Configure e acione ações adicionais no CrowdStrike Falcon Insight

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • A integração CrowdStrike Falcon Insight oferece suporte à execução de ações adicionais, como expressão regular (regex). A integração CrowdStrike Falcon Insight fornece 40 ações adicionais com o sistema básico.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Todos > Integração com CrowdStrike Falcon Insight > Ações adicionais do CrowdStrike.
    2. Clique em Novo para criar sua própria ação adicional ou selecione uma ação existente que vem com o sistema básico.
      Por exemplo, vamos criar uma nova ação adicional.
    3. No formulário, preencha os campos.
      Campo Descrição
      Nome do Comando Nome do comando para a ação adicional. Por exemplo, reg set.
      Nome base Nome base da ação adicional. Este campo é definido por padrão. Por exemplo, reg.
      Capacidade Nome da capacidade da ação adicional. Este campo é definido por padrão. Por exemplo, Executar ações adicionais no endpoint.
      Origem da integração A origem da ação adicional. Por exemplo, CrowdStrike Falcon Insight Integration.
      Ativo Opção para indicar se o adicional está ativo ou não.
      Tipo de Comando Tipo de comando para a ação adicional. Este campo é definido por padrão. Por exemplo, Script personalizado de RTR.
      Script
      • Tipo de SO: opção para selecionar o tipo de SO para o seu script. Selecione uma das seguintes propriedades:
        • Windows
        • MAC OS X
        • Linux
        • Nenhum(a)
      • Script: opção para inserir seu script se você selecionou um dos seguintes sistemas operacionais, exceto a opção Nenhum.
      Configuração
      • Exibirmarcador : opção para exibir o marcador da configuração. Você pode selecionar o marcador para os seguintes campos:
        • Capacidade - Iniciada. Por exemplo, reg set - Initiated.
        • Capacidade - Concluída. Por exemplo, reg set - Completed.
        • Capacidade - Falha. Por exemplo, reg set - Failed.
      • Requer aprovação: opção para selecionar um aprovador ou grupo que precisa aprovar a configuração.
      Figura 1. Ações adicionais do CrowdStrike Falcon Insight
      Ações adicionais do CrowdStrike Falcon Insight
    4. Clique em Enviar.
    5. Você também pode escolher entre as seguintes ações adicionais existentes.
      Existem 40 ações adicionais que vêm com o sistema de base, que você pode usar para executar configurações adicionais.
      Nota:
      Certifique-se de abrir a lista de ações adicionais do CrowdStrike e definir a ação adicional necessária como verdadeiro, caso contrário, a ação adicional não estará disponível no espaço.
      Figura 2. Lista de ações adicionais que vem com o sistema de base
      Lista de ações adicionais que vem com o sistema de base
    6. Navegar até Incidentes de segurança > Mostrar Todos os Incidentes.
    7. Selecione o incidente de segurança que você deseja revisar com a execução de ações adicionais no endpoint.
      1. Na seção de links relacionados, clique em Executar ações adicionais no endpoint.
      2. Procure e selecione o recurso necessário.
        Por exemplo, clique na capacidade do conjunto de registros.
      3. Selecione Incluir IC relacionado para executar as ações adicionais em todos os ICs relacionados do endpoint.
      4. Você pode definir a subchave para executar as ações adicionais no endpoint.
        Esta subchave pode ser uma chave HKLM/Software/nova.
    8. Para iniciar a execução de ações adicionais no endpoint, clique em Executar ação adicional.
    9. Exiba as atividades de automação da execução e valide-as.
    10. Valide o status da ação nas Ações adicionais nas listas relacionadas ao endpoint.