Utiliser le playbook de détection des points de terminaison

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Utilisez ce playbook pour examiner les alertes de programme malveillant déclenchées sur un hôte ou un point de terminaison. Les étapes suivantes vous fournissent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook de détection des points de terminaison.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez vérifier si le fichier ou le hachage est malveillant en analysant les résultats de la recherche de menaces dans SIR et en recueillant des informations à partir de VirusTotal, WildFire, ThreatCrowd, etc.
    2. Dans l’action 2, vous devez vérifier si le fichier ou le hachage est malveillant ou non.
    3. Dans l’action 3, si le fichier ou le hachage est malveillant, effectuez les actions suivantes :
      1. Dans l’action 4, vous devez identifier l’application ou le processus détecté comme une menace et recueillir des informations sur le raisonnement de détection pour poursuivre vers la liste sécurisée.
        Figure 1. Playbook de détection des points de terminaison
        Tâches de réponse pour déterminer si le fichier n’est pas malveillant.
      2. Dans l’action 5, vous devez vérifier si l’application provient d’une source fiable (par exemple, Microsoft, Adobe ou d’autres fournisseurs de logiciels connus).
      3. Dans l’action 6, si l’application provient d’une source fiable, vous devez prendre des mesures sur les alertes CrowdStrike Falcon.
        Figure 2. Alertes CrowdStrike Falcon
        Tâches de réponse pour prendre des mesures sur les alertes CrowdStrike Falcon.
      4. Dans l’action 7, effectuez les actions suivantes :
        1. Accédez à la CrowdStrike Falcon > Détections onglet.
        2. Cliquez sur l’alerte CrowdStrike Falcon.
        3. Sous l’onglet Détails d’exécution, cliquez sur Modifier l’action de hachage dans Action de prévention de hachage.
        4. Effectuez les étapes requises.
          Remarque :
          Choisissez l’option Ne jamais bloquer avec soin, car seuls certains hôtes peuvent être autorisés à utiliser l’application avec une justification commerciale valide. Toutefois, des alertes supplémentaires peuvent devoir être configurées pour d’autres hôtes.
      5. Dans l’action 8, si l’application ne provient pas d’une source fiable, vous devez choisir si vous souhaitez supprimer le fichier ou l’application de l’appareil localement.
        Dans l’action 10, si vous souhaitez supprimer le fichier ou l’application de l’appareil localement, effectuez les actions suivantes :
        1. Dans l’action 11, accédez à l’onglet Quarantined Files (Fichiers en quarantaine ) et filtrez le point de terminaison en recherchant le nom de l’appareil.
        2. Sélectionnez le fichier qui doit être annulé localement, puis cliquez sur Valider.
          Remarque :
          • Le fichier s’exécute toujours sur ce point de terminaison spécifique. Cependant, la détection et la quarantaine continuent de se produire sur tous les autres hôtes.
          • Pour libérer en bloc le fichier de quarantaine sur plusieurs hôtes, sélectionnez le nom et l’état de fichier appropriés. Cliquez sur Sélectionner, puis sélectionnez Mise en production.

        Dans l’action 12, si vous ne souhaitez pas supprimer le fichier ou l’application de l’appareil localement, vous pouvez rediriger l’utilisateur vers l’assistance informatique pour demander l’installation des applications approuvées.

    4. Dans l’action 14, si le fichier ou le hachage n’est pas malveillant, effectuez les actions suivantes :
      1. Dans l’action 15, vous devez déterminer si le fichier/hachage présente un risque élevé ou faible en fonction du rôle de l’utilisateur (département ou poste qui traite des informations sensibles), du type d’application (rançongiciel, rootkit...) et de l’impact de l’application (combien d’utilisateurs ont été touchés).
      2. Dans l’action 16, s’il s’agit d’un fichier à haut risque, effectuez les actions suivantes :
        1. Dans l’action 17, examinez les résultats avec l’équipe Threat Intel.
        2. Dans l’action 18, exécutez l’analyse des octets de programme malveillant sur le fichier.
        3. Dans l’action 19, lancez l’analyse médico-légale.
        4. Dans l’action 20, sur la base du résultat de l’analyse médico-légale, effectuez l’isolation de l’hôte et supprimez le fichier/hachage malveillant.
        5. Dans l’action 21, si les informations d’identification de l’utilisateur sont compromises ou si la menace ne peut pas être supprimée facilement, émettez un ticket informatique pour réinitialiser les informations d’identification de l’utilisateur ou recréer l’image de l’ordinateur selon les besoins.
        6. Dans l’action 22, effectuez le désisolement de l’hôte.
        Figure 3. Fichier à haut risque
        Tâches de réponse pour déterminer s’il s’agit d’un fichier à haut risque.
      3. Dans l’action 23, si le fichier n’est pas un fichier à haut risque, effectuez les actions suivantes :
        1. Accédez à la CrowdStrike Falcon > Configurations onglet.
        2. Dans l’onglet Configurations, accédez à Hachages de prévention > > Hachage de chargement > Ajouter le hachage.
        3. Choisissez le système d’exploitation requis, puis sélectionnez Toujours bloquer.
    5. Dans l’action 24, une tâche de réponse est créée pour que l’utilisateur termine la revue post-incident avant de fermer la tâche.