Konfigurieren Sie Profile und Security Incidents für CrowdStrike Falcon Insight Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Konfigurieren Sie Ihre Profileinstellungen so, dass das Profil nur unter den von Ihnen festgelegten Bedingungen ausgelöst wird.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Definieren Sie die Bedingungen, die automatisch auslösen CrowdStrike Falcon Insight Fähigkeiten, die Sie für das Profil ausgewählt haben. Sie können auch ein alternatives Eingabefeld für das Feld Configuration Item (CI) auswählen. In diesem alternativen Feld können Sie Filterbedingungen festlegen, damit nur die Security Incidents, die sich auf Ihr auslösendes Ereignis beziehen, das Profil automatisch auslösen.
    Hinweis:
    Navigieren Sie erst zur Seite „Profilkonfiguration“, nachdem Sie die Profildetails eingegeben haben. Weitere Informationen finden Sie unter Erstellen Sie ein Fähigkeitsprofil für die CrowdStrike Falcon Insight-Integration .

    Prozedur

    1. Überprüfen und konfigurieren Sie auf der Seite „Profilkonfiguration“ die folgenden Abschnitte:

      Incident-Kriterien Definieren (Automatisierung)

      Definieren Sie die Security Incident-Bedingungen, die automatisch auslösen CrowdStrike Falcon Insight Fähigkeiten für das Profil. Wenn Sie nicht auswählen Definieren Sie Incident-Kriterien Option werden die Fähigkeiten manuell aus dem Security Incident aufgerufen.

      1. Wählen Sie aus Definieren Sie Incident-Kriterien Option.
      2. Um die Bedingungen zu definieren, wählen Sie im Abschnitt Filterbedingungen ein Feld und die entsprechende Anforderung aus.Automatisierungsbedingung.
      3. In Neue Kriterien Geben Sie die neuen Kriterien ein, und definieren Sie dann ODER Oder UND Bedingung.Automatisierungsbedingung und Hinzufügen neuer Kriterien.

      Genehmigungen

      Um bei der Verwendung der CrowdStrike Falcon Insight-Funktionen eine zusätzliche Steuerungsstufe zu bieten, wählen Sie aus Genehmigung Erforderlich Option. Die Option Genehmigungen in der Profilkonfiguration wird nur für die Funktionen Host isolieren und Host-Isolation entfernen angezeigt.

      Hinweis:
      Die Genehmigungsbehörde wird dem Anwender mit der Rolle sn_si.admin zugewiesen. Sie können diese Genehmigungsberechtigung auch einer Genehmigungsgruppe zuweisen. Weitere Informationen finden Sie unter Richten Sie eine Genehmigungsgruppe ein .
      Stellen Sie mithilfe der Genehmigungsoption eine zusätzliche Kontrollstufe bereit.

      Zusätzliche Konfiguration

      Wählen Sie ein alternatives Feld im Security Incident aus, um alle übereinstimmenden CI-Daten anzuzeigen, die Sie beim Scannen Ihrer Assets finden. Standardmäßig verwendet die Integration das Feld Configuration Item (CI) für den Security Incident.

      1. Wählen Sie aus Definieren Sie Ein Alternatives Feld Option.
      2. In Alternatives CI-Auslöserfeld , Wählen Sie ein Eingabefeld aus.
        Hinweis:
        Weitere Informationen finden Sie unter Verstehen Sie, wie Auslöserbedingungen mit einem Konfigurationselement für ein Profil funktionieren .

      Tags

      Dient zum Taggen von Security Incidents mit CrowdStrike Falcon Insight Tags „Fähigkeiten – initiiert“ und „Fähigkeiten – abgeschlossen“ und „Fähigkeiten – Fehlgeschlagen“ wählen Sie aus Tags Anzeigen Option. Standardmäßig ist diese Option für alle Profile deaktiviert.
      Hinweis:
      Diese Tags werden mit dem Basissystem bereitgestellt. Sie können bei Bedarf eigene Tags erstellen.

      Zeigen Sie Tags im Security Incident an

    2. Klicken Sie auf Erledigt.