Configure perfis e incidentes de segurança para CrowdStrike Falcon Insight integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Defina suas configurações de perfil para que o perfil seja acionado somente sob as condições definidas por você.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Defina as condições que acionam automaticamente o. CrowdStrike Falcon Insight recursos que você selecionou para o perfil. Você também pode selecionar um campo de entrada alternativo para o campo Item de configuração (IC). Neste campo alternativo, você pode definir condições de filtragem para que somente os incidentes de segurança relacionados ao evento de acionamento acionem automaticamente o perfil.
    Nota:
    Navegue até a página Configuração do perfil somente depois de inserir os detalhes do perfil. Para obter mais informações, consulte Crie um perfil de capacidade para a integração do CrowdStrike Falcon Insight .

    Procedimento

    1. Na página Configuração de perfil, revise e configure as seguintes seções:

      Definir critérios de incidente (automação)

      Defina as condições de incidente de segurança que acionam automaticamente o. CrowdStrike Falcon Insight capacidades para o perfil. Se você não selecionar Definir critérios de incidente , os recursos são invocados manualmente a partir do incidente de segurança.

      1. Selecione Definir critérios de incidente opção.
      2. Para definir as condições, na seção Condições de filtro, selecione um campo e seu requisito correspondente.Acondição de automação.
      3. Em Novos critérios insira os novos critérios e defina OU ou E. condição.Condição de automação e adição de novos critérios.

      Aprovações

      Para fornecer um nível extra de controle quando você estiver usando os recursos do CrowdStrike Falcon Insight, selecione Aprovação necessária opção. A opção de aprovações na configuração do perfil aparece somente para os recursos Isolar host e Remover isolamento de host.

      Nota:
      A autoridade de aprovação é atribuída ao usuário com a função sn_si.admin. Você também pode reatribuir esta autoridade de aprovação a um grupo de aprovação. Para obter mais informações, consulte configure um grupo de aprovação .
      Forneça um nível adicional de controle usando a opção Aprovação.

      Configuração adicional

      Selecione um campo alternativo no incidente de segurança para exibir todos os dados de IC correspondentes encontrados ao verificar seus ativos. Por padrão, a integração usa o campo Item de configuração (IC) no incidente de segurança.

      1. Selecione Definir campo alternativo opção.
      2. Em Campo de gatilho de IC alternativo , selecione um campo de entrada.
        Nota:
        Para obter mais informações, consulte Entenda como as condições do gatilho funcionam com um item de configuração para um perfil .

      Marcadores

      Para marcar incidentes de segurança com CrowdStrike Falcon Insight Marcadores Capacidades- Iniciado, Capacidades-Concluídas e Capacidades-Falha, selecione Marcadores de exibição opção. Por padrão, esta opção está desabilitada para todos os perfis.
      Nota:
      Esses marcadores são fornecidos com o sistema de base. Se necessário, você pode criar seus próprios marcadores.

      Exiba marcadores no incidente de segurança

    2. Clique em Concluído.