Konfigurieren Sie Ihre Profileinstellungen so, dass das Profil nur unter den von Ihnen festgelegten Bedingungen ausgelöst wird.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Definieren Sie die Bedingungen, die automatisch auslösen
CrowdStrike Falcon InsightFähigkeiten, die Sie für das Profil ausgewählt haben. Sie können auch ein alternatives Eingabefeld für das Feld „Konfigurationselement“ (CI) auswählen. In diesem alternativen Feld können Sie Filterbedingungen festlegen, damit nur die Security Incidents, die sich auf Ihr auslösendes Ereignis beziehen, das Profil automatisch auslösen.
Prozedur
-
Überprüfen und konfigurieren Sie auf der Seite „Profilkonfiguration“ die folgenden Abschnitte:
Incident-Kriterien Definieren (Automatisierung)
Definieren Sie die Security Incident-Bedingungen, die automatisch ausgelöst werden CrowdStrike Falcon InsightFähigkeiten für das Profil. Wenn Sie nicht auswählen Definieren Sie Incident-Kriterien Option werden die Fähigkeiten manuell über den Security Incident aufgerufen.
-
Wählen Sie aus Definieren Sie Incident-Kriterien Option.
-
Um die Bedingungen zu definieren, wählen Sie im Abschnitt Filterbedingungen ein Feld und die entsprechende Anforderung aus.
-
In Neue Kriterien Geben Sie die neuen Kriterien ein, und definieren Sie dann ODER Oder UND Bedingung.
Genehmigungen
Um bei Verwendung der CrowdStrike-Falcon-Einblickfunktionen eine zusätzliche Steuerungsstufe zu bieten, wählen Sie aus Genehmigung Erforderlich Option. Die Option „Genehmigungen“ in der Profilkonfiguration wird nur für die Funktionen „Host isolieren“ und „Hostisolierung entfernen“ angezeigt.
Hinweis: Die Genehmigungsbehörde wird dem Anwender mit der Rolle „sn_si.admin“ zugewiesen. Sie können diese Genehmigungsberechtigung auch einer Genehmigungsgruppe neu zuweisen. Weitere Informationen finden Sie unter
Richten Sie eine Genehmigungsgruppe ein .
Zusätzliche Konfiguration
Wählen Sie ein alternatives Feld im Security Incident aus, um alle übereinstimmenden CI-Daten anzuzeigen, die Sie beim Scannen Ihrer Assets finden. Standardmäßig verwendet die Integration das Feld Konfigurationselement (CI) für den Security Incident.
-
Wählen Sie aus Definieren Sie Ein Alternatives Feld Option.
-
In Alternatives CI-Auslöserfeld , Wählen Sie ein Eingabefeld aus.
Tags
Dient zum Tag von Security Incidents mit
CrowdStrike Falcon InsightFähigkeiten – initiiert und Fähigkeiten – abgeschlossen, und Fähigkeiten – Fehlgeschlagen Tags, wählen Sie aus
Tags Anzeigen Option. Standardmäßig ist diese Option für alle Profile deaktiviert.
Hinweis: Diese Tags werden mit dem Basissystem bereitgestellt. Sie können bei Bedarf eigene Tags erstellen.

-
Klicken Sie auf Erledigt.