Automatisieren CrowdStrike Falcon Sandbox-Übermittlungen mit Flow Designer

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Die CrowdStrike Falcon X Sandbox Die Integration enthält Flow-Vorlagen, die mit erstellt wurden Workflow-Studio Die mit Security Incident-Datensätzen arbeiten.

    Vorbereitungen

    • Überprüfen Sie, ob Sie einen erstellt haben Sandbox-Übermittlungskonfiguration Und haben eine Konfiguration als aktiviert Standardkonfiguration für automatisierte Übermittlung . Wenn der Flow ausgelöst wird, erfolgt die Sandbox-Übermittlung in Ihrer Standardkonfiguration.
    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Diese Flows dienen in erster Linie dazu, Ihnen den Einstieg zu erleichtern, wenn Sie Datei- oder URL-Übermittlungen als Teil Ihres Incident-Response-Workflows automatisieren möchten.

    Wenn Sie einen Beispiel-Flow aktivieren, werden Ihre Phishing-Dateianhänge automatisch übermittelt, wenn Sie die Security Incidents in Ihrem Beispiel-Flow als Phishing definieren. Alternativ können Sie alle .exe-Dateien übermitteln, wenn dieser Dateityp an einen Datensatz eines erkennbaren Elements angehängt ist.

    Sie können diese Beispiel-Flows ändern, um eine automatisierte Übermittlung unter verschiedenen Bedingungen, Kategorien, zusammengesetzten Bedingungen usw. auszulösen.

    Die Sandbox-Integration besteht aus zwei Basissystem-Flows, die standardmäßig deaktiviert sind.
    • Datei senden, wenn die Kategorie Phishing ist : Dieser Flow sendet eine Datei zur Malware-Analyse an die Sandbox, wenn die Kategorie des Security Incidents als Phishing definiert ist. Sie müssen eine Datei an den Datensatz des erkennbaren Elements für den Security Incident anhängen. Wenn Sie die URP-Funktionalität (User gemeldetes Phishing) verwenden, werden alle E-Mail-Anhänge automatisch analysiert und dem SIR-Incident-Datensatz als Datensatz erkennbarer Elemente hinzugefügt. Zum Automatisieren der Übermittlung ist keine weitere Aktion erforderlich.
    • Übermitteln, wenn der Dateityp für das erkennbare Element „exe“ ist : Dieser Flow sendet eine Datei zur Malware-Analyse an die Sandbox, wenn das erkennbare Security Incident eine exe ist. Ähnlich wie beim Phishing-Kategorie-Flow müssen Sie eine Datei an einen Datensatz eines erkennbaren Elements für den Security Incident anhängen. Sie können dies manuell tun, indem Sie die Datei hochladen oder automatisch, wenn den Datensätzen erkennbarer Elemente ein Phishing-E-Mail-Anhang oder ein anderer Mechanismus zugeordnet ist, der den Incident erstellt.

    Wenn die Flows konfiguriert sind und die Incident-Bedingungen die Parameter erfüllen, werden die Sandbox-Übermittlungen automatisch ausgelöst, wenn Sie den Security Incident überprüfen. Überprüfen Sie die Arbeitsnotiz, die angibt, dass eine Übermittlung initiiert wurde, ein Tag angezeigt wird, wenn in der Konfiguration aktiviert, und einen Datensatz mit den Ergebnissen der ausstehenden Übermittlung.

    Die Sandbox-Integration enthält auch mehrere Subflows. Die Subflows sind interne Komponenten der allgemeinen Integrationsübermittlungsfunktionen. Sie können die Subflows an Ihre Sicherheitskriterien anpassen und bearbeiten.

    Sie können auf die Subflows verweisen, um Probleme mit Sandbox-Übermittlungen zu beheben. Jedes Mal, wenn Sie einen Subflow aufrufen, wird ein Ausführungsdatensatz erstellt. Dieser Datensatz gibt an, wo im Flow ein bestimmter Fehler aufgetreten ist, und ermöglicht es Ihnen, das Problem zu beheben.
    Abbildung : 1. Sandbox-Integration: Mehrere Workflows
    Die Sandbox-Integration enthält mehrere Subflows.
    Hinweis:
    • Wenn Sie die Standard-Flows anpassen möchten, sollten Sie sicherstellen, dass der Subflow „erkennbares Element für automatisierte Übermittlung übermitteln“ in Ihrem Flow enthalten ist, um automatische Übermittlungen auszulösen.
    • Sie können Ihre Dateierweiterungen für eine exe anpassen und definieren. Erstellen Sie eine Kopie des Flows Übermitteln, wenn der Dateityp für das erkennbare Element „exe“ ist , Und nehmen Sie Änderungen an der Kopie vor. Der Inhaltstyp und die Dateierweiterungen werden in zugeordnet SandboxUtils Skript. Um auf Skripteinbindungen zuzugreifen, navigieren Sie zu Systemdefinitionen > Skripteinbindungen Und suchen Sie nach SandboxUtils.
      Abbildung : 2. SandboxUtils-Skript
      Greifen Sie auf das SandboxUtils-Skript zu, und ändern Sie es.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designer > Flowsan.
    2. Filtern Sie die Flows nach Anwendung Typ.
      Beispiel: *Crowd filtert die beiden CrowdStrike Falcon X Sandbox Flows.
      Die Sandbox-Integration bietet zwei Standard-Flows.
    3. Wählen Sie einen Flow aus, um die Details anzuzeigen.
      Das folgende Beispiel zeigt den Flow „Datei senden, wenn Kategorie Phishing ist“.
      Aktivieren Sie den Basissystem-Flow, oder passen Sie Ihren Flow an.
    4. Klicken Sie Auf Aktivieren Und klicken Sie dann auf OK Wenn die Bestätigungsnachricht angezeigt wird.

    Nächste Maßnahme

    Nachdem Sie automatisierte Übermittlungs-Flows konfiguriert haben, können Sie Zeigen Sie die Sandbox-Übermittlungsergebnisse an Um Bedrohungen zu analysieren.