Konfigurieren und lösen Sie zusätzliche Aktionen in aus CrowdStrike Falcon Insight

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Die CrowdStrike Falcon Insight Die Integration unterstützt die Ausführung zusätzlicher Aktionen wie regulärer Ausdruck (regulärer Ausdruck). Die CrowdStrike Falcon Insight Die Integration bietet 40 zusätzliche Aktionen mit dem Basissystem.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren zu Alle > CrowdStrike Falcon Insight-Integration > CrowdStrike: zusätzliche Aktionenan.
    2. Klicken Sie Auf Neu Um eine eigene zusätzliche Aktion zu erstellen oder eine vorhandene Aktion auszuwählen, die im Basissystem enthalten ist.
      Erstellen wir beispielsweise eine neue zusätzliche Aktion.
    3. Füllen Sie die Felder im Formular aus.
      Feld Beschreibung
      Befehlsname Befehlsname für die zusätzliche Aktion. Beispiel: „Registrierungssatz“.
      Basisname Basisname für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: „Reg.“
      Fähigkeit Fähigkeitsname für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: Zusätzliche Aktionen für Endpunkt ausführen.
      Integrationsquelle Die Quelle für die zusätzliche Aktion. Beispiel: CrowdStrike Falcon Insight-Integration.
      Aktiv Option, um anzugeben, ob zusätzliche aktiv ist oder nicht.
      Befehlstyp Befehlstyp für die zusätzliche Aktion. Dieses Feld ist standardmäßig festgelegt. Beispiel: Anwenderdefiniertes RTR-Skript.
      Skript
      • BS-Typ : Option zum Auswählen des Betriebssystemtyps für Ihr Skript. Wählen Sie eine der folgenden Optionen aus:
        • Windows
        • Mac OS X
        • Linux
        • Keine
      • Skript : Option zum Eingeben Ihres Skripts, wenn Sie eines der folgenden Betriebssysteme ausgewählt haben, mit Ausnahme der Option „keine“.
      Konfiguration
      • Tag Anzeigen : Option zum Anzeigen des Tags für die Konfiguration. Sie können das Tag für die folgenden Felder auswählen:
        • Fähigkeit: Initiiert. Beispiel: Registrierungssatz – initiiert.
        • Fähigkeit: Abgeschlossen. Beispiel: Registrierungssatz – Abgeschlossen.
        • Fähigkeit: Fehlgeschlagen. Beispiel: Registrierungssatz – Fehlgeschlagen.
      • Genehmigung Erforderlich : Option zum Auswählen eines Genehmigers oder einer Gruppe, der die Konfiguration genehmigen muss.
      Abbildung : 1. CrowdStrike Falcon Insight – zusätzliche Aktionen
      CrowdStrike Falcon Insight – zusätzliche Aktionen
    4. Klicken Sie auf Absenden.
    5. Sie können auch aus den folgenden vorhandenen zusätzlichen Aktionen auswählen.
      Das Basissystem enthält 40 zusätzliche Aktionen, mit denen Sie zusätzliche Konfigurationen ausführen können.
      Hinweis:
      Stellen Sie sicher, dass Sie die Liste „zusätzliche CrowdStrike-Aktionen“ öffnen und die erforderliche zusätzliche Aktion auf festlegen Wahr , Andernfalls ist die zusätzliche Aktion im Arbeitsbereich nicht verfügbar.
      Abbildung : 2. Liste der zusätzlichen Aktionen, die im Lieferumfang des Basissystems enthalten sind
      Liste der zusätzlichen Aktionen, die im Lieferumfang des Basissystems enthalten sind
    6. Navigieren zu Security Incidents > Alle Incidents anzeigenan.
    7. Wählen Sie den Security Incident aus, den Sie mit dem Ausführen zusätzlicher Aktionen für Endpunkt überprüfen möchten.
      1. Klicken Sie im Abschnitt „zugehörige Links“ auf Führen Sie zusätzliche Aktionen für Endpunkt ausan.
      2. Durchsuchen und wählen Sie die erforderliche Fähigkeit aus.
        Klicken Sie beispielsweise auf regelungssatz Fähigkeit.
      3. Wählen Sie Aus Zugehöriges CI einschließen Zum Ausführen der zusätzlichen Aktionen für alle zugehörigen CIs des Endpunkts.
      4. Sie können definieren Unterschlüssel Führen Sie für die zusätzliche Aktionen für Endpunkt aus.
        Dieser Unterschlüssel kann ein HKLM/Software/neuer Schlüssel sein.
    8. Klicken Sie auf, um die Ausführung zusätzlicher Aktionen für den Endpunkt zu initiieren Zusätzliche Aktion Ausführen .
    9. Zeigen Sie die Automatisierungsaktivitäten der Ausführung an, und validieren Sie sie.
    10. Validiert den Status der Aktion in den zugehörigen Listen „zusätzliche Aktionen in Endpunktlisten“.