insight des options. Le tableau suivant répertorie les options que vous devez ajouter à un profil lorsque vous souhaitez que celui-ci effectue certaines requêtes ou actions.

    Vous pouvez créer un profil unique qui exécute des requêtes pour les détails du système, répertorie les utilisateurs connectés, extrait les services en cours d’exécution, extrait les processus en cours d’exécution, extrait les statistiques réseau, isole l’hôte et supprime l’hôte isolé. Vous pouvez également créer plusieurs profils, chacun ayant sa propre capacité.
    Remarque :
    Les options Isoler l’hôte, Supprimer l’isolement et Obtenir un fichier ne peuvent pas être fusionnées avec d’autres fonctionnalités lors de la création d’un profil.
    Tableau 1. Types de profils et options CrowdStrike Falcon Insight requises
    Objectif du profil Options de CrowdStrike
    Collecter les détails de l’hôte et les utilisateurs connectés
    • Obtenir les détails de l'hôte
    • Obtenir les utilisateurs connectés
    Extraire les statistiques réseau, les processus et les services en cours d’exécution pour un hôte
    • Obtenir les statistiques réseau
    • Obtenir les processus en cours d’exécution
    • Obtenir les services d'exécution
    Isoler un hôte Isoler l’hôte
    Supprimer l’isolement d’un hôte Supprimer l'isolement
    Obtenir un fichier à partir d’un point de terminaison hôte Obtenir un fichier

    Procédure

    1. Accédez à la Tout > Intégration de CrowdStrike Falcon Insight > Profils des aptitudes de CrowdStrike.
    2. Cliquez sur Nouveau.
    3. Sur le formulaire, renseignez les champs.
      Champ Description
      Nom Nom du nouveau profil d’aptitude.

      Ce nom vous permet d’identifier le type de profil et constitue également le nom par défaut de la balise de sécurité associée à ce profil.
      Actif Indique si le profil est actif ou non.

      Lorsque le profil est actif, il se déclenche automatiquement lorsqu’un incident de sécurité correspondant aux conditions de filtrage que vous avez spécifiées dans la configuration est créé.
      Description Description unique du profil d’aptitude.
      Source Nom du serveur. Vous ne pouvez afficher que les serveurs précédemment configurés à partir de la liste.
      Commande

      Priorité du flux. La valeur de ce champ indique l’ordre dans lequel les flux sont exécutés lorsque deux profils ou plus partagent des conditions de déclenchement.

      Le flux avec le numéro le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, 400.

      Par défaut : 100
      Options de CrowdStrike Falcon Insight Options du profil CrowdStrike Falcon Insight.

      Sélectionnez les options souhaitées pour ce profil dans la colonne Disponible à Sélectionné.

      L’exemple suivant montre un formulaire complet pour un profil avec la fonctionnalité Obtenir les détails du système.

      Détails du profil de Falcon Insight.
    4. Cliquez sur Suivant.

    Que faire ensuite

    Vous pouvez maintenantconfigurer votre profil. Assurez-vous d’avoir passé en revue les concepts de configuration des profils et des conditions de déclenchement avant de configurer le profil.