Funktionsweise von Auslöserbedingungen mit einem Konfigurationselement für ein Profil

Washington DC Security Management

Release

washingtondc

ft:locale

de-DE

ft:publication_title

Washington DC Security Management

ft:clusterId

security

bundleId

security

workflow

Technology

Funktionsweise von Auslöserbedingungen mit einem Konfigurationselement für ein Profil

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

1 Minute Lesedauer

Sie können die Profileinstellungen so konfigurieren, dass ein Profil nur ausgeführt wird, wenn bestimmte Bedingungen erfüllt sind, oder Sie können ein Profil einrichten, um nach bestimmten Feldwerten für einen Security Incident zu suchen.

Nachdem Sie ein Profil erstellt und die CrowdStrike Falcon Insight -Fähigkeiten ausgewählt haben, für die das Profil ausgeführt werden soll, können Sie Auslöserbedingungen festlegen, sodass Ihr Profil automatisch ausgeführt wird, wenn die Standardfeldwerte mit dem Security Incident Now Platform übereinstimmen.

Standardmäßig verwendet die Integration das Feld Configuration Item (CI) für einen Security Incident. Dieses Feld wird verwendet, um Ihre Asset-IDs mit den Informationen abzugleichen, die in der Datenbank Now Platform gespeichert sind. Wenn ein SIR-Security Incident durch ein Sicherheitsereignis erstellt wird und ein Profil aktiviert ist, werden Ihre Assets nach einem übereinstimmenden Wert für den Hostnamen oder eine IP-Adresse gescannt.

Wenn in der Datenbank ein übereinstimmender Wert gefunden wird, werden diese Daten in der Konsole CrowdStrike Falcon Insight gesammelt und in Ihre Instanz Now Platform abgerufen, wo sie in den zugehörigen Listen eines Security Incident angezeigt werden.

Das folgende Beispiel zeigt ein Konfigurationselement-Feld, das mit einem Hostnamen in einem SIR-Security Incident ausgefüllt wird. Konfigurationselementfeld, das mit einem Hostnamen ausgefüllt wird.

Wenn das Feld Konfigurationselement (CI) nicht mit einem Hostnamen oder einer IP-Adresse gefüllt ist, die der Datenbank entspricht, können Sie ein anderes Feld im Security Incident auswählen, um übereinstimmende CI-Daten anzuzeigen, die Sie beim Scannen Ihrer Assets finden.

Wenn Sie das Profil-Setup konfigurieren, können Sie ein alternatives CI-Auslöserfeld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass die CI-Daten aus der Suche CrowdStrike Falcon Insight für den zugeordneten Security Incident ausgefüllt werden. Sie können ein beliebiges Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich benutzerdefinierter Felder, die Sie erstellen. Wenn das CI-Feld beim Erstellen des zugeordneten Security Incident nicht ausgefüllt wird, wählen Sie das alternative CI-Feld aus, um sicherzustellen, dass Ihre Profile ausgelöst werden.

Das folgende Beispiel zeigt ein alternatives Feld, das mit einem Hostnamen in einem SIR-Security Incident ausgefüllt wird. Das alternative Feld ist das Feld Beschreibung. Alternatives Feld, das anstelle des CI-Felds als Auslöser verwendet wird.