Automatisieren CrowdStrikeFalcon-Sandbox-Übermittlungen mit Flow Designer

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die CrowdStrike Falcon X SandboxDie Integration enthält Flow-Vorlagen, die mit erstellt wurden Workflow-StudioDie mit Security Incident-Datensätzen arbeiten.

    Vorbereitungen

    • Stellen Sie sicher, dass Sie einen erstellt haben Sandbox-Übermittlungskonfiguration Und haben eine Konfiguration als aktiviert Standardkonfiguration für automatisierte Übermittlung . Wenn der Flow ausgelöst wird, erfolgt die Sandbox-Übermittlung in Ihrer Standardkonfiguration.
    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Diese Flows sollen Ihnen in erster Linie den Einstieg erleichtern, wenn Sie Datei- oder URL-Übermittlungen als Teil Ihres Workflows für die Reaktion auf Incidents automatisieren möchten.

    Wenn Sie einen Beispiel-Flow aktivieren, werden Ihre Phishing-Dateianhänge automatisch übermittelt, wenn Sie die Security Incidents in Ihrem Beispiel-Flow als Phishing definieren. Alternativ können Sie alle .exe-Dateien übermitteln, wenn dieser Dateityp an einen Datensatz erkennbarer Elemente angehängt ist.

    Sie können diese Beispiel-Flows ändern, um eine automatisierte Übermittlung unter verschiedenen Bedingungen, Kategorien, zusammengesetzten Bedingungen usw. auszulösen.

    Die Sandbox-Integration besteht aus zwei Basissystem-Flows, die standardmäßig deaktiviert sind.
    • Datei senden, wenn die Kategorie Phishing ist : Dieser Flow übermittelt eine Datei zur Malware-Analyse an die Sandbox, wenn die Security Incident-Kategorie als Phishing definiert ist. Sie müssen eine Datei an den Datensatz des erkennbaren Elements für den Security Incident anhängen. Wenn Sie die URP-Funktionalität (User gemeldetes Phishing) verwenden, wird jeder E-Mail-Anhang automatisch analysiert und dem SIR-Incident-Datensatz als erkennbarer Datensatz hinzugefügt. Zum Automatisieren der Übermittlung ist keine weitere Aktion erforderlich.
    • Senden, wenn der Dateityp für das erkennbare Element „exe“ ist : Dieser Flow übermittelt eine Datei zur Malware-Analyse an die Sandbox, wenn das erkennbare Security Incident eine exe-Datei ist. Ähnlich wie beim Phishing-Kategorie-Flow müssen Sie eine Datei an einen Datensatz eines erkennbaren Elements für den Security Incident anhängen. Sie können dies manuell tun, indem Sie die Datei hochladen oder automatisch, wenn ein Phishing-E-Mail-Anhang oder ein anderer Mechanismus, der den Incident erstellt, den Datensätzen erkennbarer Elemente zugeordnet ist.

    Wenn die Flows konfiguriert sind und Incident-Bedingungen die Parameter erfüllen, werden die Sandbox-Übermittlungen automatisch ausgelöst, wenn Sie den Security Incident überprüfen. Überprüfen Sie die Arbeitsnotiz, die angibt, dass eine Übermittlung initiiert wurde, ein Tag angezeigt wird, wenn in der Konfiguration aktiviert, und einen Datensatz mit den Ergebnissen der ausstehenden Übermittlung.

    Die Sandbox-Integration enthält auch mehrere Subflows. Die Subflows sind interne Komponenten der allgemeinen Integrationsübermittlungsfunktionen. Sie können die Subflows an Ihre Sicherheitskriterien anpassen und bearbeiten.

    Sie können auf die Subflows verweisen, um Probleme mit Sandbox-Übermittlungen zu beheben. Jedes Mal, wenn Sie einen Subflow aufrufen, wird ein Ausführungsdatensatz erstellt. Dieser Datensatz gibt an, wo im Flow ein bestimmter Fehler aufgetreten ist, und ermöglicht es Ihnen, das Problem zu beheben.
    Abbildung : 1. Sandbox-Integration: Mehrere Workflows
    Die Sandbox-Integration enthält mehrere Subflows.
    Hinweis:
    • Wenn Sie die Standard-Flows anpassen möchten, sollten Sie sicherstellen, dass der Subflow „erkennbares Element für automatisierte Übermittlung übermitteln“ in Ihrem Flow enthalten ist, um automatische Übermittlungen auszulösen.
    • Sie können Ihre Dateierweiterungen für eine exe anpassen und definieren. Erstellen Sie eine Kopie des Flows Senden, wenn der Dateityp für das erkennbare Element „exe“ ist , Und nehmen Sie Änderungen an der Kopie vor. Der Inhaltstyp und die Dateierweiterungen werden in zugeordnet SandboxUtils Skript. Um auf Skripteinbindungen zuzugreifen, navigieren Sie zu Systemdefinitionen > Skripteinbindungen Und suchen Sie nach SandboxUtils.
      Abbildung : 2. SandboxUtils-Skript
      Greifen Sie auf das SandboxUtils-Skript zu, und ändern Sie es.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designer > Flowsan.
    2. Filtern Sie die Flows nach Anwendung Typ.
      Beispiel: *Crowd filtert die beiden CrowdStrike Falcon X SandboxFlows.
      Die Sandbox-Integration bietet zwei Standard-Flows.
    3. Wählen Sie einen Flow aus, um die Details anzuzeigen.
      Das folgende Beispiel zeigt den Flow „Datei senden, wenn die Kategorie „Phishing“ ist.
      Aktivieren Sie den Basissystem-Flow, oder passen Sie Ihren Flow an.
    4. Klicken Sie Auf Aktivieren Und klicken Sie dann auf OK Wenn die Bestätigungsnachricht angezeigt wird.

    Nächste Maßnahme

    Nachdem Sie automatisierte Übermittlungs-Flows konfiguriert haben, können Sie dies Zeigen Sie die Ergebnisse der Sandbox-Übermittlung an Dient zur Analyse von Bedrohungen.