Configure e acione ações adicionais em CrowdStrike Falcon Insight

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • . CrowdStrike Falcon Insighta integração oferece suporte à execução de ações adicionais, como expressão regular (regex). . CrowdStrike Falcon Insighta integração fornece 40 ações adicionais com o sistema base.

    Antes de Iniciar

    Função necessária: sn_si.analista

    Procedimento

    1. Navegar até Tudo > Integração com CrowdStrike Falcon Insight > Ações adicionais do CrowdStrike.
    2. Clique em Novo para criar sua própria ação adicional ou selecionar uma ação existente que vem com o sistema de base.
      Por exemplo, vamos criar uma nova ação adicional.
    3. No formulário, preencha os campos.
      Campo Descrição
      Nome do Comando Nome do comando para a ação adicional. Por exemplo, reg set.
      Nome base Nome de base da ação adicional. Este campo é definido por padrão. Por exemplo, reg.
      Capacidade Nome da capacidade da ação adicional. Este campo é definido por padrão. Por exemplo, Executar ações adicionais no endpoint.
      Origem da integração A origem da ação adicional. Por exemplo, Integração do CrowdStrike Falcon Insight.
      Ativo Opção para indicar se o adicional está ativo ou não.
      Tipo de Comando Tipo de comando para a ação adicional. Este campo é definido por padrão. Por exemplo, Script personalizado de RTR.
      Script
      • Tipo de SO : Opção para selecionar o tipo de SO para o script. Selecione uma das seguintes propriedades:
        • Windows
        • MAC OS X
        • Linux
        • Nenhum(a)
      • Script : Opção para inserir o script se você selecionou um dos seguintes sistemas operacionais, exceto a opção Nenhum.
      Configuração
      • Marcador de exibição : Opção para exibir o marcador da configuração. Você pode selecionar o marcador para os seguintes campos:
        • Capacidade - Iniciada. Por exemplo, conjunto de registro - Iniciado.
        • Capacidade - Concluído. Por exemplo, conjunto de registro - Concluído.
        • Capacidade - Falha. Por exemplo, Conjunto de registro - Falha.
      • Aprovação necessária : Opção para selecionar um aprovador ou grupo que precisa aprovar a configuração.
      Figura 1. Ações adicionais do CrowdStrike Falcon Insight
      Ações adicionais do CrowdStrike Falcon Insight
    4. Clique em Enviar.
    5. Você também pode escolher entre as seguintes ações adicionais existentes.
      Há 40 ações adicionais que vêm com o sistema base, que você pode usar para executar configurações adicionais.
      Nota:
      Certifique-se de abrir a lista Ações adicionais do CrowdStrike e definir a ação adicional necessária como verdadeiro , caso contrário, a ação adicional não estará disponível no espaço.
      Figura 2. Lista de ações adicionais que vêm com o sistema de base
      Lista de ações adicionais que vêm com o sistema de base
    6. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    7. Selecione o incidente de segurança que você deseja revisar com a execução de ações adicionais no endpoint.
      1. Na seção Links relacionados, clique em Execute ações adicionais no endpoint.
      2. Procure e selecione a capacidade necessária.
        Por exemplo, clique em conjunto de registros capacidade.
      3. Selecione Incluir IC relacionado Para executar as ações adicionais em todos os ICs relacionados do endpoint.
      4. Você pode definir Subchave Para executar as ações adicionais no endpoint.
        Esta subchave pode ser uma chave HKLM/Software/NEW.
    8. Para iniciar a execução de ações adicionais no endpoint, clique em Executar ação adicional .
    9. Exiba as atividades de automação da execução e valide-as.
    10. Valide o status da ação nas listas relacionadas Ações adicionais no endpoint.