Crie um perfil de capacidade para CrowdStrike Falcon Insightintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Crie um perfil e selecione CrowdStrike Falcon Insightcapacidades que você deseja que o perfil execute.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Considere por que você deseja criar um perfil antes de adicionar CrowdStrike Falcon Insightpara ti. A tabela a seguir lista as capacidades que você deve adicionar a um perfil quando quiser que o perfil execute determinadas consultas ou ações.

    Você pode criar um único perfil que executa consultas para detalhes do sistema, lista usuários conectados, busca serviços em execução, busca processos em execução, busca estatísticas de rede, isola o host e remove o host isolado. Como alternativa, você pode criar vários perfis, cada um com sua própria capacidade única.
    Nota:
    Isolar host, remover isolamento e obter recursos de arquivo não podem ser mesclados com outras capacidades ao criar um perfil.
    Tabela 1. Tipos de perfil e capacidades necessárias do CrowdStrike Falcon Insight
    Finalidade do perfil Capacidades do CrowdStrike
    Reúna detalhes do host e usuários conectados
    • Obter detalhes do host
    • Obter usuários conectados
    Busque as estatísticas de rede, os processos e os serviços em execução para um host
    • Obter Estatísticas de Rede
    • Obter processos em execução
    • Obter serviços em execução
    Isole um host Isolar Host
    Remova o isolamento de um host Remover isolamento
    Obtenha um arquivo de um endpoint de host Obter arquivo

    Procedimento

    1. Navegar até Tudo > Integração com CrowdStrike Falcon Insight > Perfis de capacidade do CrowdStrike.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Campo Descrição
      Nome Nome do novo perfil de capacidade.

      Este nome ajuda você a identificar o tipo de perfil e também é o nome padrão do marcador de segurança associado a este perfil.
      Ativo Indica se o perfil está ativo ou não.

      Quando o perfil está ativo, ele é acionado automaticamente quando um incidente de segurança é criado que corresponde às condições de filtragem especificadas na configuração.
      Descrição Descrição exclusiva do perfil de capacidade.
      Origem Nome do servidor. Você só pode exibir servidores configurados anteriormente na lista.
      Ordem

      Prioridade de fluxo. O valor deste campo indica a ordem em que os fluxos são executados quando dois ou mais perfis compartilham condições de acionamento.

      O fluxo com o número mais baixo tem a prioridade mais alta. Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300, 400.

      Padrão: 100
      Capacidades do CrowdStrike Falcon Insight Capacidades do perfil do CrowdStrike Falcon Insight.

      Selecione as capacidades que você deseja para este perfil em Disponível para Selecionado coluna.

      O exemplo a seguir mostra um formulário completo para um perfil com a capacidade Obter detalhes do sistema.

      Detalhes do perfil de informações do Falcon.
    4. Clique em Avançar.

    O que Fazer Depois

    Agora você pode configure seu perfil . Certifique-se de ter revisou os conceitos para configurar perfis e condições do gatilho antes de configurar o perfil.