Automatizar CrowdStrike Envios da área restrita do Falcon usando o Flow Designer
Automatize seus envios de arquivo ou URL usando CrowdStrike Falcon X Sandbox e. Workflow Studio como parte do seu fluxo de trabalho de resposta a incidentes. A integração inclui modelos de fluxo que você pode usar para seus registros de incidentes de segurança.
Antes de Iniciar
- Verifique se você criou um Configuração de envio da área restrita e habilitaram uma configuração como Configuração padrão para envio automatizado . Quando o fluxo é acionado, o envio da área restrita ocorre na sua configuração padrão.
Por Que e Quando Desempenhar Esta Tarefa
Quando você ativa um fluxo de amostra, seus anexos de arquivo de phishing são enviados automaticamente se você definir os incidentes de segurança como phishing em seu fluxo de amostra. Como alternativa, você pode enviar todos os arquivos .exe quando este tipo de arquivo estiver anexado a um registro observável.
Você pode modificar esses fluxos de amostra para acionar um envio automatizado em diferentes condições, categorias, condições compostas e assim por diante.
A integração da sandbox consiste em dois fluxos de sistema base que são desativados por padrão.- Envie o arquivo quando a categoria for phishing : Este fluxo envia um arquivo para a área restrita para análise de malware quando a categoria de incidente de segurança é definida como phishing. Você deve anexar um arquivo ao registro do observável no incidente de segurança. Se você estiver usando a funcionalidade de phishing relatado pelo usuário (URP), qualquer anexo de e-mail será analisado automaticamente e adicionado ao registro de incidente de SIR como um registro observável. Nenhuma ação adicional é necessária para automatizar o envio.
- Enviar quando o tipo de arquivo do observável for exe : Este fluxo envia um arquivo para a área restrita para análise de malware quando o observável de incidente de segurança é um exe. Semelhante ao fluxo de categoria de phishing, um Você deve anexar um arquivo a um registro observável no incidente de segurança. Você pode fazer isso manualmente carregando o arquivo ou automaticamente se um anexo de e-mail de phishing, ou outro mecanismo que esteja criando o incidente, estiver associado aos registros do observável.
Quando os fluxos são configurados e as condições do incidente atendem aos parâmetros, os envios da área restrita são acionados automaticamente quando você revisa o incidente de segurança. Revise a anotação de trabalho que indica que um envio foi iniciado, um marcador aparece se habilitado na configuração e um registro de resultados de envio pendente.
A integração da sandbox também contém vários subfluxos. Os subfluxos são componentes internos dos recursos gerais de envio de integração. Você pode personalizar e editar os subfluxos para atender aos seus critérios de segurança.
- Se você optar por personalizar os fluxos padrão, verifique se o subfluxo Enviar observável para envio automatizado está incluído em seu fluxo para acionar envios automáticos.
- Você pode personalizar e definir suas extensões de arquivo para um exe. Crie uma cópia do fluxo Enviar quando o tipo de arquivo do observável for exe e faça mudanças na cópia. O tipo de conteúdo e as extensões de arquivo são mapeados no SandboxUtils script. Para acessar inclusões de script, navegue até Definições do sistema > inclusões de script E pesquise SandboxUtils.
Figura 2. SandboxUtils
Procedimento
-
Filtre os fluxos por Aplicação tipo.
Por exemplo, *Crowd filtra os dois CrowdStrike Falcon X Sandbox fluxos.
-
Selecione um fluxo para exibir os detalhes.
O exemplo abaixo mostra o arquivo de envio quando a categoria é fluxo de phishing.
O que Fazer Depois
Depois de configurar os fluxos de envio automatizados, você pode Exiba os resultados de envio da área restrita para analisar ameaças.