Konfigurieren und lösen Sie zusätzliche Aktionen in aus CrowdStrike Falcon Insight

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die CrowdStrike Falcon InsightDie Integration unterstützt die Ausführung zusätzlicher Aktionen wie regulärer Ausdruck (regulärer Ausdruck). Die CrowdStrike Falcon InsightDie Integration bietet 40 zusätzliche Aktionen mit dem Basissystem.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > CrowdStrike: zusätzliche Aktionenan.
    2. Klicken Sie Auf Neu Um eine eigene zusätzliche Aktion zu erstellen oder eine vorhandene Aktion auszuwählen, die mit dem Basissystem geliefert wird.
      Erstellen wir beispielsweise eine neue zusätzliche Aktion.
    3. Füllen Sie die Felder im Formular aus.
      Feld Beschreibung
      Befehlsname Befehlsname für die zusätzliche Aktion. Beispiel: Registrierungssatz.
      Basisname Basisname für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: „Reg.“
      Fähigkeit Fähigkeitsname für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: Zusätzliche Aktionen für Endpunkt ausführen.
      Integrationsquelle Die Quelle für die zusätzliche Aktion. Beispiel: CrowdStrike Falcon Insight-Integration.
      Aktiv Option, um anzugeben, ob das zusätzliche aktiv ist oder nicht.
      Befehlstyp Befehlstyp für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: Anwenderdefiniertes RTR-Skript.
      Skript
      • BS-Typ : Option zum Auswählen des Betriebssystemtyps für Ihr Skript. Wählen Sie eine der folgenden Optionen aus:
        • Windows
        • Mac OS X
        • Linux
        • Keine
      • Skript : Option zum Eingeben Ihres Skripts, wenn Sie eines der folgenden Betriebssysteme ausgewählt haben, mit Ausnahme der Option „keine“.
      Konfiguration
      • Tag Anzeigen : Option zum Anzeigen des Tags für die Konfiguration. Sie können das Tag für die folgenden Felder auswählen:
        • Fähigkeit: Initiiert. Beispiel: Registrierungssatz – initiiert.
        • Fähigkeit: Abgeschlossen. Beispiel: Registrierungssatz – Abgeschlossen.
        • Fähigkeit – Fehlgeschlagen. Beispiel: Registrierungssatz – Fehlgeschlagen.
      • Genehmigung Erforderlich : Option zum Auswählen eines Genehmigers oder einer Gruppe, der die Konfiguration genehmigen muss.
      Abbildung : 1. Zusätzliche Aktionen für CrowdStrike-Falcon-Einblick
      Zusätzliche Aktionen für CrowdStrike-Falcon-Einblick
    4. Klicken Sie auf Absenden.
    5. Sie können auch aus den folgenden vorhandenen zusätzlichen Aktionen auswählen.
      Das Basissystem enthält 40 zusätzliche Aktionen, mit denen Sie zusätzliche Konfigurationen ausführen können.
      Hinweis:
      Stellen Sie sicher, dass Sie die Liste „zusätzliche CrowdStrike-Aktionen“ öffnen und die erforderliche zusätzliche Aktion auf festlegen Wahr , Andernfalls ist die zusätzliche Aktion im Arbeitsbereich nicht verfügbar.
      Abbildung : 2. Liste der zusätzlichen Aktionen, die mit dem Basissystem geliefert werden
      Liste der zusätzlichen Aktionen, die mit dem Basissystem geliefert werden
    6. Navigieren zu Security Incidents > Alle Incidents anzeigenan.
    7. Wählen Sie den Security Incident aus, den Sie mit der Option „zusätzliche Aktionen für Endpunkt ausführen“ überprüfen möchten.
      1. Klicken Sie im Abschnitt „zugehörige Links“ auf Führen Sie zusätzliche Aktionen für den Endpunkt ausan.
      2. Durchsuchen Sie die erforderliche Fähigkeit, und wählen Sie sie aus.
        Klicken Sie beispielsweise auf regelungssatz Fähigkeit.
      3. Wählen Sie Aus Schließen Sie das zugehörige CI ein Zum Ausführen der zusätzlichen Aktionen für alle zugehörigen CIs des Endpunkts.
      4. Sie können definieren Unterschlüssel Führen Sie die zusätzlichen Aktionen für den Endpunkt aus.
        Dieser Unterschlüssel kann ein HKLM/Software/neuer Schlüssel sein.
    8. Klicken Sie auf, um die Ausführung zusätzlicher Aktionen für den Endpunkt zu initiieren Zusätzliche Aktion Ausführen .
    9. Zeigen Sie die Automatisierungsaktivitäten der Ausführung an, und validieren Sie sie.
    10. Validieren Sie den Status der Aktion in den zugehörigen Listen „zusätzliche Aktionen in Endpunkten“.