Automatizar CrowdStrike Envios da área restrita do Falcon usando o Flow Designer
. CrowdStrike Falcon X Sandbox a integração inclui modelos de fluxo criados usando Workflow Studio que funcionam com registros de incidentes de segurança.
Antes de Iniciar
- Verifique se você criou um Configuração de envio da área restrita e habilitaram uma configuração como Configuração padrão para envio automatizado . Quando o fluxo é acionado, o envio da área restrita ocorre em sua configuração padrão.
Por Que e Quando Desempenhar Esta Tarefa
Quando você ativa um fluxo de amostra, seus anexos de arquivo de phishing são enviados automaticamente se você definir os incidentes de segurança como phishing em seu fluxo de amostra. Como alternativa, você pode enviar todos os arquivos .exe quando este tipo de arquivo estiver anexado a um registro observável.
Você pode modificar esses fluxos de amostra para acionar um envio automatizado em diferentes condições, categorias, condições compostas e assim por diante.
A integração da área restrita consiste em dois fluxos do sistema de base que são desativados por padrão.- Enviar arquivo quando a categoria for phishing : Este fluxo envia um arquivo para a área restrita para análise de malware quando a categoria de incidente de segurança é definida como phishing. Você deve anexar um arquivo ao registro observável no incidente de segurança. Se você estiver usando a funcionalidade de Phishing relatado pelo usuário (URP), qualquer anexo de e-mail será analisado automaticamente e adicionado ao registro de incidente SIR como um registro observável. Nenhuma ação adicional é necessária para automatizar o envio.
- Enviar quando o tipo de arquivo do observável for exe : Este fluxo envia um arquivo para a área restrita para análise de malware quando o observável de incidente de segurança é um exe. Semelhante ao fluxo da categoria de phishing, um você deve anexar um arquivo a um registro observável no incidente de segurança. Você pode fazer isso manualmente carregando o arquivo ou automaticamente se um anexo de e-mail de phishing, ou outro mecanismo que esteja criando o incidente, estiver associado aos registros observáveis.
Quando os fluxos são configurados e as condições do incidente atendem aos parâmetros, os envios da área restrita são acionados automaticamente quando você revisa o incidente de segurança. Revise a anotação de trabalho que indica que um envio foi iniciado, um marcador aparece se habilitado na configuração e um registro de resultados de envio pendente.
A integração da área restrita também contém vários subfluxos. Os subfluxos são componentes internos dos recursos gerais de envio de integração. Você pode personalizar e editar os subfluxos para atender aos seus critérios de segurança.
- Se você optar por personalizar os fluxos padrão, verifique se o subfluxo Enviar observável para envio automatizado está incluído em seu fluxo para acionar envios automáticos.
- Você pode personalizar e definir suas extensões de arquivo para um exe. Crie uma cópia do fluxo Enviar quando o tipo de arquivo do observável for exe e faça mudanças na cópia. O tipo de conteúdo e as extensões de arquivo são mapeados no SandboxUtils script. Para acessar inclusões de script, navegue até Definições do sistema > Inclusões de script E pesquise SandboxUtils.
Figura 2. Script SandboxUtils
Procedimento
-
Filtre os fluxos pelo Aplicação tipo.
Por exemplo, *crowd filtra os dois CrowdStrike Falcon X Sandbox fluxos.
-
Selecione um fluxo para exibir os detalhes. O exemplo abaixo mostra o Enviar arquivo quando a categoria é fluxo de phishing.
O que Fazer Depois
Depois de configurar os fluxos de envio automatizados, você pode Exiba os resultados de envio da área restrita para analisar quaisquer ameaças.