에서 추가 작업 구성 및 트리거 CrowdStrike Falcon 인사이트

릴리스 버전: Zurich

업데이트 날짜 2025년 07월 31일

소요 시간: 2분

통합은 CrowdStrike Falcon 인사이트 정규 표현식(regex)과 같은 추가 작업 실행을 지원합니다. 통합은 CrowdStrike Falcon 인사이트 기본 시스템에 40개의 추가 작업을 제공합니다.

시작하기 전에

필요한 역할: sn_si.analyst

다음으로 이동 모두 > CrowdStrike Falcon Insight 통합 > CrowdStrike 추가 작업.
새로 만들기를 클릭하여 추가 작업을 직접 만들거나 기본 시스템과 함께 제공되는 기존 작업을 선택합니다.
예를 들어 새 추가 작업을 생성해 보겠습니다.

양식에서 필드를 채웁니다.


필드	설명
명령 이름	추가 작업에 대한 명령 이름입니다. 예를 들어 reg set입니다.
기본 이름	추가 작업의 기본 이름입니다. 이 필드는 기본적으로 설정됩니다. 예: reg.
역량	추가 작업에 대한 역량 이름입니다. 이 필드는 기본적으로 설정됩니다. 예를 들어 엔드포인트에서 추가 작업을 실행합니다.
통합 소스	추가 작업의 소스입니다. 예를 들어 CrowdStrike Falcon Insight 통합입니다.
활성	추가가 활성 상태인지 여부를 나타내는 옵션입니다.
명령 유형	추가 작업에 대한 명령 유형입니다. 이 필드는 기본적으로 설정됩니다. 예: RTR 사용자 지정 스크립트.
스크립트	OS 유형: 스크립트의 OS 유형을 선택하는 옵션입니다. 다음 중 하나를 선택합니다. Windows MAC OS X Linux 없음 스크립트: 없음 옵션을 제외하고 다음 OS 중 하나를 선택한 경우 스크립트를 입력하는 옵션입니다.
구성	태그 표시: 구성에 대한 태그를 표시하는 옵션입니다. 다음 필드에 대한 태그를 선택할 수 있습니다. 역량 - 시작됨. 예: reg set - Initiated. 역량 - 완료됨. 예: reg set - Completed. 역량 - 실패함. 예: reg set - Failed. 승인 필요: 구성을 승인해야 하는 승인자 또는 그룹을 선택하는 옵션입니다.

제출을 클릭합니다.
다음과 같은 기존 추가 작업 중에서 선택할 수도 있습니다.
기본 시스템과 함께 제공되는 40개의 추가 작업이 있으며, 추가 구성을 수행하는 데 사용할 수 있습니다.
주:
CrowdStrike 추가 작업 목록을 열고 필요한 추가 작업을 true로 설정해야 합니다. 그렇지 않으면 작업 공간에서 추가 작업을 사용할 수 없습니다.
그림 2. 기본 시스템과 함께 제공되는 추가 작업 목록
다음으로 이동 보안 인시던트 > 모든 인시던트 표시.
엔드포인트에서 추가 작업 실행으로 검토하려는 보안 인시던트를 선택합니다.
1. 관련 링크 섹션에서 이 버튼을 클릭합니다. 엔드포인트에서 추가 작업 실행.
2. 필요한 역량을 찾아 선택합니다.
  예를 들어, reg set 기능을 클릭합니다.
3. 엔드포인트의 모든 관련 CI에 대해 추가 작업을 실행하려면 관련 CI 포함 을 선택합니다.
4. 엔드포인트에서 추가 작업을 실행하기 위한 하위 키를 정의할 수 있습니다.
  이 하위 키는 HKLM/Software/new 키일 수 있습니다.
엔드포인트에서 추가 작업 실행을 시작하려면 추가 작업 실행을 클릭합니다.
실행의 자동화 활동을 보고 검증합니다.
엔드포인트에 대한 추가 작업 관련 목록에서 작업의 상태를 확인합니다.