CrowdStrike Falcon in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie CrowdStrike Falcon in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 56.0
In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine Kopie des vollständigen Quellcodes dieser Integration aus dem Cloud Storage-Bucket herunterladen.
Anwendungsfälle
In der Google SecOps-Plattform werden mit der CrowdStrike Falcon-Integration die folgenden Anwendungsfälle abgedeckt:
Automatisierte Eindämmung von Malware: Nutzen Sie die Funktionen der Google SecOps-Plattform, um den betroffenen Endpunkt automatisch unter Quarantäne zu stellen, den Dateihash zur weiteren Analyse abzurufen und die Verbreitung von Malware zu verhindern. Die automatische Eindämmung von Malware wird aktiviert, wenn eine Phishing-E-Mail einen CrowdStrike Falcon-Alarm für einen verdächtigen Dateidownload auslöst.
Schnellere Reaktion auf Vorfälle: Mit Google SecOps können Sie Kontextdaten wie Prozessbäume und Netzwerkverbindungen erfassen, den kompromittierten Host isolieren und ein Ticket für die Untersuchung erstellen.
Bedrohungssuche und ‑untersuchung: Mit den Funktionen der Google SecOps-Plattform können Sie CrowdStrike Falcon nach bestimmten Nutzeraktionen, Dateimodifikationen und Netzwerkverbindungen über einen bestimmten Zeitraum abfragen. Mit der Bedrohungsanalyse und ‑untersuchung können Ihre Sicherheitsanalysten eine potenzielle Insiderbedrohung untersuchen und die Aktivität eines Endpunkts aus der Vergangenheit analysieren. Gleichzeitig wird der Untersuchungsprozess optimiert.
Reaktion auf Phishing und Abhilfemaßnahmen: Mit CrowdStrike Falcon und der Google SecOps-Plattform können Sie E-Mail-Anhänge scannen, sie in einer Sandbox-Umgebung öffnen und die E-Mail-Adresse des Absenders automatisch blockieren, wenn schädliche Aktivitäten erkannt werden.
Schwachstellenmanagement: Nutzen Sie die Funktionen der Google SecOps-Plattform, um automatisch Tickets für jedes anfällige System zu erstellen, sie nach Schweregrad und Asset-Wert zu priorisieren und automatisierte Patching-Workflows auszulösen. Mit dem Schwachstellenmanagement können Sie eine kritische Sicherheitslücke auf mehreren Endpunkten identifizieren.
Hinweise
Bevor Sie die Integration in Google SecOps konfigurieren, führen Sie die folgenden Schritte aus:
Konfigurieren Sie den CrowdStrike Falcon-API-Client.
Konfigurieren Sie die Berechtigungen für Aktionen.
Connector-Berechtigungen konfigurieren
CrowdStrike Falcon-API-Client konfigurieren
Um einen CrowdStrike-API-Client zu definieren und API-Clients oder ‑Schlüssel anzusehen, zu erstellen oder zu ändern, benötigen Sie die Rolle FalconAdministrator.
Geheimnisse werden nur angezeigt, wenn Sie einen neuen API-Client erstellen oder den API-Client zurücksetzen.
Führen Sie die folgenden Schritte aus, um den CrowdStrike Falcon API-Client zu konfigurieren:
- Rufen Sie in der Falcon-Benutzeroberfläche Support und Ressourcen > Ressourcen und Tools > API-Clients und ‑Schlüssel auf. Auf dieser Seite können Sie vorhandene Clients aufrufen, neue API-Clients hinzufügen oder das Audit-Log ansehen.
- Klicken Sie auf API-Client erstellen.
- Geben Sie einen Namen für den neuen API-Client an.
- Wählen Sie die entsprechenden API-Bereiche aus.
Klicken Sie auf Erstellen. Die Werte für Client-ID und Clientschlüssel werden angezeigt.
Dies ist das einzige Mal, dass Sie den Clientschlüsselwert sehen. Bewahren Sie es an einem sicheren Ort auf. Wenn Sie Ihren Clientschlüssel verlieren, setzen Sie Ihren API-Client zurück und aktualisieren Sie alle Anwendungen, die auf den Clientschlüssel angewiesen sind, mit neuen Anmeldedaten.
Weitere Informationen zum Zugriff auf die CrowdStrike API finden Sie im Leitfaden zum Zugriff auf die CrowdStrike API im CrowdStrike-Blog.
Aktionsberechtigungen konfigurieren
In der folgenden Tabelle finden Sie die Mindestberechtigungen für Aktionen:
| Aktion | Erforderliche Berechtigungen |
|---|---|
| Kommentar zur Erkennung hinzufügen | Detections.ReadDetection.Write |
| Kommentar zur Erkennung von Identity Protection hinzufügen | Alerts.ReadAlerts.Write |
| Kommentar zu Vorfall hinzufügen | Incidents.Write |
| Erkennung schließen | Detections.ReadDetection.Write |
| Contain Endpoint | Hosts.ReadHosts.Write |
| IOC löschen | IOC Management.ReadIOC Management.Write |
| Datei herunterladen | Hosts.ReadReal time response.ReadReal time response.Write |
| Befehl ausführen | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write* für Befehle mit vollen Berechtigungen.
|
| Ereignis-Offset abrufen | Event streams.Read |
| Hosts nach IOC abrufen | Nicht verfügbar: Verworfen |
| Informationen zum Host abrufen | Hosts.Read |
| Prozessname anhand von IOC abrufen | Nicht verfügbar: Verworfen |
| Endpunkt für die eingeschlossene Steigerung | Hosts.ReadHosts.Write |
| Hosts auflisten | Hosts.Read |
| Host-Sicherheitslücken auflisten | Hosts.ReadSpotlight vulnerabilities.Read |
| Hochgeladene IOCs auflisten | IOC Management.Read |
| On-Demand-Scan | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| Ping | Hosts.Read |
| Datei einreichen | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| URL senden | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Update-Erkennung | Detections.ReadDetection.WriteUser management.Read |
| Identity Protection-Erkennung aktualisieren | Alerts.ReadAlerts.Write |
| Vorfall aktualisieren | Incidents.Write |
| IOC-Informationen aktualisieren | IOC Management.ReadIOC Management.Write |
| IOCs hochladen | IOC Management.ReadIOC Management.Write |
Connector-Berechtigungen konfigurieren
In der folgenden Tabelle finden Sie die Mindestberechtigungen für Connectors:
| Connector | Erforderliche Berechtigungen |
|---|---|
| CrowdStrike Detections Connector | Detection.Read |
| CrowdStrike Falcon Streaming Events-Connector | Event streams.Read |
| CrowdStrike Identity Protection Detections Connector | Alerts.Read |
| CrowdStrike Incidents Connector | Incidents.Read |
Endpunkte
Die CrowdStrike Falcon-Integration interagiert mit den folgenden CrowdStrike Falcon-API-Endpunkten:
Allgemeine API-Endpunkte:
/oauth2/token
Hosts und Geräte:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
Erkennungen und Ereignisse:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
Kompromittierungsindikatoren (Indicators of Compromise, IOCs):
/intel/entities/indicators/v1/intel/queries/devices/v1
Sicherheitslücken:
/devices/combined/devices/vulnerabilities/v1
Reaktion und Eindämmung:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
Vorfälle:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
Datei- und URL-Analyse:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
Integrationsparameter
Damit die Integration richtig funktioniert, ist eine Premium-Version von CrowdStrike Falcon mit vollem Funktionsumfang erforderlich. Bestimmte Aktionen funktionieren nicht mit einer Basic-Version von CrowdStrike Falcon.
Für die CrowdStrike Falcon-Integration sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
API Root |
Ein API-Stammverzeichnis der CrowdStrike-Instanz. Der Standardwert ist |
Client API ID |
Erforderlich Die Client-ID für die CrowdStrike API. |
Client API Secret |
Erforderlich Der Clientschlüssel für die CrowdStrike API. |
Verify SSL |
Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum CrowdStrike Falcon-Server gültig ist. Diese Option ist standardmäßig nicht ausgewählt. |
Customer ID |
Optional Die Kunden-ID des Mandanten, in dem die Integration ausgeführt werden soll. Für die Verwendung in mandantenfähigen (MSSP-)Umgebungen. |
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Bevor Sie mit der Konfiguration der Integration fortfahren, müssen Sie die minimal erforderlichen Berechtigungen für jedes Integrationselement konfigurieren. Weitere Informationen finden Sie im Abschnitt Berechtigungen für Aktionen in diesem Dokument.
Kommentar zu Benachrichtigung hinzufügen
Mit der Aktion Add Alert Comment (Benachrichtigungskommentar hinzufügen) können Sie einer Benachrichtigung in CrowdStrike Falcon einen Kommentar hinzufügen.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Für die Aktion Add Alert Comment sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Alert |
Erforderlich Die ID der zu aktualisierenden Benachrichtigung. |
Comment |
Erforderlich Der Kommentar, der der Benachrichtigung hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Benachrichtigungskommentar hinzufügen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Benachrichtigungskommentar hinzufügen gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
Aktion erfolgreich. |
|
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Add Alert Comment (Warnungskommentar hinzufügen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Kommentar zur Erkennung hinzufügen
Mit der Aktion Add Comment to Detection (Kommentar zur Erkennung hinzufügen) können Sie der Erkennung in CrowdStrike Falcon einen Kommentar hinzufügen.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Für die Aktion Add Comment to Detection (Kommentar zur Erkennung hinzufügen) sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Detection ID |
Erforderlich
Die ID der Erkennung, der ein Kommentar hinzugefügt werden soll. |
Comment |
Erforderlich
Der Kommentar, der der Erkennung hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Kommentar zur Erkennung hinzufügen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Kommentar zur Erkennung hinzufügen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Kommentar zur Erkennung von Identity Protection hinzufügen
Mit der Aktion Add Identity Protection Detection Comment (Kommentar zur Erkennung von Identitätsschutz hinzufügen) können Sie einen Kommentar zur Erkennung von Identitätsschutz in CrowdStrike hinzufügen.
Für diese Aktion ist eine Identity Protection-Lizenz erforderlich.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Für die Aktion Add Identity Protection Detection Comment (Kommentar zur Erkennung von Identity Protection hinzufügen) sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Detection ID |
Erforderlich
Die ID der zu aktualisierenden Erkennung. |
Comment |
Erforderlich
Der Kommentar, der der Erkennung hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Add Identity Protection Detection Comment (Kommentar zur Identity Protection-Erkennung hinzufügen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Add Identity Protection Detection Comment (Kommentar zur Erkennung von Identity Protection hinzufügen) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
Aktion erfolgreich. |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
Aktion fehlgeschlagen. Prüfen Sie die Rechtschreibung. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Add Identity Protection Detection Comment (Kommentar zur Erkennung von Identitätsschutz hinzufügen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Kommentar zu Vorfall hinzufügen
Mit der Aktion Add Incident Comment (Vorfallskommentar hinzufügen) können Sie einem Vorfall in CrowdStrike einen Kommentar hinzufügen.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Für die Aktion Add Incident Comment sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Incident ID |
Erforderlich
ID der zu aktualisierenden Verkehrsbehinderung. |
Comment |
Erforderlich
Der Kommentar, der dem Vorfall hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Vorfallskommentar hinzufügen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Vorfallskommentar hinzufügen gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
Aktion erfolgreich. |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Aktion fehlgeschlagen. Prüfen Sie die Rechtschreibung. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Add Incident Comment (Vorfallskommentar hinzufügen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Erkennung schließen
Verwenden Sie die Aktion Close Detection (Erkennung schließen), um eine CrowdStrike Falcon-Erkennung zu schließen.
Die Aktion Update Detection (Update-Erkennung) ist die Best Practice für diesen Anwendungsfall.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Für die Aktion Close Detection sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Detection ID |
Erforderlich
Die ID des zu schließenden Erkennungsvorgangs. |
Hide Detection |
Optional
Wenn diese Option ausgewählt ist, wird die Erkennung auf der Benutzeroberfläche ausgeblendet. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion Close Detection (Erkennung von Schließvorgängen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Close Detection beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Contain Endpoint
Verwenden Sie die Aktion Contain Endpoint (Endpunkt isolieren), um einen Endpunkt in CrowdStrike Falcon zu isolieren.
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionseingaben
Für die Aktion Contain Endpoint sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Fail If Timeout |
Erforderlich
Wenn diese Option ausgewählt ist und nicht alle Endpunkte enthalten sind, schlägt die Aktion fehl. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion Contain Endpoint (Endpunkt isolieren) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
Die Aktion Contain Endpoint unterstützt die folgende Logik zur Anreicherung von Entitäten:
| Anreicherungsfeld | Logik |
|---|---|
status |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
modified_timestamp |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
major_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
policies |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
config_id_platform |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
bios_manufacturer |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
system_manufacturer |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
device_policies |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
meta |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
pointer_size |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
last_seen |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
agent_local_time |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
first_seen |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
service_pack_major |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
slow_changing_modified_timestamp |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
service_pack_minor |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
system_product_name |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
product_type_desc |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
build_number |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
cid |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
local_ip |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
external_ip |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
hostname |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
config_id_build |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
minor_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
platform_id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
os_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
config_id_base |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
provision_status |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
mac_address |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
bios_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
platform_name |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
agent_load_flags |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
device_id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
product_type |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
agent_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Contain Endpoint (Endpunkt enthalten) empfangen wird:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Ausgabemeldungen
Die Aktion Contain Endpoint (Endpunkt eingrenzen) gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
Aktion fehlgeschlagen. Prüfen Sie den Status des Endpunkts und den Wert des Parameters |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Contain Endpoint beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IOC löschen
Mit der Aktion Delete IOC (IOC löschen) können Sie benutzerdefinierte IOCs in CrowdStrike Falcon löschen.
Bei dieser Aktion werden Hostname-Entitäten als Domain-IOCs behandelt und der Domainteil aus URLs extrahiert. Diese Aktion unterstützt nur die MD5- und SHA-256-Hashes.
Die Aktion IOC löschen wird für die folgenden Entitäten ausgeführt:
- IP-Adresse
- Hostname
- URL
- Hash
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion IOC löschen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Delete IOC (IOC löschen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ausgabemeldungen
In einer Case Wall werden mit der Aktion IOC löschen die folgenden Ausgabemeldungen generiert:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Datei herunterladen
Mit der Aktion Datei herunterladen können Sie Dateien von den Hosts in CrowdStrike Falcon herunterladen.
Für diese Aktion müssen sowohl der Dateiname als auch die IP-Adresse oder ein Hostname-Objekt im Bereich der Google SecOps-Benachrichtigung enthalten sein.
Die heruntergeladene Datei befindet sich in einem passwortgeschützten ZIP-Paket. Geben Sie das folgende Passwort ein, um auf die Datei zuzugreifen: infected.
Die Aktion Datei herunterladen wird für die folgenden Entitäten ausgeführt:
- Dateiname
- IP-Adresse
- Host
Aktionseingaben
Für die Aktion Datei herunterladen sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Download Folder Path |
Erforderlich
Der Pfad zum Ordner, in dem die heruntergeladene Datei gespeichert ist. Das Format hängt von Ihrer Bereitstellung ab:
|
Overwrite |
Erforderlich
Wenn diese Option ausgewählt ist, wird die Datei mit demselben Namen überschrieben. Diese Option ist standardmäßig nicht ausgewählt. |
Aktionsausgaben
Die Aktion Datei herunterladen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle mit Elementen | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle mit Elementen
Für die Aktion Datei herunterladen ist die folgende Entitätstabelle verfügbar:
| Entität | |
|---|---|
filepath |
Absoluter Pfad zur Datei. |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion Datei herunterladen empfangen wird:
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
Ausgabemeldungen
Die Aktion Datei herunterladen gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "Download
File". Reason: ERROR_REASON
|
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
Aktion fehlgeschlagen. Prüfen Sie den Wert des Parameters |
Waiting for results for the following
entities: ENTITY_ID |
Asynchrone Nachricht |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Datei herunterladen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Befehl ausführen
Verwenden Sie die Aktion Execute Command (Befehl ausführen), um Befehle auf den Hosts in CrowdStrike Falcon auszuführen.
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionseingaben
Für die Aktion Befehl ausführen sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Command |
Erforderlich
Ein Befehl, der auf Hosts ausgeführt werden soll. |
Admin Command |
Optional
Wenn Standardmäßig |
Aktionsausgaben
Die Aktion Befehl ausführen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
In einer Case Wall werden mit der Aktion Befehl ausführen die folgenden Ausgabenachrichten bereitgestellt:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
Aktion erfolgreich. |
Error executing action "Execute Command". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Waiting for results for the following
entities: ENTITY_ID |
Asynchrone Nachricht |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Befehl ausführen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benachrichtigungsdetails abrufen
Mit der Aktion Get Alert Details (Benachrichtigungsdetails abrufen) können Sie die Details einer Benachrichtigung in CrowdStrike Falcon abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Benachrichtigungsdetails abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Alert ID |
Erforderlich. Die eindeutige ID der Benachrichtigung, für die Details abgerufen werden sollen. |
Aktionsausgaben
Die Aktion Benachrichtigungsdetails abrufen gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Get Alert Details (Benachrichtigungsdetails abrufen) empfangen werden:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Ausgabemeldungen
Die Aktion Benachrichtigungsdetails abrufen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Alert Details verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Ereignis-Offset abrufen
Verwenden Sie die Aktion Get Event Offset (Ereignis-Offset abrufen), um den vom Streaming Events Connector (Streaming-Ereignis-Connector) verwendeten Ereignis-Offset abzurufen.
Durch diese Aktion werden Ereignisse von vor 30 Tagen verarbeitet.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Event Offset sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Max Events To Process |
Erforderlich
Die Anzahl der Ereignisse, die von der Aktion ab dem Zeitpunkt vor 30 Tagen verarbeitet werden müssen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Event Offset (Ereignis-Offset abrufen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Event Offset (Ereignis-Offset abrufen) empfangen wird:
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
Ausgabemeldungen
Die Aktion Get Event Offset (Ereignis-Offset abrufen) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
Aktion erfolgreich. |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Event Offset (Ereignis-Offset abrufen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Informationen zum Host abrufen
Verwenden Sie die Aktion Get Host Information (Hostinformationen abrufen), um Informationen zum Hostnamen aus CrowdStrike Falcon abzurufen.
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- IP-Adresse
Aktionseingaben
Für die Aktion Get Host Information sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Create Insight |
Optional
Wenn diese Option ausgewählt ist, werden durch die Aktion Statistiken mit Informationen zu Entitäten erstellt. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion Hostinformationen abrufen gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
Die Aktion Get Host Information unterstützt die folgende Logik zur Anreicherung von Entitäten:
| Anreicherungsfeld | Logik |
|---|---|
modified_timestamp |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
major_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
site_name |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
platform_id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
config_id_platform |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
system_manufacturer |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
meta |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
first_seen |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
service_pack_minor |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
product_type_desc |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
build_number |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
hostname |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
config_id_build |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
minor_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
os_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
provision_status |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
mac_address |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
bios_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
agent_load_flags |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
status |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
bios_manufacturer |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
machine_domain |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
agent_local_time |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
slow_changing_modified_timestamp |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
service_pack_major |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
device_id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
system_product_name |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
product_type |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
local_ip |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
external_ip |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
cid |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
platform_name |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
config_id_base |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
last_seen |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
pointer_size |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
agent_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Host Information (Hostinformationen abrufen) empfangen wird:
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
Ausgabemeldungen
Die Aktion Hostinformationen abrufen gibt die folgenden Ausgabenachrichten zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Host Information (Hostinformationen abrufen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Hosts nach IOC abrufen – eingestellt
Hosts auflisten, die mit den IOCs in CrowdStrike Falcon in Verbindung stehen. Unterstützte Einheiten: Hostname, URL, IP-Adresse und Hash.
Hinweis:Hostname-Entitäten werden als Domain-IOCs behandelt. Mit der Aktion wird der Domainteil aus URLs extrahiert. Es werden nur die MD5- und SHA-256-Hashes unterstützt.
Entitäten
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
- URL
- Hash
Aktionseingaben
–
Aktionsausgaben
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
Entitätsanreicherung
| Anreicherungsfeld | Logik |
|---|---|
| modified_timestamp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| major_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| site_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| platform_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| config_id_platform | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| system_manufacturer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Meta | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| first_seen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| service_pack_minor | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| product_type_desc | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| build_number | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Hostname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| config_id_build | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| minor_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| os_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| provision_status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| mac_address | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| bios_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| agent_load_flags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| bios_manufacturer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| machine_domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Device_policies | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| agent_local_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| slow_changing_modified_timestamp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| service_pack_major | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| system_product_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| product_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| local_ip | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| external_ip | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| cid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| platform_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| config_id_base | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Richtlinien | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| last_seen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| pointer_size | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| agent_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Entitätsstatistiken
–
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Bei Erfolg und wenn mindestens ein Host im Zusammenhang mit den bereitgestellten IOCs gefunden wird (is_success=true): „Successfully retrieved hosts related to the provided IOCs in CrowdStrike Falcon.“ (Die Hosts im Zusammenhang mit den bereitgestellten IOCs wurden in CrowdStrike Falcon erfolgreich abgerufen.) Wenn keine zugehörigen Hosts gefunden werden (is_success=false): „No hosts were related to the provided IOCs in CrowdStrike Falcon.“ (Es wurden keine Hosts gefunden, die mit den angegebenen IOCs in CrowdStrike Falcon in Verbindung stehen.) Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn ein kritischer Fehler gemeldet wird: „Fehler bei der Ausführung der Aktion ‚{action name}‘. Grund: {traceback}.“ |
Allgemein |
Prozessname nach IOC abrufen – eingestellt
Prozesse abrufen, die mit den IOCs und bereitgestellten Geräten in CrowdStrike Falcon zusammenhängen. Unterstützte Einheiten: Hostname, URL, IP-Adresse und Hash.
Hinweis:Hostname-Entitäten werden als Domain-IOCs behandelt. Mit der Aktion wird der Domainteil aus URLs extrahiert. Es werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt. Die IP-Adressentitäten werden als IOCs behandelt.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Gerätenamen | 11 | – | Ja | Geben Sie eine durch Kommas getrennte Liste der Geräte an, für die Sie Prozesse abrufen möchten, die mit Entitäten verknüpft sind. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- URL
- Hash
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Prozessname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Anzeige | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Hostname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Entitätsstatistiken
–
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen: Wenn Prozesse gefunden werden, die sich auf Entitäten für mindestens einen Endpunkt beziehen (is_success=true): „Prozesse, die sich auf die IOCs auf den folgenden Endpunkten in CrowdStrike Falcon beziehen, wurden erfolgreich abgerufen: {Gerätename}.“ Wenn für mindestens einen Endpunkt keine Prozesse gefunden werden oder das Gerät nicht gefunden wird (is_success=true): „Für die folgenden Endpunkte in CrowdStrike Falcon wurden keine zugehörigen Prozesse gefunden: {device name}.“ Wenn keine Prozesse für alle Endpunkte gefunden werden oder keines der Geräte gefunden wird (is_success=false): „Es wurden keine zugehörigen Prozesse an den angegebenen Endpunkten in CrowdStrike Falcon gefunden. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn ein kritischer Fehler gemeldet wird : „Fehler bei der Ausführung von ‚{action name}‘. Grund: {trace back}.“ |
Vertex-Details abrufen
Mit der Aktion Get Vertex Details (Vertex-Details abrufen) können Sie alle Eigenschaften auflisten, die einem bestimmten Indikator zugeordnet sind.
Die Google SecOps-Entitäten werden als IOCs betrachtet.
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- URL
- Hash
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Vertex-Details abrufen gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
Die Aktion Vertex-Details abrufen unterstützt die folgenden Anreicherungen:
| Anreicherungsfeld | Logik |
|---|---|
vertex_type |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
timestamp |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
object_id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
properties |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
edges |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
scope |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
customer_id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
device_id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Vertex Details (Vertex-Details abrufen) empfangen wird:
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Vertex Details (Vertex-Details abrufen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Endpunkt für die eingeschlossene Steigerung
Verwenden Sie die Aktion Lift Contained Endpoint (Endpunkt-Containment aufheben), um ein Endpunkt-Containment in CrowdStrike Falcon aufzuheben.
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionseingaben
Für die Aktion Lift Contained Endpoint sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Fail If Timeout |
Erforderlich
Wenn diese Option ausgewählt ist und die Eindämmung nicht auf allen Endpunkten aufgehoben wird, schlägt die Aktion fehl. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion Endpunkt mit Steigerung liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
Die Aktion Lift Contained Endpoint unterstützt die folgenden Entitätsanreicherungen:
| Anreicherungsfeld | Logik |
|---|---|
status |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
modified_timestamp |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
major_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
config_id_platform |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
system_manufacturer |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
device_policies |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
meta |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
pointer_size |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
last_seen |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
agent_local_time |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
first_seen |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
service_pack_major |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
slow_changing_modified_timestamp |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
service_pack_minor |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
system_product_name |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
product_type_desc |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
build_number |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
cid |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
local_ip |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
external_ip |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
hostname |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
config_id_build |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
minor_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
platform_id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
os_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
config_id_base |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
provision_status |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
mac_address |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
bios_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
platform_name |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
agent_load_flags |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
device_id |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
product_type |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
agent_version |
Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Lift Contained Endpoint empfangen wird:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Ausgabemeldungen
Die Aktion Lift Contained Endpoint (Endpunkt für eingeschlossene Steigerung) gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
Asynchrone Nachricht |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
Aktion fehlgeschlagen. Prüfen Sie den Status des Endpunkts und den Wert des Parameters |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Lift Contained Endpoint beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Host-Sicherheitslücken auflisten
Mit der Aktion List Host Vulnerabilities (Host-Sicherheitslücken auflisten) können Sie Sicherheitslücken auflisten, die auf dem Host in CrowdStrike Falcon gefunden wurden.
Für diese Aktion sind eine Falcon Spotlight-Lizenz und Berechtigungen erforderlich.
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionseingaben
Für die Aktion List Host Vulnerabilities sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Severity Filter |
Optional
Eine durch Kommas getrennte Liste von Schweregraden von Sicherheitslücken. Wenn Sie keinen Wert angeben, werden alle zugehörigen Sicherheitslücken in die Aktion aufgenommen. Folgende Werte sind möglich:
|
Create Insight |
Optional
Wenn diese Option ausgewählt ist, wird für jede Entität, die statistische Informationen zu zugehörigen Sicherheitslücken enthält, ein Insight erstellt. Standardmäßig ausgewählt. |
Max Vulnerabilities To Return |
Optional
Die Anzahl der Sicherheitslücken, die für einen einzelnen Host zurückgegeben werden sollen. Wenn Sie keinen Wert angeben, werden alle zugehörigen Sicherheitslücken verarbeitet. Der Standardwert ist |
Aktionsausgaben
Die Aktion List Host Vulnerabilities (Sicherheitslücken des Hosts auflisten) gibt Folgendes aus:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
In einer Case Wall wird mit der Aktion List Host Vulnerabilities (Host-Schwachstellen auflisten) die folgende Tabelle bereitgestellt:
Typ: Entität
Spalten:
- Name
- Punktzahl
- Schweregrad
- Status
- App
- Mit Behebung
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion List Host Vulnerabilities (Host-Sicherheitslücken auflisten) empfangen wird:
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
Ausgabemeldungen
Die Aktion List Host Vulnerabilities (Host-Sicherheitslücken auflisten) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
Aktion fehlgeschlagen. Prüfen Sie den Parameterwert |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Host Vulnerabilities (Host-Sicherheitslücken auflisten) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Hosts auflisten
Mit der Aktion List Hosts (Hosts auflisten) können Sie verfügbare Hosts in CrowdStrike Falcon auflisten.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Für die Aktion Hosts auflisten sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Filter Logic |
Optional
Eine Logik, die bei der Suche nach Hosts verwendet werden soll. Der Standardwert ist
|
Filter Value |
Optional
Ein Wert, der für die Hostfilterung verwendet werden soll. |
Max Hosts To Return |
Optional
Die Anzahl der zurückzugebenden Hosts. Der Standardwert ist Der Höchstwert ist |
Aktionsausgaben
Die Aktion List Hosts (Hosts auflisten) gibt Folgendes aus:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion List Hosts (Hosts auflisten) empfangen wird:
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
Ausgabemeldungen
Die Aktion Hosts auflisten gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "List Hosts".
Reason: ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Skriptergebnisausgabe bei Verwendung der Aktion Hosts auflisten beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Hochgeladene IOCs auflisten
Verwenden Sie die Aktion List Uploaded IOCs, um die verfügbaren benutzerdefinierten IOCs in CrowdStrike Falcon aufzulisten.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Für die Aktion List Uploaded IOCs sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
IOC Type Filter |
Optional
Eine durch Kommas getrennte Liste der zurückzugebenden IOC-Typen. Der Standardwert ist
|
Value Filter Logic |
Optional
Ein Wert der Filterlogik. Der Standardwert ist
Wenn |
Value Filter String |
Optional
Ein String, mit dem unter IOCs gesucht werden soll. |
Max IOCs To Return |
Optional
Die Anzahl der zurückzugebenden IOCs. Der Standardwert ist Der Höchstwert ist 500. |
Aktionsausgaben
Die Aktion List Uploaded IOCs (Hochgeladene IOCs auflisten) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
In einer Case Wall wird mit der Aktion List Uploaded IOCs (Hochgeladene IOCs auflisten) die folgende Tabelle bereitgestellt:
Spalten:
- Aktion
- Schweregrad
- Unterzeichnet
- AV Hits
- Plattformen
- Tags
- Erstellt am
- Erstellt von
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion List Uploaded IOCs (Hochgeladene IOCs auflisten) empfangen wird:
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
Ausgabemeldungen
Die Aktion List Uploaded IOCs (Hochgeladene IOCs auflisten) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
Aktion erfolgreich. |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
Aktion fehlgeschlagen. Prüfen Sie die Rechtschreibung und den Parameterwert |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Uploaded IOCs (Hochgeladene IOCs auflisten) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
On-Demand-Scan
Verwenden Sie die Aktion On-Demand Scan (On-Demand-Scan), um den Endpunkt in CrowdStrike auf Anfrage zu scannen.
Diese Aktion wird nur auf Windows-Hosts und den folgenden Entitäten ausgeführt:
- IP-Adresse
- Hostname
Die Aktion On-Demand-Scan wird asynchron ausgeführt. Passen Sie den Script-Timeout-Wert bei Bedarf in der Google SecOps IDE an.
Aktionseingaben
Für die Aktion On-Demand-Scan sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
File Paths To Scan |
Erforderlich Eine durch Kommas getrennte Liste der zu scannenden Pfade. Der Standardwert ist |
File Paths To Exclude From Scan |
Optional Eine durch Kommas getrennte Liste von Pfaden, die vom Scannen ausgeschlossen werden sollen. |
Host Group Name |
Optional Eine durch Kommas getrennte Liste von Hostgruppennamen, für die der Scan gestartet werden soll. Durch die Aktion wird für jede Hostgruppe ein separater Scanvorgang erstellt. |
Scan Description |
Optional Eine Beschreibung für den Scanvorgang. Wenn Sie keinen Wert festlegen, wird die Beschreibung durch die Aktion auf Folgendes gesetzt: |
CPU Priority |
Optional Die Menge an CPU, die für den zugrunde liegenden Host während des Scans verwendet werden soll. Folgende Werte sind möglich:
Der Standardwert ist |
Sensor Anti-malware Detection Level |
Optional Der Wert des Anti-Malware-Erkennungsniveaus des Sensors. Das Erkennungsniveau muss gleich oder höher als das Präventionsniveau sein. Folgende Werte sind möglich:
Der Standardwert ist |
Sensor Anti-malware Prevention Level |
Optional Der Wert der Anti-Malware-Präventionsstufe des Sensors. Das Erkennungsniveau muss gleich oder höher als das Präventionsniveau sein. Folgende Werte sind möglich:
Der Standardwert ist |
Cloud Anti-malware Detection Level |
Optional Der Wert der Cloud-Anti-Malware-Erkennungsebene. Das Erkennungsniveau muss gleich oder höher als das Präventionsniveau sein. Folgende Werte sind möglich:
Der Standardwert ist |
Cloud Anti-malware Prevention Level |
Optional Der Wert der Cloud-Malware-Präventionsebene. Das Erkennungsniveau muss gleich oder höher als das Präventionsniveau sein. Folgende Werte sind möglich:
Der Standardwert ist |
Quarantine Hosts |
Optional Wenn diese Option ausgewählt ist, werden die zugrunde liegenden Hosts im Rahmen des Scans unter Quarantäne gestellt. Diese Option ist standardmäßig nicht ausgewählt. |
Create Endpoint Notification |
Optional Wenn diese Option ausgewählt ist, wird durch den Scanvorgang eine Endpunktbenachrichtigung erstellt. Standardmäßig ausgewählt. |
Max Scan Duration |
Optional Die Anzahl der Stunden, die ein Scan ausgeführt wird. Wenn Sie keinen Wert angeben, wird der Scan fortlaufend ausgeführt. |
Aktionsausgaben
Die Aktion On-Demand-Scan liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion On-Demand Scan (On-Demand-Scan) empfangen wird:
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
Ausgabemeldungen
Die Aktion On-Demand-Scan gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
|
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion On-Demand-Scan beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu CrowdStrike Falcon zu testen.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Skript ausführen
Verwenden Sie die Aktion Run Script (Skript ausführen), um ein PowerShell-Skript auf den Endpunkten in CrowdStrike auszuführen.
Diese Aktion ist asynchron. Passen Sie bei Bedarf den Script-Timeout-Wert in der Google SecOps IDE an.
Diese Aktion wird für die Entitäten „IP-Adresse“ und „Hostname“ ausgeführt.
Aktionseingaben
Für die Aktion Skript ausführen sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Customer ID |
Optional Die ID des Kunden, für den die Aktion ausgeführt werden soll. |
Script Name |
Optional Der Name der auszuführenden Skriptdatei. Konfigurieren Sie entweder den Parameter |
Raw Script |
Optional Eine Roh-PowerShell-Skriptnutzlast, die auf Endpunkten ausgeführt werden soll. Konfigurieren Sie entweder den Parameter |
Aktionsausgaben
Die Aktion Skript ausführen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
In einem Fall-Repository werden bei der Aktion Skript ausführen die folgenden Ausgabemeldungen angezeigt:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
|
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Skript ausführen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ereignisse suchen
Mit dieser Aktion können Sie in CrowdStrike nach Ereignissen suchen. Hinweis: Die Aktion wird asynchron ausgeführt. Passen Sie den Script-Zeitlimitwert in der Google SecOps IDE für die Aktion bei Bedarf an.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Für die Aktion Search Events sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Repository |
Erforderlich
Repository, in dem gesucht werden soll. Folgende Werte sind möglich:
|
Query |
Erforderlich
Abfrage, die in CrowdStrike ausgeführt werden muss. Hinweis: Geben Sie „head“ nicht als Teil der Anfrage an. Die Aktion stellt sie automatisch auf Grundlage des Werts bereit, der im Parameter „Max Results To Return“ (Maximal zurückzugebende Ergebnisse) angegeben ist. |
Time Frame |
Optional
Zeitrahmen für die Ergebnisse. Wenn „Benutzerdefiniert“ ausgewählt ist, müssen Sie auch „Beginn“ angeben. Mögliche Werte für „Letzte Stunde“:
|
Start Time |
Optional
Startzeit für die Ergebnisse. Wenn für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist, ist dieser Parameter obligatorisch. Format: ISO 8601. |
End Time |
Optional
Anzahl der Ergebnisse, die für die Abfrage zurückgegeben werden sollen. Durch die Aktion wird der bereitgestellten Anfrage „head“ angehängt. Standard: 50. Maximum: 1.000 |
Aktionsausgaben
Die Aktion Search Events (Ereignisse suchen) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
In einem Fall-Repository werden mit der Aktion Search Events (Ereignisse suchen) die folgenden Ausgabenachrichten generiert:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
|
Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden. |
|
|
Aktion fehlgeschlagen. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Search Events (Ereignisse suchen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Datei einreichen
Verwenden Sie die Aktion Datei einreichen, um Dateien in einer Sandbox in CrowdStrike einzureichen.
Für diese Aktion ist eine Falcon Sandbox-Lizenz erforderlich.
Diese Aktion wird nicht für Elemente ausgeführt.
Unterstützte Datei- und Archivformate
Laut CrowdStrike-Portal unterstützt die Sandbox die folgenden Dateiformate:
| Unterstützte Dateiformate | |
|---|---|
.exe, .scr, .pif,
.dll, .com, .cpl |
Tragbare ausführbare Dateien |
.doc, .docx, .ppt,
.pps, .pptx, .ppsx,
.xls, .xlsx, .rtf,
.pub |
Office-Dokumente |
.pdf |
|
.apk |
APK |
.jar |
Ausführbare JAR-Datei |
.sct |
Windows-Scriptkomponente |
.lnk |
Windows-Verknüpfung |
.chm |
Windows-Hilfe |
.hta |
HTML-Anwendung |
.wsf |
Windows-Skriptdatei |
.js |
JavaScript |
.vbs, .vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1, .psd1, .psm1 |
Powershell |
.svg |
Skalierbare Vektorgrafiken |
.py |
Python |
.elf |
Ausführbare Linux-ELF-Dateien |
.eml |
E‑Mail-Dateien: MIME RFC 822 |
.msg |
E-Mail-Dateien: Outlook |
Laut CrowdStrike-Portal unterstützt die Sandbox die folgenden Archivformate:
.zip.7z
Aktionseingaben
Für die Aktion Datei einreichen sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
File Paths |
Erforderlich
Eine Liste mit absoluten Pfaden zu den eingereichten Dateien. Das Format hängt von Ihrer Bereitstellung ab:
Eine Liste der unterstützten Dateiformate finden Sie unter Unterstützte Datei- und Archivformate. |
Sandbox Environment |
Optional
Eine Sandbox-Umgebung für die Analyse. Der Standardwert ist
|
Network Environment |
Optional
Eine zu analysierende Netzwerkumgebung. Der Standardwert ist
|
Archive Password |
Optional
Ein Passwort, das bei der Arbeit mit Archivdateien verwendet werden soll. |
Document Password |
Optional
Ein Passwort für die Arbeit mit Adobe- oder Office-Dateien. Das Passwort darf maximal 32 Zeichen lang sein. |
Check Duplicate |
Optional
Wenn diese Option ausgewählt ist, wird geprüft, ob die Datei bereits zuvor eingereicht wurde, und der verfügbare Bericht wird zurückgegeben. Bei der Validierung werden die Parameter Standardmäßig ausgewählt. |
Comment |
Optional
Ein Kommentar, der eingereicht werden soll. |
Confidential Submission |
Optional
Wenn diese Option ausgewählt ist, wird die Datei nur Nutzern in Ihrem Kundenkonto angezeigt. Diese Option ist standardmäßig nicht ausgewählt. |
Aktionsausgaben
Die Aktion Datei einreichen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
In einer Case Wall wird mit der Aktion Datei einreichen die folgende Tabelle angezeigt:
Spalten:
- Ergebnisse
- Name
- Bedrohungsbewertung
- Urteil
- Tags
Ausgabemeldungen
Die Aktion Datei einreichen gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
|
Die Aktion hat einen Fehler zurückgegeben. Prüfen Sie die unterstützten Dateiformate für diese Aktion. |
Waiting for results for the following
files: PATHS |
Asynchrone Nachricht |
Error executing action "Submit File".
Reason: ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
Aktion fehlgeschlagen. Erhöhen Sie das Zeitlimit in der IDE. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Skriptergebnisausgabe bei Verwendung der Aktion Datei senden beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
URL senden
Verwenden Sie die Aktion URL senden, um URLs an eine Sandbox in CrowdStrike zu senden.
Für diese Aktion ist eine Falcon Sandbox-Lizenz erforderlich. Informationen dazu, welche Dateiformate von der Sandbox unterstützt werden, finden Sie im Abschnitt Unterstützte Datei- und Archivformate in diesem Dokument.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Für die Aktion URL einreichen sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
URLs |
Erforderlich
Einzureichende URLs. |
Sandbox Environment |
Optional
Eine Sandbox-Umgebung für die Analyse. Der Standardwert ist
|
Network Environment |
Optional
Eine zu analysierende Netzwerkumgebung. Der Standardwert ist
|
Check Duplicate |
Optional
Wenn diese Option ausgewählt ist, wird geprüft, ob die URL bereits eingereicht wurde, und der verfügbare Bericht wird zurückgegeben. Bei der Validierung werden die Parameter Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion URL senden bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion URL einreichen gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Waiting for results for the following
URLs: PATHS |
Asynchrone Nachricht |
Error executing action "Submit URL".
Reason: ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
Aktion fehlgeschlagen. Erhöhen Sie das Zeitlimit in der IDE. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion URL einreichen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benachrichtigung ändern
Mit der Aktion Update Alert (Benachrichtigung aktualisieren) können Sie Benachrichtigungen in CrowdStrike Falcon aktualisieren.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Für die Aktion Update Alert sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Alert ID |
Erforderlich Die ID der zu aktualisierenden Benachrichtigung. |
Status |
Optional Der Status der Benachrichtigung. Folgende Werte sind möglich:
|
Verdict |
Optional Das Ergebnis der Benachrichtigung. Folgende Werte sind möglich:
|
Assign To |
Optional Der Name des Analysten, dem die Benachrichtigung zugewiesen werden soll. Wenn Sie Die API akzeptiert jeden Wert, auch wenn der angegebene Nutzer nicht im System vorhanden ist. |
Aktionsausgaben
Die Aktion Update Alert (Benachrichtigung über Update) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Benachrichtigung aktualisieren empfangen wird:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Ausgabemeldungen
Die Aktion Update Alert (Benachrichtigung über Update) gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
Aktion erfolgreich. |
|
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Update Alert (Benachrichtigung aktualisieren) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Update-Erkennung
Verwenden Sie die Aktion Update Detection (Erkennung aktualisieren), um Erkennungen in CrowdStrike Falcon zu aktualisieren.
Diese Aktion wird für alle Elemente ausgeführt.
Aktionseingaben
Für die Aktion Update Detection sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Detection ID |
Erforderlich
Die ID der zu aktualisierenden Erkennung. |
Status |
Erforderlich
Ein Erkennungsstatus. Der Standardwert ist
|
Assign Detection to |
Optional
Die E-Mail-Adresse des CrowdStrike Falcon-Nutzers, der der Erkennung zugewiesen ist. |
Aktionsausgaben
Die Aktion Update Detection (Update-Erkennung) gibt Folgendes aus:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Update Detection (Update-Erkennung) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
Aktion erfolgreich. |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
Aktion fehlgeschlagen. Prüfen Sie die Werte der Parameter |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Update Detection (Update-Erkennung) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Identity Protection-Erkennung aktualisieren
Verwenden Sie Update Identity Protection Detection (Erkennung von Identitätsschutz aktualisieren), um eine Erkennung von Identitätsschutz in CrowdStrike zu aktualisieren.
Für diese Aktion ist eine Identity Protection-Lizenz erforderlich.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Für die Aktion Update Identity Protection Detection sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Detection ID |
Erforderlich
Die ID der zu aktualisierenden Erkennung. |
Status |
Optional
Der Status der Erkennung. Der Standardwert ist Folgende Werte sind möglich:
|
Assign to |
Optional
Der Name des zugewiesenen Analysten. Wenn Wenn ein ungültiger Wert angegeben wird, ändert die Aktion den aktuellen Zuweisungsempfänger nicht. |
Aktionsausgaben
Die Aktion Update Identity Protection Detection (Identity Protection-Erkennung aktualisieren) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion Update Identity Protection Detection (Erkennung von Identitätsschutz aktualisieren) empfangen wird:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Ausgabemeldungen
In einer Case Wall werden mit der Aktion Update Identity Protection Detection (Identity Protection-Erkennung aktualisieren) die folgenden Ausgabemeldungen bereitgestellt:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
Aktion erfolgreich. |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
Aktion fehlgeschlagen. Prüfen Sie die Rechtschreibung. |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
Aktion fehlgeschlagen. Prüfen Sie die Werte der Parameter |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Update Identity Protection Detection (Identity Protection-Erkennung aktualisieren) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Vorfall aktualisieren
Verwenden Sie die Aktion Update Incident (Vorfall aktualisieren), um Vorfälle in CrowdStrike zu aktualisieren.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Für die Aktion Vorfall aktualisieren sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Incident ID |
Erforderlich
Die ID der zu aktualisierenden Verkehrsbehinderung. |
Status |
Optional
Der Status des Vorfalls. Folgende Werte sind möglich:
|
Assign to |
Optional
Der Name oder die E-Mail-Adresse des zugewiesenen Analysten. Wenn Geben Sie den Vor- und Nachnamen des Analysten im folgenden Format an:
|
Aktionsausgaben
Die Aktion Update Incident (Vorfälle aktualisieren) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Update Incident (Vorfall aktualisieren) empfangen wird:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Ausgabemeldungen
Die Aktion Update Incident (Vorfall aktualisieren) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
Aktion erfolgreich. |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Aktion fehlgeschlagen. Prüfen Sie die Rechtschreibung. |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
Aktion fehlgeschlagen. Prüfen Sie die Rechtschreibung. |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
Aktion fehlgeschlagen. Eingabeparameter prüfen |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Update Incident (Vorfall aktualisieren) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IOC-Informationen aktualisieren
Verwenden Sie die Aktion Update IOC Information (IOC-Informationen aktualisieren), um Informationen zu benutzerdefinierten IOCs in CrowdStrike Falcon zu aktualisieren.
Bei dieser Aktion werden Hostname-Entitäten als Domain-IOCs behandelt und der Domainteil aus URLs extrahiert. Diese Aktion unterstützt nur die MD5- und SHA-256-Hashes.
Die Aktion IOC-Informationen aktualisieren wird für die folgenden Entitäten ausgeführt:
- Hostname
- URL
- IP-Adresse
- Hash
Aktionseingaben
Für die Aktion IOC-Informationen aktualisieren sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Description |
Optional
Eine neue Beschreibung für benutzerdefinierte IOCs. |
Source |
Optional
Eine Quelle für benutzerdefinierte IOCs. |
Expiration days |
Optional
Die Anzahl der Tage bis zum Ablauf. Dieser Parameter wirkt sich nur auf die URL-, IP-Adress- und Hostname-Entitäten aus. |
Detect policy |
Optional
Wenn diese Option ausgewählt ist, wird eine Benachrichtigung für die ermittelten IOCs gesendet. Wenn diese Option nicht ausgewählt ist, wird bei der Aktion keine Benachrichtigung gesendet. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion IOC-Informationen aktualisieren bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion IOC-Informationen aktualisieren empfangen wird:
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
Ausgabemeldungen
In einer Case Wall werden mit der Aktion IOC-Informationen aktualisieren die folgenden Ausgabenachrichten bereitgestellt:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOC-Informationen aktualisieren beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IOCs hochladen
Verwenden Sie die Aktion IOCs hochladen, um benutzerdefinierte IOCs in CrowdStrike Falcon hinzuzufügen.
Bei dieser Aktion werden Hostname-Entitäten als Domain-IOCs behandelt und der Domainteil aus URLs extrahiert. Diese Aktion unterstützt nur die MD5- und SHA-256-Hashes.
Die Aktion IOCs hochladen wird für die folgenden Entitäten ausgeführt:
- IP-Adresse
- Hostname
- URL
- Hash
Aktionseingaben
Für die Aktion IOCs hochladen sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Platform |
Erforderlich
Eine durch Kommas getrennte Liste von Plattformen, die mit dem IOC in Verbindung stehen. Der Standardwert ist
|
Severity |
Erforderlich
Der Schweregrad des IOC. Der Standardwert ist
|
Comment |
Optional
Ein Kommentar mit mehr Kontext zum IOC. |
Host Group Name |
Erforderlich
Der Name der Hostgruppe. |
Action |
Optional
Eine Aktion für hochgeladene IOCs. Der Standardwert ist Folgende Werte sind möglich:
Der Wert |
Aktionsausgaben
Die Aktion IOCs hochladen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion IOCs hochladen gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
Aktion fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
Aktion fehlgeschlagen. Prüfen Sie den Parameterwert |
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
Aktion fehlgeschlagen. Prüfen Sie den Parameterwert |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOCs hochladen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Connectors
Prüfen Sie, ob Sie die Mindestberechtigungen für jeden CrowdStrike-Connector konfiguriert haben. Weitere Informationen finden Sie im Abschnitt Connector-Berechtigungen in diesem Dokument.
Eine Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
CrowdStrike-Ereignisse
Ereignisse sind Informationen, die von den Falcon-Sensoren auf Ihren Hosts erfasst werden. Es gibt vier Arten von Ereignissen in CrowdStrike:
| CrowdStrike-Ereignistypen | |
|---|---|
| Audit-Log-Ereignisse zu Authentifizierungsaktivitäten | Ereignisse, die jedes Mal generiert werden, wenn die Autorisierung an Endpunkten angefordert, zugelassen oder abgeschlossen wird. |
| Zusammenfassung der Erkennungen | Ereignisse, die generiert werden, wenn auf Endpunkten Bedrohungen erkannt werden. |
| Ereignisse zum Ende von Remote-Antwortsitzungen | Ereignisse, die aus Remotesitzungen an Endpunkten generiert werden. |
| Prüfereignisse für Nutzeraktivitäten | Ereignisse, die generiert werden, um Aktivitäten aktiver Nutzer auf Endpunkten zu überwachen. |
Connectors erfassen Ereignisse in Google SecOps, um Warnungen zu erstellen und Fälle mit Ereignisdaten anzureichern. Sie können auswählen, welche Ereignisse in Google SecOps aufgenommen werden sollen: alle Ereignistypen oder ausgewählte.
CrowdStrike Detections Connector
Mit dem CrowdStrike Detections Connector können Sie Erkennungen aus CrowdStrike abrufen.
Die dynamische Liste funktioniert mit Filtern, die von der CrowdStrike API unterstützt werden.
Mit der dynamischen Liste arbeiten
Beachten Sie beim Arbeiten mit der dynamischen Liste die folgenden Empfehlungen:
- Verwenden Sie die CrowdStrike-FQL-Sprache, um den vom Connector gesendeten Filter zu ändern.
- Geben Sie für jeden Filter einen separaten Eintrag in der dynamischen Liste an.
Damit alle einem bestimmten Analysten zugewiesenen Erkennungen aufgenommen werden, muss der Analyst den folgenden dynamischen Listeneintrag angeben:
assigned_to_name:'ANALYST_USER_NAME'
Die dynamische Liste unterstützt die folgenden Parameter:
| Unterstützte Parameter | |
|---|---|
q |
Eine Volltextsuche in allen Metadatenfeldern. |
date_updated |
Das Datum der letzten Aktualisierung der Erkennung. |
assigned_to_name |
Der für Menschen lesbare Nutzername des Nutzers, dem die Erkennung zugewiesen ist. |
max_confidence |
Wenn einer Erkennung mehrere zugehörige Verhaltensweisen mit unterschiedlichen Konfidenzniveaus zugeordnet sind, wird in diesem Feld der höchste Konfidenzwert aller Verhaltensweisen erfasst. Der Parameterwert kann eine beliebige Ganzzahl zwischen 1 und 100 sein. |
detection_id |
Die Erkennungs-ID, die in Verbindung mit anderen APIs wie der Detection Details API oder der Resolve Detection API verwendet werden kann. |
max_severity |
Wenn einer Erkennung mehrere zugehörige Verhaltensweisen mit unterschiedlichen Schweregraden zugeordnet sind, enthält dieses Feld den höchsten Schweregrad aller Verhaltensweisen. Der Parameterwert kann eine beliebige Ganzzahl zwischen 1 und 100 sein. |
max_severity_displayname |
Der Name, der in der Benutzeroberfläche verwendet wird, um den Schweregrad der Erkennung zu bestimmen. Folgende Werte sind möglich:
|
seconds_to_triaged |
Die Zeit, die erforderlich ist, damit sich der Status einer Erkennung von new zu in_progress ändert. |
seconds_to_resolved |
Die Zeit, die erforderlich ist, damit sich der Status einer Erkennung von new in einen der behobenen Status (true_positive, false_positive, ignored und closed) ändert. |
status |
Der aktuelle Status der Erkennung. Folgende Werte sind möglich:
|
adversary_ids |
Der von CrowdStrike Falcon Intelligence verfolgte Angreifer hat eine ID, die mit den zugeordneten Verhaltensweisen oder Indikatoren in einer Erkennung verknüpft ist. Diese IDs befinden sich in den Metadaten einer Erkennung, auf die über die Detection Details API zugegriffen werden kann. |
cid |
Die Kundennummer Ihrer Organisation. |
Connector-Parameter
Für den CrowdStrike Detections Connector sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Product Field Name |
Erforderlich
Der Name des Quellfelds, das den Namen Der Standardwert ist |
Event Field Name |
Erforderlich
Der Name des Quellfelds, das den Namen Der Standardwert ist |
Environment Field Name |
Optional
Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Standardumgebung verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert ist |
API Root |
Erforderlich
Der API-Stammpfad der CrowdStrike-Instanz. Der Standardwert ist |
Client ID |
Erforderlich
Die Client-ID des CrowdStrike-Kontos. |
Client Secret |
Erforderlich
Der Clientschlüssel des CrowdStrike-Kontos. |
Lowest Severity Score To Fetch |
Optional
Der niedrigste Schweregrad der abzurufenden Erkennungen. Wenn kein Wert angegeben wird, wendet der Connector diesen Filter nicht an. Der Höchstwert ist Der Standardwert ist |
Lowest Confidence Score To Fetch |
Optional
Der niedrigste Konfidenzwert der abzurufenden Erkennungen. Wenn kein Wert angegeben wird, wendet der Connector diesen Filter nicht an. Der Höchstwert ist Der Standardwert ist |
Max Hours Backwards |
Optional
Die Anzahl der Stunden, aus denen Erkennungen abgerufen werden sollen. Der Standardwert ist |
Max Detections To Fetch |
Optional
Die Anzahl der zu verarbeitenden Erkennungen in einer einzelnen Connector-Iteration. Der Standardwert ist |
Disable Overflow |
Optional Wenn diese Option ausgewählt ist, ignoriert der Connector den Überlaufmechanismus. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich
Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum CrowdStrike-Server gültig ist. Diese Option ist standardmäßig nicht ausgewählt. |
Proxy Server Address |
Optional
Eine Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional
Ein Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional
Ein Proxy-Passwort für die Authentifizierung. |
Case Name Template |
Optional
Falls angegeben, fügt der Connector dem Google SecOps-Ereignis einen neuen Schlüssel namens Sie können Platzhalter im folgenden Format angeben: [ Hinweis: Der Connector verwendet das erste Google SecOps-Ereignis für Platzhalter. Dieser Parameter lässt nur Schlüssel mit einem Stringwert zu. |
Alert Name Template |
Optional
Falls angegeben, wird dieser Wert vom Connector für den Google SecOps-Hinweisnamen verwendet. Sie können Platzhalter im folgenden Format angeben: [ Hinweis: Wenn Sie keinen Wert oder eine ungültige Vorlage angeben, verwendet der Connector den Standardnamen für Benachrichtigungen. Der Connector verwendet das erste Google SecOps-Ereignis für Platzhalter. Dieser Parameter lässt nur Schlüssel mit einem Stringwert zu. |
Padding Period |
Optional
Die Anzahl der Stunden, die der Connector für das Auffüllen verwendet. Der Höchstwert ist |
Include Hidden Alerts |
Optional
Wenn diese Option aktiviert ist, ruft der Connector auch Benachrichtigungen ab, die von CrowdStrike als „hidden“ (verborgen) gekennzeichnet sind. |
Fallback Severity |
Optional
Fallback-Schweregrad für die Google SecOps-Benachrichtigung, die auf die CrowdStrike-Benachrichtigungen angewendet werden soll, in denen keine Informationen zum Schweregrad enthalten sind. Mögliche Werte: „Informational“, „Low“, „Medium“, „High“, „Critical“. Wenn nichts angegeben ist, wird für den Connector der Schweregrad „Informational“ verwendet. |
Customer ID |
Optional Die Kundennummer des Mandanten, in dem der Connector ausgeführt werden soll. Für die Verwendung in mandantenfähigen (MSSP-)Umgebungen. |
Connector-Regeln
Der Connector unterstützt Proxys.
Connector-Ereignisse
Ein Beispiel für das Connector-Ereignis:
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
CrowdStrike Falcon Streaming Events-Connector
Der CrowdStrike Falcon Streaming Events Connector deckt die folgenden Anwendungsfälle ab:
Aufnahme von Daten zu Erkennungsereignissen:
CrowdStrike Falcon erkennt einen Versuch, die schädliche Datei
SophosCleanM.exeauf einem Endpunkt auszuführen. CrowdStrike beendet den Vorgang und erstellt eine Benachrichtigung mit Dateihashes in den Ereignisdaten.Ein Analyst, der sich für die Dateireputation interessiert, führt entdeckte Hashes in VirusTotal aus und stellt fest, dass ein Hash schädlich ist. Im nächsten Schritt wird die schädliche Datei durch die McAfee EDR-Aktion unter Quarantäne gestellt.
Erfassung von Daten zu Audit-Ereignissen für Nutzeraktivitäten
Ein CrowdStrike-Nutzer namens Dani ändert den Erkennungsstatus von
newzufalse-positive. Durch diese Nutzeraktion wird ein Ereignis mit dem Namen detection_update erstellt.Der Analyst führt eine Nachuntersuchung durch, um herauszufinden, warum Dani die Aktion als falsch positiv markiert hat, und prüft das aufgenommene Ereignis mit den Informationen zur Identität von Dani.
Als Nächstes führt der Analyst die Active Directory-Aktion Enrich Entities (Entitäten anreichern) aus, um weitere Details zum Vorfall zu erhalten und die Suche nach Dani zu vereinfachen.
Erfassung von Daten zu Audit-Ereignissen für die Authentifizierungsaktivität:
Ein Ereignis gibt an, dass Dani ein neues Nutzerkonto erstellt und ihm Nutzerrollen zugewiesen hat.
Um das Ereignis zu untersuchen und herauszufinden, warum der Nutzer erstellt wurde, verwendet der Analyst die Nutzer-ID von Dani, um die Active Directory-Aktion Enrich Entities (Entitäten anreichern) auszuführen und die Nutzerrolle von Dani zu ermitteln. So kann er bestätigen, ob Dani berechtigt ist, neue Nutzer hinzuzufügen.
Datenaufnahme für Ereignisse zum Ende der Reaktion aus der Ferne:
Ein Remote-Ereignis weist darauf hin, dass Dani eine Remote-Verbindung zu einem bestimmten Host hatte und Befehle als Root-Nutzer ausgeführt hat, um auf ein Webserververzeichnis zuzugreifen.
Um weitere Informationen zu Dani und dem beteiligten Host zu erhalten, führt der Analyst die Active Directory-Aktion aus, um sowohl den Nutzer als auch den Host anzureichern. Anhand der zurückgegebenen Informationen kann der Analyst entscheiden, Dani zu sperren, bis der Zweck der Remote-Verbindung geklärt ist.
Connector-Eingaben
Für den CrowdStrike Falcon Streaming Event Connector sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Product Field Name |
Erforderlich
Der Name des Quellfelds, das den Namen Der Standardwert ist |
Event Field Name |
Erforderlich
Der Name des Quellfelds, das den Namen Der Standardwert ist |
Environment Field Name |
Optional
Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Standardumgebung verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Alert Name Template |
Optional
Falls angegeben, wird dieser Wert vom Connector für den Google SecOps-Hinweisnamen verwendet. Sie können Platzhalter im folgenden Format angeben: [ Hinweis: Wenn Sie keinen Wert oder eine ungültige Vorlage angeben, verwendet der Connector den Standardnamen für Benachrichtigungen. Der Connector verwendet das erste Google SecOps-Ereignis für Platzhalter. Dieser Parameter lässt nur Schlüssel mit einem Stringwert zu. |
API Root |
Erforderlich
Der API-Stammpfad der CrowdStrike-Instanz. Der Standardwert ist |
Client ID |
Erforderlich
Die Client-ID des CrowdStrike-Kontos. |
Client Secret |
Erforderlich
Der Clientschlüssel des CrowdStrike-Kontos. |
Event types |
Optional
Eine durch Kommas getrennte Liste von Ereignistypen. Hier einige Beispiele für die Ereignistypen:
|
Max Days Backwards |
Optional
Die Anzahl der Tage vor dem heutigen Tag, ab dem Erkennungen abgerufen werden sollen. Der Standardwert ist |
Max Events Per Cycle |
Optional
Die Anzahl der Ereignisse, die in einer einzelnen Connector-Iteration verarbeitet werden sollen. Der Standardwert ist |
Min Severity |
Optional Aufzunehmen sind Ereignisse basierend auf dem Schweregrad des Ereignisses (Erkennungsereignisse). Der Wert liegt zwischen 0 und 5. Wenn neben erkannten Ereignissen auch andere Ereignistypen erfasst werden, wird deren Schweregrad auf |
Disable Overflow |
Optional Wenn diese Option ausgewählt ist, ignoriert der Connector den Überlaufmechanismus. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich
Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum CrowdStrike-Server gültig ist. Diese Option ist standardmäßig nicht ausgewählt. |
Script Timeout (Seconds) |
Erforderlich Das Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert beträgt 60 Sekunden. |
Proxy Server Address |
Optional
Eine Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional
Ein Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional
Ein Proxy-Passwort für die Authentifizierung. |
Rule Generator Template |
Optional
Wenn Sie diesen Wert angeben, verwendet der Connector ihn für den Google SecOps-Regelgenerator. Sie können Platzhalter im folgenden Format angeben: [ Wenn Sie keinen Wert oder eine ungültige Vorlage angeben, verwendet der Connector den Standardregelgenerator. Der Connector verwendet das erste Google SecOps-Ereignis für Platzhalter. Dieser Parameter lässt nur Schlüssel mit einem Stringwert zu. |
Customer ID |
Optional Die Kundennummer des Mandanten, in dem der Connector ausgeführt werden soll. Für die Verwendung in mandantenfähigen (MSSP-)Umgebungen. |
Connector-Regeln
Dieser Connector unterstützt Proxys.
Dieser Connector unterstützt die dynamische Liste nicht.
CrowdStrike Identity Protection Detections Connector
Mit dem CrowdStrike Identity Protection Detections Connector können Sie die Erkennungen zum Schutz von Identitäten aus CrowdStrike abrufen. Die dynamische Liste funktioniert mit dem Parameter display_name.
Für diesen Connector ist eine Identity Protection-Lizenz erforderlich.
Connector-Eingaben
Für den CrowdStrike Identity Protection Detections Connector sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Product Field Name |
Erforderlich
Der Name des Quellfelds, das den Namen Der Standardwert ist |
Event Field Name |
Erforderlich
Der Name des Quellfelds, das den Namen Der Standardwert ist |
Environment Field Name |
Optional
Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Standardumgebung verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert ist |
API Root |
Erforderlich
Der API-Stammpfad der CrowdStrike-Instanz. Der Standardwert ist |
Client ID |
Erforderlich
Die Client-ID des CrowdStrike-Kontos. |
Client Secret |
Erforderlich
Der Clientschlüssel des CrowdStrike-Kontos. |
Lowest Severity Score To Fetch |
Optional
Der niedrigste Schweregrad der abzurufenden Erkennungen. Wenn kein Wert angegeben wird, wendet der Connector diesen Filter nicht an. Der Höchstwert ist Der Standardwert ist Der Connector unterstützt auch die folgenden Werte für diesen Parameter:
|
Lowest Confidence Score To Fetch |
Optional
Der niedrigste Konfidenzwert der abzurufenden Erkennungen. Wenn kein Wert angegeben wird, wendet der Connector diesen Filter nicht an. Der Höchstwert ist Der Standardwert ist |
Max Hours Backwards |
Optional
Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, ab dem Erkennungen abgerufen werden sollen. Der Standardwert ist |
Max Detections To Fetch |
Optional
Die Anzahl der zu verarbeitenden Erkennungen in einer einzelnen Connector-Iteration. Der Standardwert ist |
Case Name Template |
Optional
Falls angegeben, fügt der Connector dem Google SecOps-Ereignis einen neuen Schlüssel namens Sie können Platzhalter im folgenden Format angeben: [ Hinweis: Der Connector verwendet das erste Google SecOps-Ereignis für Platzhalter. Dieser Parameter lässt nur Schlüssel mit einem Stringwert zu. |
Alert Name Template |
Optional
Falls angegeben, wird dieser Wert vom Connector für den Google SecOps-Hinweisnamen verwendet. Sie können Platzhalter im folgenden Format angeben: [ Hinweis: Wenn Sie keinen Wert oder eine ungültige Vorlage angeben, verwendet der Connector den Standardnamen für Benachrichtigungen. Der Connector verwendet das erste Google SecOps-Ereignis für Platzhalter. Dieser Parameter lässt nur Schlüssel mit einem Stringwert zu. |
Disable Overflow |
Optional Wenn diese Option ausgewählt ist, ignoriert der Connector den Überlaufmechanismus. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich
Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum CrowdStrike-Server gültig ist. Diese Option ist standardmäßig nicht ausgewählt. |
Proxy Server Address |
Optional
Eine Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional
Ein Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional
Ein Proxy-Passwort für die Authentifizierung. |
Customer ID |
Optional Die Kundennummer des Mandanten, in dem der Connector ausgeführt werden soll. Für die Verwendung in mandantenfähigen (MSSP-)Umgebungen. |
Connector-Regeln
Dieser Connector unterstützt Proxys.
Connector-Ereignis
Ein Beispiel für das Connector-Ereignis:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
CrowdStrike Incidents Connector
Mit dem CrowdStrike Incidents Connector können Sie Vorfälle und zugehörige Verhaltensweisen aus CrowdStrike abrufen.
Die dynamische Liste funktioniert mit dem Parameter incident_type.
Connector-Parameter
Für den CrowdStrike Incidents Connector sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Product Field Name |
Erforderlich
Der Name des Quellfelds, das den Namen Der Standardwert ist |
Event Field Name |
Erforderlich
Der Name des Quellfelds, das den Namen Der Standardwert ist |
Environment Field Name |
Optional
Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Standardumgebung verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert ist |
API Root |
Erforderlich
Der API-Stammpfad der CrowdStrike-Instanz. Der Standardwert ist |
Client ID |
Erforderlich
Die Client-ID des CrowdStrike-Kontos. |
Client Secret |
Erforderlich
Der Clientschlüssel des CrowdStrike-Kontos. |
Lowest Severity Score To Fetch |
Optional
Der niedrigste Schweregrad der abzurufenden Vorfälle. Wenn kein Wert angegeben ist, werden Vorfälle mit allen Schweregraden aufgenommen. Der Höchstwert ist
|
Max Hours Backwards |
Optional
Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, aus denen Vorfälle abgerufen werden sollen. Der Standardwert ist |
Max Incidents To Fetch |
Optional
Die Anzahl der Vorfälle, die in einer einzelnen Connector-Iteration verarbeitet werden sollen. Der Höchstwert ist Der Standardwert ist |
Use dynamic list as a blocklist |
Erforderlich
Wenn diese Option ausgewählt ist, wird die dynamische Liste als Blockierliste verwendet. Diese Option ist standardmäßig nicht ausgewählt. |
Disable Overflow |
Optional Wenn diese Option ausgewählt ist, ignoriert der Connector den Überlaufmechanismus. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich
Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum CrowdStrike-Server gültig ist. Diese Option ist standardmäßig nicht ausgewählt. |
Proxy Server Address |
Optional
Eine Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional
Ein Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional
Ein Proxy-Passwort für die Authentifizierung. |
Customer ID |
Optional Die Kundennummer des Mandanten, in dem der Connector ausgeführt werden soll. Für die Verwendung in mandantenfähigen (MSSP-)Umgebungen. |
Connector-Regeln
Dieser Connector unterstützt Proxys.
Connector-Ereignisse
Der CrowdStrike Incidents Connector hat zwei Arten von Ereignissen: eines basiert auf Vorfällen und das andere auf Verhalten.
Hier ein Beispiel für ein Ereignis, das auf einem Vorfall basiert:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Hier ein Beispiel für ein Ereignis, das auf Verhalten basiert:
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike – Alerts Connector
Mit dem CrowdStrike – Alerts Connector können Sie Benachrichtigungen von CrowdStrike abrufen.
Die dynamische Liste funktioniert mit dem Parameter display_name.
Wenn Sie Identity Protection-Erkennungen abrufen möchten, verwenden Sie den Identity Protection Detections Connector.
Connector-Eingaben
Für den CrowdStrike – Alerts Connector sind die folgenden Parameter erforderlich:
| Parameter | |
|---|---|
Product Field Name |
Erforderlich
Der Name des Quellfelds, das den Namen Der Standardwert ist |
Event Field Name |
Erforderlich
Der Name des Quellfelds, das den Namen Der Standardwert ist |
Environment Field Name |
Optional
Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Standardumgebung verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert ist |
API Root |
Erforderlich
Der API-Stammpfad der CrowdStrike-Instanz. Der Standardwert ist |
Client ID |
Erforderlich
Die Client-ID des CrowdStrike-Kontos. |
Client Secret |
Erforderlich
Der Clientschlüssel des CrowdStrike-Kontos. |
Case Name Template |
Optional
Falls angegeben, fügt der Connector dem Google SecOps-Ereignis einen neuen Schlüssel namens Sie können Platzhalter im folgenden Format angeben: [ Hinweis: Der Connector verwendet das erste Google SecOps-Ereignis für Platzhalter. Dieser Parameter lässt nur Schlüssel mit einem Stringwert zu. |
Alert Name Template |
Optional
Falls angegeben, wird dieser Wert vom Connector für den Google SecOps-Hinweisnamen verwendet. Sie können Platzhalter im folgenden Format angeben: [ Hinweis: Wenn Sie keinen Wert oder eine ungültige Vorlage angeben, verwendet der Connector den Standardnamen für Benachrichtigungen. Der Connector verwendet das erste Google SecOps-Ereignis für Platzhalter. Dieser Parameter lässt nur Schlüssel mit einem Stringwert zu. |
Lowest Severity Score To Fetch |
Optional
Der niedrigste Schweregrad der abzurufenden Vorfälle. Wenn kein Wert angegeben ist, werden Vorfälle mit allen Schweregraden aufgenommen. Der Höchstwert ist
In der CrowdStrike-Benutzeroberfläche wird derselbe Wert durch 10 geteilt dargestellt. |
Max Hours Backwards |
Optional
Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, aus denen Vorfälle abgerufen werden sollen. Der Standardwert ist |
Max Alerts To Fetch |
Optional
Die Anzahl der Benachrichtigungen, die in einer einzelnen Connector-Iteration verarbeitet werden sollen. Der Höchstwert ist Der Standardwert ist |
Use dynamic list as a blocklist |
Erforderlich
Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. Diese Option ist standardmäßig nicht ausgewählt. |
Disable Overflow |
Optional Wenn diese Option ausgewählt ist, ignoriert der Connector den Überlaufmechanismus. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich
Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum CrowdStrike-Server gültig ist. Diese Option ist standardmäßig nicht ausgewählt. |
Proxy Server Address |
Optional
Eine Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional
Ein Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional
Ein Proxy-Passwort für die Authentifizierung. |
Customer ID |
Optional Die Kundennummer des Mandanten, in dem der Connector ausgeführt werden soll. Für die Verwendung in mandantenfähigen (MSSP-)Umgebungen. |
Connector-Regeln
Dieser Connector unterstützt Proxys.
Connector-Ereignisse
Hier ein Beispiel für ein Ereignis, das auf Benachrichtigungen basiert:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten