Configurer et déclencher des actions supplémentaires dans CrowdStrike Falcon Insight

  • Rversion finale: Australia
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • L’intégration CrowdStrike Falcon Insight prend en charge l’exécution d’actions supplémentaires telles que l’expression régulière (regex). L’intégration CrowdStrike Falcon Insight fournit 40 actions supplémentaires avec le système de base.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Tous > Intégration de CrowdStrike Falcon Insight > Actions supplémentaires de CrowdStrike.
    2. Sélectionnez Nouveau pour créer votre propre action supplémentaire ou sélectionnez une action existante fournie avec le système de base.
      Par exemple, créons une nouvelle action supplémentaire.
    3. Renseignez les champs du formulaire.
      Champ Description
      Nom de la commande Nom de la commande de l’action supplémentaire. Par exemple, reg set.
      Nom de base Nom de base de l’action supplémentaire. Ce champ est défini par défaut. Par exemple, reg.
      Aptitude Nom de l’aptitude de l’action supplémentaire. Ce champ est défini par défaut. Par exemple, exécuter des actions supplémentaires sur le point de terminaison.
      Source d'intégration La source de l’action supplémentaire. Par exemple, l’intégration de CrowdStrike Falcon Insight.
      Actives Option permettant d’indiquer si le supplémentaire est actif ou non.
      Type de commande Type de commande pour l’action supplémentaire. Ce champ est défini par défaut. Par exemple, RTR Custom Script.
      Script
      • Type de système d’exploitation : option permettant de sélectionner le type de système d’exploitation pour votre script. Sélectionnez l'une des options suivantes :
        • Windows
        • Mac OS X
        • Linux
        • Aucun
      • Script : option permettant d’entrer votre script si vous avez sélectionné l’un des systèmes d’exploitation suivants, à l’exception de l’option Aucun.
      Configuration
      • Balise d’affichage : option permettant d’afficher la balise pour la configuration. Vous pouvez sélectionner la balise pour les champs suivants :
        • Aptitude : initiée. Par exemple, reg set : initié.
        • Aptitude : terminée. Par exemple, reg set : Terminé.
        • Aptitude : échec. Par exemple, reg set - Échec.
      • Exiger l’approbation : option permettant de sélectionner un approbateur ou un groupe qui doit approuver la configuration.
      Figure 1. Actions supplémentaires de CrowdStrike Falcon Insight
      Actions supplémentaires de CrowdStrike Falcon Insight
    4. Sélectionnez Envoyer.
    5. Vous pouvez également choisir parmi les actions supplémentaires existantes suivantes.
      Le système de base fournit 40 actions supplémentaires que vous pouvez utiliser pour effectuer des configurations supplémentaires.
      Remarque :
      Assurez-vous d’ouvrir la liste des actions supplémentaires de CrowdStrike et de définir l’action supplémentaire requise sur vrai, sinon l’action supplémentaire ne sera pas disponible dans l’espace de travail.
      Figure 2. Liste des actions supplémentaires fournies avec le système de base
      Liste des actions supplémentaires fournies avec le système de base
    6. Accédez à la Incidents de sécurité > Afficher les incidents.
    7. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec l’exécution d’actions supplémentaires sur le point de terminaison.
      1. Dans la section Liens connexes, sélectionnez Exécuter des actions supplémentaires sur le point de terminaison.
      2. Parcourez et sélectionnez l’aptitude requise.
        Par exemple, sélectionnez l’aptitude d’ensemble d’enregistrements .
      3. Sélectionnez Inclure le CI connexe pour exécuter les actions supplémentaires sur tous les CI connexes du point de terminaison.
      4. Vous pouvez définir la sous-clé pour l’exécution des actions supplémentaires sur le point de terminaison.
        Cette sous-clé peut être une clé HKLM/Logiciel/nouvelle.
    8. Pour lancer l’exécution d’actions supplémentaires sur le point de terminaison, cliquez sur Exécuter une action supplémentaire.
    9. Affichez les activités d’automatisation de l’exécution et validez-les.
    10. Validez le statut de l’action sur les listes connexes Actions supplémentaires sur le point de terminaison.