Crie e configure um perfil para a pesquisa de detecções

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura
  • Use pesquisas de detecções para CrowdStrike Falcon Insightpara localizar máquinas infectadas na rede da sua organização e lidar com casos de resposta a incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.analista

    Por Que e Quando Desempenhar Esta Tarefa

    Selecione observáveis individuais ou vários observáveis e execute uma pesquisa de detecção manual em CrowdStrike Falcon Insightpara determinar a prevalência de uma ameaça ao longo do tempo.

    Procedimento

    1. Navegar até Tudo > Integração com CrowdStrike Falcon Insight > Perfis de pesquisa de detecções.
    2. Clique em Nova.
    3. Configure este perfil para determinar quais servidores pesquisar uma capacidade de pesquisa específica do CrowdStrike Falcon Insight.
    4. No formulário, preencha os campos:
      Campo Descrição
      Nome Nome do perfil de Pesquisa de detecções.
      Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção.
      Origem da pesquisa de detecções A origem da pesquisa de detecções. Selecione Pesquisa de detecção de informações do CrowdStrike Falcon como a origem.
      Ativo Opção para indicar se o adicional está ativo ou não.
      Tipo de observável A integração do CrowdStrike Falcon Insight é compatível com os seguintes tipos de observáveis:
      • Hash
      • IP
      • URL
      A pesquisa de detecções é compatível com os seguintes tipos de observáveis:
      • Nome do domínio
      • Endereço IP (V4)
      • Endereço IP (v6)
      • Hash MD5
      • Hash sha1
      • Hash SHA256
      Máximo de observáveis por pesquisa Número máximo de observáveis que você pode exibir de uma consulta de pesquisa.
      Pesquisar A cadeia de caracteres de pesquisa padrão é (observável) , mas você pode definir sua própria consulta de pesquisa especificando parâmetros compatíveis com CrowdStrike Falcon Insightintegração.
      Parâmetros da Pesquisa de detecções Parâmetros para definir consultas mais complexas que incluem lógica e outros operadores compatíveis com o armazenamento de logs especificado

      Você pode usar os links relacionados na parte inferior da página para gerar uma consulta de teste depois de definir os parâmetros de pesquisa de detecções.

      Configurando pesquisa de detecções.

    5. Clique em Enviar.
      A configuração está concluída e você pode invocar a pesquisa de detecções no Now Platformincidente de segurança.
    6. Para verificar a configuração e executar uma pesquisa de detecções, execute as seguintes etapas:
      1. Abra um incidente de segurança, role até a parte inferior do incidente de segurança e clique em Mostrar todas as listas relacionadas .
      2. Se você selecionar um ou mais Itens de configuração (IC) na Processos em execução listas relacionadas.
        Nota:
        Se você executar uma pesquisa de detecção de um IC na lista relacionada Processos em execução, ela será apenas uma pesquisa de detecção de hash de processo.
      3. Clique em Ações nas linhas selecionadas... e selecione Execute a Pesquisa de detecções do CrowdStrike .
      4. Procure o perfil de pesquisa de detecções necessário usando a opção de pesquisa.
      5. Selecione o Perfil de pesquisa de detecções desejado e clique em Enviar .
      6. Se você selecionar um ou mais observáveis no Observáveis associados listas relacionadas.
      7. Clique em Ações nas linhas selecionadas... e selecione Execute a Pesquisa de detecções .
      8. No pop-up Intervalo de tempo, selecione qualquer valor aleatório e clique em Pesquisa .
      9. Ao concluir a pesquisa, valide os resultados e detalhes nas anotações de trabalho e listas relacionadas.
        Analisando anotações de trabalho para uma pesquisa de detecções.
      10. Selecione Detecções para exibir os detalhes da detecção.
      11. Clique em Visualização Ícone ao lado do IC para exibir mais informações sobre os detalhes de detecção do CrowdStrike.
      12. Clique em Detalhes da pesquisa de detecções para exibir os detalhes da pesquisa de detecções e clique em Resultados da pesquisa de detecções  guia para resultados da pesquisa.