CrowdStrike Falcon Insight での追加アクションの構成とトリガー
CrowdStrike Falcon Insight 統合では、正規表現 (regex) などの追加アクションの実行がサポートされています。CrowdStrike Falcon Insight 統合には、ベースシステム向けの 40 の追加アクションが用意されています。
始める前に
必要なロール:sn_si.analyst
手順
-
フォームの各フィールドに入力します。
フィールド 説明 コマンド名 追加アクションのコマンド名。たとえば reg set です。 ベース名 追加アクションのベース名。このフィールドはデフォルトで設定されています。たとえば reg です。 機能 追加アクションの機能名。このフィールドはデフォルトで設定されています。たとえば、[エンドポイントで他のアクションを実行 (Run Additional Actions on Endpoint)] です。 統合ソース 追加アクションのソース。たとえば、CrowdStrike Falcon Insight 統合です。 アクティブ 追加アクションがアクティブかどうかを示すオプション。 コマンドタイプ 追加アクションのコマンドタイプ。このフィールドはデフォルトで設定されています。たとえば、[RTR カスタムスクリプト] です。 スクリプト - OS タイプ:スクリプトの OS タイプを選択するオプション。次のいずれかを選択します。
- Windows
- MAC OS X
- Linux
- なし
- スクリプト:[なし (None)] オプションを除く次のいずれかの OS を選択した場合に、スクリプトを入力するオプション。
構成 - タグを表示:構成のタグを表示するオプション。次のフィールドのタグを選択できます。
- 機能 - 開始済み。たとえば、「reg set - 開始済み」です。
- 機能 - 完了。たとえば、「reg set - 完了」です。
- 機能 - 失敗。たとえば、「reg set - 失敗」です。
- 承認が必要:構成を承認する必要がある承認者またはグループを選択するオプション。
図 : 1. CrowdStrike Falcon Insight の追加アクション - OS タイプ:スクリプトの OS タイプを選択するオプション。次のいずれかを選択します。
-
次の既存の追加アクションから選択することもできます。
ベースシステムに付属する 40 個の追加アクション。これらのアクションを使用して、追加の構成を実行すできます。注:[CrowdStrike の追加アクション] リストを開き、必要な追加アクションを [true]に設定してください。このように設定しないと、追加アクションはワークスペースで使用できません。
図 : 2. ベースシステムに付属する追加アクションのリスト