Erstellen Sie ein Fähigkeitsprofil für die CrowdStrike Falcon Insight -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie die Fähigkeiten CrowdStrike Falcon Insight aus, die das Profil ausführen soll.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Überlegen Sie, warum Sie ein Profil erstellen möchten, bevor Sie CrowdStrike Falcon Insight -Fähigkeiten hinzufügen. In der folgenden Tabelle sind die Fähigkeiten aufgelistet, die Sie einem Profil hinzufügen müssen, wenn das Profil bestimmte Abfragen oder Aktionen ausführen soll.

    Sie können ein einzelnes Profil erstellen, das Systemdetails abfragt, angemeldete Benutzer auflistet, laufende Services abruft, laufende Prozesse abruft, Netzwerkstatistiken abruft, den Host isoliert und den isolierten Host entfernt. Alternativ können Sie mehrere Profile mit jeweils einer eigenen Fähigkeit erstellen.
    Hinweis:
    Die Fähigkeiten „Host isolieren“, „Isolierung entfernen“ und „Datei abrufen“ können beim Erstellen eines Profils nicht mit anderen Fähigkeiten zusammengeführt werden.
    Tabelle : 1. Profiltypen und erforderliche CrowdStrike Falcon Insight-Fähigkeiten
    Profilzweck CrowdStrike-Fähigkeiten
    Erfasst Hostdetails und angemeldete Benutzer
    • Hostdetails abrufen
    • Angemeldete Anwender abrufen
    Rufen Sie die Netzwerkstatistiken, Prozesse und Services ab, die für einen Host ausgeführt werden
    • Netzwerkstatistiken abrufen
    • Laufende Prozesse abrufen
    • Laufende Services abrufen
    Isolieren Sie einen Host Host isolieren
    Entfernen Sie die Isolierung für einen Host Isolation entfernen
    Ruft eine Datei von einem Host-Endpunkt ab Datei abrufen

    Prozedur

    1. Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > CrowdStrike-Fähigkeitenprofile.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Feld Beschreibung
      Name Name für das neue Fähigkeitsprofil.

      Dieser Name hilft Ihnen, den Profiltyp zu identifizieren, und ist auch der Standardname für das Sicherheits-Tag, das diesem Profil zugeordnet ist.
      Aktiv Gibt an, ob das Profil aktiv ist oder nicht.

      Wenn das Profil aktiv ist, wird es automatisch ausgelöst, wenn ein Security Incident erstellt wird, der den Filterbedingungen entspricht, die Sie in der Konfiguration angegeben haben.
      Beschreibung Eindeutige Beschreibung für das Fähigkeitsprofil.
      Quelle Name des Servers. Sie können zuvor konfigurierte Server nur aus der Liste anzeigen.
      Reihenfolge

      Flow-Priorität. Der Wert für dieses Feld gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen.

      Der Flow mit der niedrigsten Nummer hat die höchste Priorität. Um die Reihenfolge des Vorgangs festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200, 300, 400.

      Standard: 100
      CrowdStrike Falcon Insight-Fähigkeiten Fähigkeiten des CrowdStrike Falcon Insight-Profils.

      Wählen Sie die Fähigkeiten, die Sie für dieses Profil benötigen, aus der Spalte Verfügbar in der Spalte Ausgewähltaus.

      Das folgende Beispiel zeigt ein vollständiges Formular für ein Profil mit der Fähigkeit Systemdetails abrufen.

      Falcon Insight-Profildetails
    4. Klicken Sie auf Next (Weiter).

    Nächste Maßnahme

    Jetzt können SieIhr Profil konfigurieren. Stellen Sie sicher, dass Sie die Konzepte zum Konfigurieren von Profilen und Auslöserbedingungen überprüft haben, bevor Sie das Profil konfigurieren.