Criar um perfil de capacidade para a integração CrowdStrike Falcon Insight

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Crie um perfil e selecione os recursos CrowdStrike Falcon Insight que você deseja que o perfil execute.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Considere por que você deseja criar um perfil antes de adicionar recursos CrowdStrike Falcon Insight a ele. A tabela a seguir lista os recursos que você deve adicionar a um perfil quando quiser que o perfil execute determinadas consultas ou ações.

    Você pode criar um único perfil que executa consultas para obter detalhes do sistema, lista usuários conectados, busca serviços em execução, busca processos em execução, busca estatísticas de rede, isola o host e remove o host isolado. Como alternativa, você pode criar vários perfis, cada um com seu próprio recurso.
    Nota:
    As capacidades Isolar host, remover isolamento e obter arquivo não podem ser mescladas com nenhuma outra capacidade ao criar um perfil.
    Tabela 1. Tipos de perfil e capacidades necessárias do CrowdStrike Falcon Insight
    Finalidade do perfil Recursos do CrowdStrike
    Reunir detalhes do host e usuários conectados
    • Obter detalhes do host
    • Obter usuários conectados
    Buscar as estatísticas de rede, processos e serviços em execução para um host
    • Obter Estatísticas de Rede
    • Obter processos em execução
    • Obter serviços em execução
    Isolar um host Isolar Host
    Remover isolamento de um host Remover isolamento
    Obter um arquivo de um endpoint de host Obter arquivo

    Procedimento

    1. Navegar até Todos > Integração com CrowdStrike Falcon Insight > Perfis de capacidade do CrowdStrike.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Campo Descrição
      Nome Nome do novo perfil de recurso.

      Este nome ajuda a identificar o tipo de perfil e também é o nome padrão do marcador de segurança associado a este perfil.
      Ativo Indica se o perfil está ativo ou não.

      Quando o perfil está ativo, ele é acionado automaticamente quando um incidente de segurança é criado que corresponde às condições de filtragem que você especificou na configuração.
      Descrição Descrição exclusiva do perfil de recurso.
      Origem Nome do servidor. Você só pode exibir os servidores configurados anteriormente na lista.
      Ordem

      Prioridade de fluxo. O valor deste campo indica a ordem em que os fluxos são executados quando dois ou mais perfis compartilham condições de gatilho.

      O fluxo com o número mais baixo tem a prioridade mais alta. Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300, 400.

      Padrão: 100
      Capacidades do CrowdStrike Falcon Insight Capacidades do perfil do CrowdStrike Falcon Insight.

      Selecione os recursos desejados para este perfil na coluna Disponível até Selecionado.

      O exemplo a seguir mostra um formulário completo para um perfil com o recurso Obter detalhes do sistema.

      Detalhes do perfil do Falcon Insight.
    4. Clique em Avançar.

    O que Fazer Depois

    Agora você podeconfigurar seu perfil. Certifique-se de ter revisado os conceitos de configuração de perfis e condições do gatilho antes de configurar o perfil.