Wie Auslöserbedingungen mit einem Konfigurationselement für ein Profil funktionieren

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • Sie können die Profileinstellungen so konfigurieren, dass ein Profil nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt ist, oder Sie können ein Profil einrichten, um nach bestimmten Feldwerten für einen Security Incident zu suchen.

    Nachdem Sie ein Profil erstellt und ausgewählt haben CrowdStrike Falcon InsightFähigkeiten, auf denen das Profil ausgeführt werden soll. Sie können Auslöserbedingungen festlegen, damit Ihr Profil automatisch ausgeführt wird, wenn die Standardfeldwerte mit übereinstimmen Now PlatformSecurity Incident.

    Standardmäßig verwendet die Integration Konfigurationselement (CI) Feld in einem Security Incident. Dieses Feld wird verwendet, um Ihre Asset-IDs mit den Informationen abzugleichen, die in gespeichert sind Now PlatformDatenbank. Wenn ein SIR Security Incident durch ein Sicherheitsereignis erstellt und ein Profil aktiviert wird, werden Ihre Assets nach einem übereinstimmenden Wert für den Hostnamen oder eine IP-Adresse gescannt.

    Wenn ein übereinstimmender Wert in der Datenbank gefunden wird, werden diese Daten aus erfasst CrowdStrike Falcon InsightKonsole und wird in abgerufen Now PlatformInstanz, in der sie in den zugehörigen Listen eines Security Incidents angezeigt wird.

    Das folgende Beispiel zeigt ein Konfigurationselement-Feld, das mit einem Hostnamen für einen SIR Security Incident ausgefüllt ist.Konfigurationselementfeld, das mit einem Hostnamen ausgefüllt ist.

    Wenn Konfigurationselement Das Feld (CI) ist nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt, die der Datenbank entsprechen. Sie können ein anderes Feld im Security Incident auswählen, um alle übereinstimmenden CI-Daten anzuzeigen, die Sie beim Scannen Ihrer Assets finden.

    Wenn Sie das Profil-Setup konfigurieren, können Sie eine Alternative auswählen CI-Auslöser Feld für die Endpunktidentifizierung, um sicherzustellen, dass die CI-Daten von CrowdStrike Falcon InsightDie Suche wird für den zugehörigen Security Incident ausgefüllt. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Wenn das Feld „CI“ bei der Erstellung des Incidents für den zugehörigen Security Incident nicht ausgefüllt ist, wählen Sie das Feld „Alternatives CI“ aus, um sicherzustellen, dass Ihre Profile ausgelöst werden.

    Das folgende Beispiel zeigt ein alternatives Feld, das mit einem Hostnamen für einen SIR Security Incident ausgefüllt ist. Das alternative Feld ist Beschreibung Feld.Alternatives Feld, das als Auslöser anstelle des CI-Felds verwendet wird.