Configurer les profils et les incidents de sécurité pour l’intégration CrowdStrike Falcon Insight

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Configurez les paramètres de votre profil de sorte que le profil ne se déclenche que dans les conditions que vous définissez.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Définissez les conditions qui déclenchent automatiquement les CrowdStrike Falcon Insight options que vous avez sélectionnées pour le profil. Vous pouvez également sélectionner un autre champ d’entrée pour le champ Élément de configuration (CI). Dans cet autre champ, vous pouvez définir des conditions de filtrage afin que seuls les incidents de sécurité liés à votre événement déclencheur déclenchent automatiquement le profil.
    Remarque :
    Accédez à la page Configuration du profil uniquement après avoir saisi les détails du profil. Pour plus d’informations, consultez Créer un profil d’aptitude pour l’intégration de CrowdStrike Falcon Insight.

    Procédure

    1. Sur la page Configuration du profil, examinez et configurez les sections suivantes :

      Définir un critère d’incident (automatisation)

      Définissez les conditions d’incident de sécurité qui déclenchent automatiquement les CrowdStrike Falcon Insight options pour le profil. Si vous ne sélectionnez pas l’option Définir des critères d’incident , les options sont invoquées manuellement à partir de l’incident de sécurité.

      1. Sélectionnez l’option Définir un critère d’incident .
      2. Pour définir les conditions, dans la section Conditions de filtre, sélectionnez un champ et son exigence correspondante.Condition d’automatisation
      3. Dans le champ Nouveau critère, saisissez le nouveau critère, puis définissez la conditionOU ou ET.Condition d’automatisation et ajout d’un nouveau critère.

      Approbations

      Pour fournir un niveau de contrôle supplémentaire lorsque vous utilisez les options de CrowdStrike Falcon Insight, sélectionnez l’option Exiger une approbation . L’option d’approbation dans la configuration du profil s’affiche uniquement pour les options Isoler l’hôte et Supprimer l’isolement de l’hôte.

      Remarque :
      L’autorisation d’approbation est affectée à l’utilisateur disposant du rôle sn_si.admin. Vous pouvez également réaffecter cette autorisation d’approbation à un groupe d’approbation. Pour plus d’informations, voir Configurer un groupe d’approbation.
      Fournissez un niveau de contrôle supplémentaire à l’aide de l’option d’approbation.

      Configuration supplémentaire

      Sélectionnez un autre champ sur l’incident de sécurité pour afficher toutes les données de CI correspondantes que vous trouvez lors de l’analyse de vos actifs. Par défaut, l’intégration utilise le champ Élément de configuration (CI) sur l’incident de sécurité.

      1. Sélectionnez l’option Définir un autre champ .
      2. Dans le champ Autre déclencheur CI, sélectionnez un champ d’entrée.
        Remarque :
        Pour plus d’informations, consultez Comprendre comment les conditions de déclenchement fonctionnent avec un élément de configuration pour un profil.

      Balises

      Pour baliser les incidents de sécurité avec les CrowdStrike Falcon Insight balises Capacités lancées, Capacités terminées et Capacités échouées, sélectionnez l’option Balises d’affichage . Par défaut, cette option est désactivée pour tous les profils.
      Remarque :
      Ces balises sont fournies avec le système de base. Vous pouvez créer vos propres balises si nécessaire.

      Balises d’affichage dans l’incident de sécurité

    2. Cliquez sur Terminé.