Erstellen Sie ein Fähigkeitsprofil für CrowdStrike Falcon InsightIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie aus CrowdStrike Falcon InsightFähigkeiten, die das Profil ausführen soll.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Überlegen Sie, warum Sie ein Profil erstellen möchten, bevor Sie hinzufügen CrowdStrike Falcon InsightFähigkeiten zu IT. Die folgende Tabelle listet die Fähigkeiten auf, die Sie einem Profil hinzufügen müssen, wenn das Profil bestimmte Abfragen oder Aktionen ausführen soll.

    Sie können ein einzelnes Profil erstellen, das Abfragen nach Systemdetails ausführt, angemeldete Anwender auflistet, laufende Services abruft, Netzwerkstatistiken abruft, isoliert den Host und entfernt den isolierten Host. Alternativ können Sie mehrere Profile erstellen, die jeweils über eine eigene einzelne Fähigkeit verfügen.
    Hinweis:
    Host isolieren, Isolierung entfernen und Dateifunktionen abrufen können beim Erstellen eines Profils nicht mit anderen Funktionen zusammengeführt werden.
    Tabelle : 1. Profiltypen und erforderliche CrowdStrike-Falcon-Einblickfähigkeiten
    Zweck des Profils CrowdStrike-Fähigkeiten
    Sammeln Sie Hostdetails und angemeldete Anwender
    • Hostdetails abrufen
    • Angemeldete Anwender Abrufen
    Rufen Sie die Netzwerkstatistiken, Prozesse und Services ab, die für einen Host ausgeführt werden
    • Netzwerkstatistiken abrufen
    • Laufende Prozesse Abrufen
    • Laufende Services abrufen
    Isolieren Sie einen Host Host isolieren
    Entfernen Sie die Isolierung für einen Host Isolation entfernen
    Ruft eine Datei von einem Host-Endpunkt ab Datei abrufen

    Prozedur

    1. Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > CrowdStrike-Fähigkeitenprofilean.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Feld Beschreibung
      Name Name für das neue Fähigkeitsprofil.

      Dieser Name hilft Ihnen bei der Identifizierung des Profiltyps und ist auch der Standardname für das Sicherheits-Tag, das diesem Profil zugeordnet ist.
      Aktiv Gibt an, ob das Profil aktiv ist oder nicht.

      Wenn das Profil aktiv ist, wird es automatisch ausgelöst, wenn ein Security Incident erstellt wird, der den Filterbedingungen entspricht, die Sie in der Konfiguration angegeben haben.
      Beschreibung Eindeutige Beschreibung für das Fähigkeitsprofil.
      Quelle Name des Servers. Sie können zuvor konfigurierte Server nur aus der Liste anzeigen.
      Bestellung

      Flow-Priorität. Der Wert für dieses Feld gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn mindestens zwei Profile Auslösebedingungen teilen.

      Der Flow mit der niedrigsten Zahl hat die höchste Priorität. Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Beispiel: 100, 200, 300, 400.

      Standard: 100
      CrowdStrike Falcon Insight-Fähigkeiten Fähigkeiten des CrowdStrike Falcon Insight-Profils.

      Wählen Sie die Fähigkeiten aus, die Sie für dieses Profil wünschen Verfügbar An Ausgewählt Spalte.

      Das folgende Beispiel zeigt ein vollständiges Formular für ein Profil mit der Fähigkeit „Systemdetails abrufen“.

      Falcon Insight-Profildetails.
    4. Klicken Sie auf Next (Weiter).

    Nächste Maßnahme

    Jetzt können Sie es Konfigurieren Sie Ihr Profil . Stellen Sie sicher, dass Sie haben Hat die Konzepte für die Konfiguration von Profilen und Auslöserbedingungen überprüft Bevor Sie das Profil konfigurieren.