Crie e configure um perfil para a pesquisa de detecções
Use pesquisas de detecções para CrowdStrike Falcon Insightpara localizar máquinas infectadas na rede da sua organização e lidar com casos de resposta a incidentes de segurança.
Antes de Iniciar
Função necessária: sn_si.analista
Por Que e Quando Desempenhar Esta Tarefa
Selecione observáveis individuais ou vários observáveis e execute uma pesquisa de detecção manual em CrowdStrike Falcon Insightpara determinar a prevalência de uma ameaça ao longo do tempo.
Procedimento
- Navegar até Tudo > Integração com CrowdStrike Falcon Insight > Perfis de pesquisa de detecções.
- Clique em Nova.
- Configure este perfil para determinar quais servidores pesquisar uma capacidade de pesquisa específica do CrowdStrike Falcon Insight.
-
No formulário, preencha os campos:
Campo Descrição Nome Nome do perfil de Pesquisa de detecções. Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção. Origem da pesquisa de detecções A origem da pesquisa de detecções. Selecione Pesquisa de detecção de informações do CrowdStrike Falcon como a origem. Ativo Opção para indicar se o adicional está ativo ou não. Tipo de observável A integração do CrowdStrike Falcon Insight é compatível com os seguintes tipos de observáveis: - Hash
- IP
- URL
A pesquisa de detecções é compatível com os seguintes tipos de observáveis:- Nome do domínio
- Endereço IP (V4)
- Endereço IP (v6)
- Hash MD5
- Hash sha1
- Hash SHA256
Máximo de observáveis por pesquisa Número máximo de observáveis que você pode exibir de uma consulta de pesquisa. Pesquisar A cadeia de caracteres de pesquisa padrão é (observável), mas você pode definir sua própria consulta de pesquisa especificando parâmetros compatíveis com CrowdStrike Falcon Insightintegração.Parâmetros da Pesquisa de detecções Parâmetros para definir consultas mais complexas que incluem lógica e outros operadores compatíveis com o armazenamento de logs especificado Você pode usar os links relacionados na parte inferior da página para gerar uma consulta de teste depois de definir os parâmetros de pesquisa de detecções.
-
Clique em Enviar.
A configuração está concluída e você pode invocar a pesquisa de detecções no Now Platformincidente de segurança.
-
Para verificar a configuração e executar uma pesquisa de detecções, execute as seguintes etapas:
- Abra um incidente de segurança, role até a parte inferior do incidente de segurança e clique em Mostrar todas as listas relacionadas .
-
Se você selecionar um ou mais Itens de configuração (IC) na Processos em execução listas relacionadas.
Nota:Se você executar uma pesquisa de detecção de um IC na lista relacionada Processos em execução, ela será apenas uma pesquisa de detecção de hash de processo.
- Clique em Ações nas linhas selecionadas... e selecione Execute a Pesquisa de detecções do CrowdStrike .
- Procure o perfil de pesquisa de detecções necessário usando a opção de pesquisa.
- Selecione o Perfil de pesquisa de detecções desejado e clique em Enviar .
- Se você selecionar um ou mais observáveis no Observáveis associados listas relacionadas.
- Clique em Ações nas linhas selecionadas... e selecione Execute a Pesquisa de detecções .
- No pop-up Intervalo de tempo, selecione qualquer valor aleatório e clique em Pesquisa .
-
Ao concluir a pesquisa, valide os resultados e detalhes nas anotações de trabalho e listas relacionadas.
- Selecione Detecções para exibir os detalhes da detecção.
- Clique em Visualização Ícone ao lado do IC para exibir mais informações sobre os detalhes de detecção do CrowdStrike.
- Clique em Detalhes da pesquisa de detecções para exibir os detalhes da pesquisa de detecções e clique em Resultados da pesquisa de detecções guia para resultados da pesquisa.