CrowdStrike Falcon Insight統合のためのプロファイルとセキュリティインシデントの構成
設定した条件でのみプロファイルがトリガーされるように、プロファイル設定を構成します。
始める前に
必要なロール:sn_si.admin
このタスクについて
プロファイルに対して選択した CrowdStrike Falcon Insight 機能を自動的にトリガーする条件を定義します。[構成アイテム] (CI) フィールドの代替入力フィールドを選択することもできます。この代替フィールドでは、トリガーイベントに関連するセキュリティインシデントのみが自動的にプロファイルをトリガーするように、フィルタリング条件を設定できます。
注:
プロファイルの詳細を入力した後にのみ、[プロファイル設定] ページに移動します。詳細については、「CrowdStrike Falcon Insight 統合の機能プロファイルの作成」を参照してください。
手順
-
[プロファイル設定] ページで、次のセクションを確認して構成します。
[インシデント基準の定義] ([自動化] 内)
プロファイルに対して CrowdStrike Falcon Insight 機能を自動的にトリガーするセキュリティインシデント条件を定義します。[インシデント基準の定義] オプションを選択しない場合、機能はセキュリティインシデントから手動で呼び出されます。
- [インシデント基準の定義] オプションを選択します。
-
条件を定義するには、[フィルター条件] セクションでフィールドとそれに対応する要件を選択します。
-
[新しい基準] フィールドに新しい基準を入力してから、OR または AND 条件を定義します。
承認
CrowdStrike Falcon Insight 機能を使用するときの制御を強化するには、[承認が必要] オプションを選択します。プロファイル構成の承認オプションは、[ホストを隔離] および [ホスト隔離削除] 機能に対してのみ表示されます。
注:承認権限は、sn_si.admin ロールを持つユーザーに割り当てられます。承認権限を承認グループに再割り当てすることもできます。詳細については、「set up an approval group (承認グループの設定)」を参照してください。追加設定
セキュリティインシデントの代替フィールドを選択して、資産のスキャン中に見つかった一致する CI データを表示します。デフォルトでは、統合はセキュリティインシデントの構成アイテム (CI) フィールドを使用します。
タグ
「CrowdStrike Falcon Insight 機能 - 開始済み」、「機能 ‐ 完了」、および「機能 ‐ 失敗」タグでセキュリティインシデントにタグ付けするには、[タグを表示] オプションを選択します。デフォルトでは、このオプションはすべてのプロファイルで無効になっています。注:以下のタグは、ベースシステムに付属しています。必要に応じて独自のタグを作成できます。