Konfigurieren Sie Profile und Security Incidents für CrowdStrike Falcon InsightIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Konfigurieren Sie Ihre Profileinstellungen so, dass das Profil nur unter den von Ihnen festgelegten Bedingungen ausgelöst wird.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Definieren Sie die Bedingungen, die automatisch auslösen CrowdStrike Falcon InsightFähigkeiten, die Sie für das Profil ausgewählt haben. Sie können auch ein alternatives Eingabefeld für das Feld „Konfigurationselement“ (CI) auswählen. In diesem alternativen Feld können Sie Filterbedingungen festlegen, damit nur die Security Incidents, die sich auf Ihr auslösendes Ereignis beziehen, das Profil automatisch auslösen.
    Hinweis:
    Navigieren Sie erst zur Seite „Profilkonfiguration“, nachdem Sie die Profildetails eingegeben haben. Weitere Informationen finden Sie unter Erstellen Sie ein Fähigkeitsprofil für die CrowdStrike Falcon Insight-Integration .

    Prozedur

    1. Überprüfen und konfigurieren Sie auf der Seite „Profilkonfiguration“ die folgenden Abschnitte:

      Incident-Kriterien Definieren (Automatisierung)

      Definieren Sie die Security Incident-Bedingungen, die automatisch ausgelöst werden CrowdStrike Falcon InsightFähigkeiten für das Profil. Wenn Sie nicht auswählen Definieren Sie Incident-Kriterien Option werden die Fähigkeiten manuell über den Security Incident aufgerufen.

      1. Wählen Sie aus Definieren Sie Incident-Kriterien Option.
      2. Um die Bedingungen zu definieren, wählen Sie im Abschnitt Filterbedingungen ein Feld und die entsprechende Anforderung aus.Automatisierungsbedingung.
      3. In Neue Kriterien Geben Sie die neuen Kriterien ein, und definieren Sie dann ODER Oder UND Bedingung.Automatisierungsbedingung und Hinzufügen eines neuen Kriteriums.

      Genehmigungen

      Um bei Verwendung der CrowdStrike-Falcon-Einblickfunktionen eine zusätzliche Steuerungsstufe zu bieten, wählen Sie aus Genehmigung Erforderlich Option. Die Option „Genehmigungen“ in der Profilkonfiguration wird nur für die Funktionen „Host isolieren“ und „Hostisolierung entfernen“ angezeigt.

      Hinweis:
      Die Genehmigungsbehörde wird dem Anwender mit der Rolle „sn_si.admin“ zugewiesen. Sie können diese Genehmigungsberechtigung auch einer Genehmigungsgruppe neu zuweisen. Weitere Informationen finden Sie unter Richten Sie eine Genehmigungsgruppe ein .
      Stellen Sie mithilfe der Genehmigungsoption eine zusätzliche Kontrollstufe bereit.

      Zusätzliche Konfiguration

      Wählen Sie ein alternatives Feld im Security Incident aus, um alle übereinstimmenden CI-Daten anzuzeigen, die Sie beim Scannen Ihrer Assets finden. Standardmäßig verwendet die Integration das Feld Konfigurationselement (CI) für den Security Incident.

      1. Wählen Sie aus Definieren Sie Ein Alternatives Feld Option.
      2. In Alternatives CI-Auslöserfeld , Wählen Sie ein Eingabefeld aus.
        Hinweis:
        Weitere Informationen finden Sie unter Erfahren Sie, wie Auslöserbedingungen mit einem Konfigurationselement für ein Profil funktionieren .

      Tags

      Dient zum Tag von Security Incidents mit CrowdStrike Falcon InsightFähigkeiten – initiiert und Fähigkeiten – abgeschlossen, und Fähigkeiten – Fehlgeschlagen Tags, wählen Sie aus Tags Anzeigen Option. Standardmäßig ist diese Option für alle Profile deaktiviert.
      Hinweis:
      Diese Tags werden mit dem Basissystem bereitgestellt. Sie können bei Bedarf eigene Tags erstellen.

      Zeigen Sie Tags im Security Incident an

    2. Klicken Sie auf Erledigt.