Playbook for Endpoint Detection

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Este playbook fornece etapas de correção sistemática para investigar alertas de malware acionados em um host ou endpoint (por exemplo, uma detecção de arquivo mal-intencionado).

    Quando os alertas do CrowdStrike são acionados em um host ou endpoint, você pode usar o playbook de detecção de endpoint no Flow Designer para obter orientação e ajudar a otimizar a investigação desses arquivos maliciosos.

    O fluxo de trabalho é criado com base em um playbook existente, que fornece uma abordagem consistente e eficiente para investigação de incidentes. Cada ponto de decisão no playbook foi convertido em uma tarefa orientada por resultado e o fluxo muda de direção com base no resultado dessas tarefas.

    Introdução ao playbook de detecção de endpoint

    1. Faça login como um usuário com as funções sn_si.user e flow_designer.
    2. Navegar até Tudo > Flow Designer e selecione o playbook de detecção de endpoint.
    3. (Opcional) Você pode criar uma cópia do fluxo do playbook de detecção de endpoint e fazer as modificações necessárias. Para criar uma cópia do fluxo do playbook, clique no ícone de menu Mais ações e selecione Copiar fluxo. Execute esta etapa somente se você planejar personalizar ou fazer mudanças específicas no fluxo.
      Figura 1. Playbook de detecção de endpoint
      Visão geral do playbook de detecção de endpoint
    4. Ative os playbooks.
      • Ative o fluxo principal para usar o playbook disponível no sistema de base.
      • Ative os fluxos copiados depois de fazer as mudanças necessárias.
    Condição do gatilho: este playbook é acionado e associado ao incidente de segurança quando as seguintes condições são atendidas:
    • Acategoria é Atividade de código malicioso.
    • A descrição resumida é CrowdStrike Detection Alerts.

    Condição do gatilho para o playbook de detecção de endpoint.