Erstellen und konfigurieren Sie ein Profil für die Sichtungssuche
Sichtungssuchen für verwenden CrowdStrike Falcon InsightUm infizierte Computer im Netzwerk Ihrer Organisation zu finden und Fälle zur Reaktion auf Security Incidents zu behandeln.
Vorbereitungen
Erforderliche Rolle: sn_si.Analyst
Warum und wann dieser Vorgang ausgeführt wird
Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Sichtungssuche in durch CrowdStrike Falcon InsightUm die Verbreitung einer Bedrohung im Zeitverlauf zu bestimmen.
Prozedur
- Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > Sichtungssuchprofilean.
- Klicken Sie auf Neu.
- Konfigurieren Sie dieses Profil, um zu bestimmen, welche Server nach einer bestimmten Suchfunktion für CrowdStrike Falcon Insight gesucht werden sollen.
-
Füllen Sie im Formular die Felder aus:
Feld Beschreibung Name Name für das Sichtungssuchprofil. Ist gespeicherte Suche Die gespeicherte Suchkonfiguration wird erstellt, wenn Sie diese Option auswählen. Sichtungssuchquelle Die Quelle für die Sichtungssuche. Wählen Sie aus CrowdStrike-Falkeneinblick-Sichtungssuche Als Quelle. Aktiv Option, um anzugeben, ob das zusätzliche aktiv ist oder nicht. Erkennbarer Typ Die CrowdStrike Falcon Insight-Integration unterstützt die folgenden Typen erkennbarer Elemente: - Hash
- IP
- URL
Sichtungssuche wird für die folgenden erkennbaren Elementtypen unterstützt:- Domänenname
- IP-Adresse (v4)
- IP-Adresse (V6)
- MD5-Hash
- SHA1-Hash
- SHA256-Hash
Maximale erkennbare Elemente pro Suche Maximale Anzahl erkennbarer Elemente, die Sie in einer Suchabfrage anzeigen können. Suchen Die Standardsuchzeichenfolge ist $(erkennbares Element), Sie können jedoch Ihre eigene Suchabfrage definieren, indem Sie Parameter angeben, die von unterstützt werden CrowdStrike Falcon InsightIntegration.Sichtungssuchparameter Parameter zum Definieren komplexerer Abfragen, die Logik und andere Operatoren enthalten, die vom angegebenen Protokollspeicher unterstützt werden Sie können die zugehörigen Links unten auf der Seite verwenden, um eine Testabfrage zu generieren, nachdem Sie Sichtungssuchparameter definiert haben.
-
Klicken Sie auf Absenden.
Die Konfiguration ist abgeschlossen, und Sie können die Sichtungssuche über aufrufen Now PlatformSecurity Incident.
-
Führen Sie die folgenden Schritte aus, um die Konfiguration zu überprüfen und eine Sichtungssuche auszuführen:
- Öffnen Sie einen Security Incident, scrollen Sie zum unteren Rand des Security Incidents, und klicken Sie auf Alle zugehörigen Listen anzeigen .
-
Wenn Sie ein oder mehrere Konfigurationselemente (CI) aus auswählen Laufende Prozesse Zugehörige Listen.
Hinweis:Wenn Sie eine Sichtungssuche für ein CI aus der zugehörigen Liste „laufende Prozesse“ ausführen, ist es nur eine Prozess-Hash-Sichtungssuche.
- Klicken Sie auf Aktionen für ausgewählte Zeilen... Dropdown-Liste, und wählen Sie aus Führen Sie die CrowdStrike-Sichtungssuche aus .
- Suchen Sie mithilfe der Suchoption nach dem erforderlichen Sichtungssuchprofil.
- Wählen Sie das erforderliche Sichtungssuchprofil aus, und klicken Sie auf Übermitteln .
- Wenn Sie ein oder mehrere erkennbare Elemente aus auswählen Zugeordnete Erkennbare Elemente Zugehörige Listen.
- Klicken Sie auf Aktionen für ausgewählte Zeilen... Dropdown-Liste, und wählen Sie aus Sichtungssuche Ausführen .
- Wählen Sie im Popup-Fenster „Zeitrahmen“ einen beliebigen zufälligen Wert aus, und klicken Sie auf Suchen .
-
Validieren Sie nach Abschluss der Suche die Ergebnisse und Details in den Arbeitsnotizen und zugehörigen Listen.
- Wählen Sie aus Sichtungen Registerkarte zum Anzeigen der Sichtungsdetails.
- Klicken Sie auf Vorschau Symbol neben dem CI, um weitere Informationen zu CrowdStrike-Sichtungsdetails anzuzeigen.
- Klicken Sie auf Sichtungssuchdetails Um die Details der Sichtungssuche anzuzeigen, und klicken Sie auf Sichtungssuchergebnisse Registerkarte für Suchergebnisse.