Intégrer CrowdStrike Falcon à Google SecOps
Ce document explique comment intégrer CrowdStrike Falcon à Google Security Operations (Google SecOps).
Version de l'intégration : 56.0
Cette intégration utilise un ou plusieurs composants Open Source. Vous pouvez télécharger une copie du code source complet de cette intégration à partir du bucket Cloud Storage.
Cas d'utilisation
Dans la plate-forme Google SecOps, l'intégration de CrowdStrike Falcon résout les cas d'utilisation suivants :
Contention automatisée des logiciels malveillants : utilisez les fonctionnalités de la plate-forme Google SecOps pour mettre automatiquement en quarantaine le point de terminaison concerné, récupérer le hachage du fichier pour une analyse plus approfondie et empêcher la propagation du logiciel malveillant. La protection automatisée contre les logiciels malveillants s'active lorsqu'un e-mail d'hameçonnage déclenche une alerte CrowdStrike Falcon pour le téléchargement d'un fichier suspect.
Réponse accélérée aux incidents : utilisez Google SecOps pour collecter des données contextuelles telles que les arborescences de processus et les connexions réseau, isoler l'hôte compromis et créer un ticket pour l'enquête.
Chasse aux menaces et investigation : utilisez les fonctionnalités de la plate-forme Google SecOps pour interroger CrowdStrike Falcon sur des actions utilisateur spécifiques, des modifications de fichiers et des connexions réseau sur une période définie. La chasse aux menaces et l'investigation permettent à vos analystes de sécurité d'enquêter sur une menace interne potentielle et d'analyser l'activité historique des points de terminaison, tout en simplifiant le processus d'investigation.
Réponse et correction du hameçonnage : utilisez CrowdStrike Falcon et la plate-forme Google SecOps pour analyser les pièces jointes des e-mails, les ouvrir dans un environnement de bac à sable et bloquer automatiquement l'adresse e-mail de l'expéditeur si une activité malveillante est détectée.
Gestion des failles : utilisez les fonctionnalités de la plate-forme Google SecOps pour créer automatiquement des tickets pour chaque système vulnérable, les hiérarchiser en fonction de la gravité et de la valeur des composants, et déclencher des workflows de correction automatisés. La gestion des failles vous aide à identifier une faille critique sur plusieurs points de terminaison.
Avant de commencer
Avant de configurer l'intégration dans Google SecOps, procédez comme suit :
Configurez le client API CrowdStrike Falcon.
Configurez les autorisations d'action.
Configurez les autorisations du connecteur.
Configurer le client API CrowdStrike Falcon
Pour définir un client API CrowdStrike et afficher, créer ou modifier des clients ou des clés API, vous devez disposer du rôle FalconAdministrator.
Les secrets ne sont affichés que lorsque vous créez un client API ou que vous le réinitialisez.
Pour configurer le client de l'API CrowdStrike Falcon, procédez comme suit :
- Dans l'UI Falcon, accédez à Assistance et ressources > Ressources et outils > Clés et clients API. Sur cette page, vous pouvez trouver des clients existants, ajouter des clients API ou afficher le journal d'audit.
- Cliquez sur Créer un client API.
- Attribuez un nom à votre nouveau client API.
- Sélectionnez les scopes d'API appropriés.
Cliquez sur Créer. Les valeurs ID client et Code secret du client s'affichent.
C'est la seule fois où vous verrez la valeur du code secret du client. Veillez à le conserver en lieu sûr. Si vous perdez votre code secret du client, réinitialisez votre client API et mettez à jour toutes les applications qui s'appuient sur le code secret du client avec de nouveaux identifiants.
Pour en savoir plus sur l'accès à l'API CrowdStrike, consultez le guide Getting Access to the CrowdStrike API (Obtenir l'accès à l'API CrowdStrike) sur le blog CrowdStrike.
Configurer les autorisations d'action
Consultez les autorisations minimales pour les actions, comme indiqué dans le tableau suivant :
| Action | Autorisations requises |
|---|---|
| Ajouter un commentaire à une détection | Detections.ReadDetection.Write |
| Ajouter un commentaire de détection Identity Protection | Alerts.ReadAlerts.Write |
| Ajouter un commentaire sur l'incident | Incidents.Write |
| Détection de proximité | Detections.ReadDetection.Write |
| Point de terminaison de la fonctionnalité Contenir | Hosts.ReadHosts.Write |
| Supprimer un IOC | IOC Management.ReadIOC Management.Write |
| Télécharger le fichier | Hosts.ReadReal time response.ReadReal time response.Write |
| Exécuter une commande | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write* pour les commandes disposant de tous les droits.
|
| Obtenir le décalage d'événement | Event streams.Read |
| Obtenir les hôtes par IOC | Non disponible : obsolète |
| Obtenir des informations sur l'hôte | Hosts.Read |
| Obtenir le nom du processus par IOC | Non disponible : obsolète |
| Point de terminaison de l'augmentation contenue | Hosts.ReadHosts.Write |
| Lister les hôtes | Hosts.Read |
| Lister les failles de l'hôte | Hosts.ReadSpotlight vulnerabilities.Read |
| Lister les IOC importés | IOC Management.Read |
| Analyse à la demande | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| Ping | Hosts.Read |
| Envoyer le fichier | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Envoyer une URL | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Mise à jour de la détection | Detections.ReadDetection.WriteUser management.Read |
| Mettre à jour la détection de la protection de l'identité | Alerts.ReadAlerts.Write |
| Mettre à jour un incident | Incidents.Write |
| Mettre à jour les informations sur les FIO | IOC Management.ReadIOC Management.Write |
| Importer des IOC | IOC Management.ReadIOC Management.Write |
Configurer les autorisations du connecteur
Consultez les autorisations minimales requises pour les connecteurs, comme indiqué dans le tableau suivant :
| Connecteur | Autorisations requises |
|---|---|
| Connecteur de détections CrowdStrike | Detection.Read |
| Connecteur d'événements de streaming CrowdStrike Falcon | Event streams.Read |
| Connecteur de détections CrowdStrike Identity Protection | Alerts.Read |
| Connecteur CrowdStrike Incidents | Incidents.Read |
Points de terminaison
L'intégration de CrowdStrike Falcon interagit avec les points de terminaison de l'API CrowdStrike Falcon suivants :
Points de terminaison de l'API générale :
/oauth2/token
Hôtes et appareils :
/devices/entities/devices/v1/devices/entities/devices-actions/v2
Détections et événements :
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
Indicateurs de compromission (IoC) :
/intel/entities/indicators/v1/intel/queries/devices/v1
Failles :
/devices/combined/devices/vulnerabilities/v1
Réponse et confinement :
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
Incidents :
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
Analyse de fichiers et d'URL :
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
Paramètres d'intégration
Pour que l'intégration fonctionne correctement, une version premium de CrowdStrike Falcon avec toutes les fonctionnalités est requise. Certaines actions ne fonctionnent pas avec une version de base de CrowdStrike Falcon.
L'intégration de CrowdStrike Falcon nécessite les paramètres suivants :
| Paramètres | |
|---|---|
API Root |
Racine de l'API de l'instance CrowdStrike. La valeur par défaut est |
Client API ID |
Obligatoire ID client de l'API CrowdStrike. |
Client API Secret |
Obligatoire Code secret du client pour l'API CrowdStrike. |
Verify SSL |
Si cette option est sélectionnée, l'intégration vérifie si le certificat SSL pour la connexion au serveur CrowdStrike Falcon est valide. (non sélectionnée par défaut). |
Customer ID |
Optional ID client du locataire dans lequel exécuter l'intégration. À utiliser dans les environnements mutualisés (MSSP). |
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Avant de configurer l'intégration, configurez les autorisations minimales requises pour chaque élément d'intégration. Pour en savoir plus, consultez la section Autorisations d'action de ce document.
Ajouter un commentaire à une alerte
Utilisez l'action Ajouter un commentaire à l'alerte pour ajouter un commentaire à une alerte dans CrowdStrike Falcon.
Cette action ne s'applique pas aux entités.
Entrées d'action
L'action Ajouter un commentaire à l'alerte nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Alert |
Obligatoire ID de l'alerte à modifier. |
Comment |
Obligatoire Commentaire à ajouter à l'alerte. |
Sorties d'action
L'action Ajouter un commentaire à l'alerte fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ajouter un commentaire à l'alerte fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
Action effectuée. |
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action Ajouter un commentaire à l'alerte :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ajouter un commentaire à une détection
Utilisez l'action Ajouter un commentaire à la détection pour ajouter un commentaire à la détection dans CrowdStrike Falcon.
Cette action s'exécute sur toutes les entités.
Entrées d'action
L'action Ajouter un commentaire à la détection nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Detection ID |
Obligatoire
ID de la détection à laquelle ajouter un commentaire. |
Comment |
Obligatoire
Commentaire à ajouter à la détection. |
Sorties d'action
L'action Ajouter un commentaire à la détection fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action Ajouter un commentaire à la détection :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ajouter un commentaire de détection Identity Protection
Utilisez l'action Ajouter un commentaire de détection Identity Protection pour ajouter un commentaire à la détection Identity Protection dans CrowdStrike.
Cette action nécessite une licence Identity Protection.
Cette action ne s'applique pas aux entités.
Entrées d'action
L'action Ajouter un commentaire de détection Identity Protection nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Detection ID |
Obligatoire
ID de la détection à mettre à jour. |
Comment |
Obligatoire
Commentaire à ajouter à la détection. |
Sorties d'action
L'action Ajouter un commentaire de détection Identity Protection fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ajouter un commentaire de détection de protection de l'identité fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
Action effectuée. |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
Échec de l'action. Vérifiez l'orthographe. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Ajouter un commentaire de détection Identity Protection :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ajouter un commentaire sur l'incident
Utilisez l'action Ajouter un commentaire à l'incident pour ajouter un commentaire à un incident dans CrowdStrike.
Cette action ne s'applique pas aux entités.
Entrées d'action
L'action Ajouter un commentaire à l'incident nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Incident ID |
Obligatoire
ID de l'incident à modifier. |
Comment |
Obligatoire
Commentaire à ajouter à l'incident. |
Sorties d'action
L'action Ajouter un commentaire à l'incident fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ajouter un commentaire à l'incident fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
Action effectuée. |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Échec de l'action. Vérifiez l'orthographe. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Ajouter un commentaire à l'incident :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Détection de proximité
Utilisez l'action Fermer la détection pour fermer une détection CrowdStrike Falcon.
L'action Détection de mise à jour est la bonne pratique pour ce cas d'utilisation.
Cette action s'exécute sur toutes les entités.
Entrées d'action
L'action Close Detection (Détection de proximité) nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Detection ID |
Obligatoire
ID de la détection à fermer. |
Hide Detection |
Optional
Si cette option est sélectionnée, l'action masque la détection dans l'UI. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Détection de la fermeture fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Close Detection :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Point de terminaison de la fonctionnalité Contenir
Utilisez l'action Contain Endpoint (Contenir le point de terminaison) pour contenir le point de terminaison dans CrowdStrike Falcon.
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Entrées d'action
L'action Contain Endpoint (Contenir le point de terminaison) nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Fail If Timeout |
Obligatoire
Si cette option est sélectionnée et que tous les points de terminaison ne sont pas inclus, l'action échoue. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Contain Endpoint (Contenir le point de terminaison) fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Enrichissement d'entités
L'action Contain Endpoint (Contenir le point de terminaison) est compatible avec la logique d'enrichissement d'entités suivante :
| Champ d'enrichissement | Logique |
|---|---|
status |
Renvoie si elle existe dans le résultat JSON |
modified_timestamp |
Renvoie si elle existe dans le résultat JSON |
major_version |
Renvoie si elle existe dans le résultat JSON |
policies |
Renvoie si elle existe dans le résultat JSON |
config_id_platform |
Renvoie si elle existe dans le résultat JSON |
bios_manufacturer |
Renvoie si elle existe dans le résultat JSON |
system_manufacturer |
Renvoie si elle existe dans le résultat JSON |
device_policies |
Renvoie si elle existe dans le résultat JSON |
meta |
Renvoie si elle existe dans le résultat JSON |
pointer_size |
Renvoie si elle existe dans le résultat JSON |
last_seen |
Renvoie si elle existe dans le résultat JSON |
agent_local_time |
Renvoie si elle existe dans le résultat JSON |
first_seen |
Renvoie si elle existe dans le résultat JSON |
service_pack_major |
Renvoie si elle existe dans le résultat JSON |
slow_changing_modified_timestamp |
Renvoie si elle existe dans le résultat JSON |
service_pack_minor |
Renvoie si elle existe dans le résultat JSON |
system_product_name |
Renvoie si elle existe dans le résultat JSON |
product_type_desc |
Renvoie si elle existe dans le résultat JSON |
build_number |
Renvoie si elle existe dans le résultat JSON |
cid |
Renvoie si elle existe dans le résultat JSON |
local_ip |
Renvoie si elle existe dans le résultat JSON |
external_ip |
Renvoie si elle existe dans le résultat JSON |
hostname |
Renvoie si elle existe dans le résultat JSON |
config_id_build |
Renvoie si elle existe dans le résultat JSON |
minor_version |
Renvoie si elle existe dans le résultat JSON |
platform_id |
Renvoie si elle existe dans le résultat JSON |
os_version |
Renvoie si elle existe dans le résultat JSON |
config_id_base |
Renvoie si elle existe dans le résultat JSON |
provision_status |
Renvoie si elle existe dans le résultat JSON |
mac_address |
Renvoie si elle existe dans le résultat JSON |
bios_version |
Renvoie si elle existe dans le résultat JSON |
platform_name |
Renvoie si elle existe dans le résultat JSON |
agent_load_flags |
Renvoie si elle existe dans le résultat JSON |
device_id |
Renvoie si elle existe dans le résultat JSON |
product_type |
Renvoie si elle existe dans le résultat JSON |
agent_version |
Renvoie si elle existe dans le résultat JSON |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Contain Endpoint (Contenir le point de terminaison) :
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Messages de sortie
L'action Contain Endpoint (Contenir le point de terminaison) fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
Échec de l'action. Vérifiez l'état du point de terminaison et la valeur du paramètre |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Contain Endpoint (Contenir le point de terminaison) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Supprimer un IOC
Utilisez l'action Delete IOC (Supprimer le CI) pour supprimer les CI personnalisés dans CrowdStrike Falcon.
Cette action traite les entités de nom d'hôte comme des IOC de domaine et extrait la partie domaine des URL. Elle n'est compatible qu'avec les hachages MD5 et SHA-256.
L'action Supprimer l'IOC s'exécute sur les entités suivantes :
- Adresse IP
- Nom d'hôte
- URL
- Hash
Entrées d'action
Aucun
Sorties d'action
L'action Supprimer l'IOC fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Supprimer l'IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Messages de sortie
Sur un mur d'affaires, l'action Supprimer l'IOC fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Télécharger le fichier
Utilisez l'action Télécharger le fichier pour télécharger des fichiers à partir des hôtes dans CrowdStrike Falcon.
Pour effectuer cette action, les entités "Nom de fichier" et "Adresse IP" ou "Nom d'hôte" doivent être dans le champ d'application de l'alerte Google SecOps.
Vous trouverez le fichier téléchargé dans un package ZIP protégé par mot de passe. Pour accéder au fichier, saisissez le mot de passe suivant : infected.
L'action Télécharger le fichier s'exécute sur les entités suivantes :
- Nom de fichier
- Adresse IP
- Hôte
Entrées d'action
L'action Télécharger le fichier nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Download Folder Path |
Obligatoire
Chemin d'accès au dossier dans lequel le fichier téléchargé est stocké. Le format dépend de votre déploiement :
|
Overwrite |
Obligatoire
Si cette option est sélectionnée, l'action écrase le fichier portant le même nom. (non sélectionnée par défaut). |
Sorties d'action
L'action Télécharger le fichier fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Tableau des entités | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Tableau des entités
L'action Télécharger le fichier fournit le tableau d'entités suivant :
| Entité | |
|---|---|
filepath |
Chemin d'accès absolu au fichier. |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Télécharger le fichier :
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
Messages de sortie
L'action Télécharger le fichier fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "Download
File". Reason: ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
Échec de l'action. Vérifiez la valeur du paramètre |
Waiting for results for the following
entities: ENTITY_ID |
Message asynchrone. |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action Télécharger le fichier :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Exécuter une commande
Utilisez l'action Exécuter la commande pour exécuter des commandes sur les hôtes dans CrowdStrike Falcon.
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Entrées d'action
L'action Exécuter la commande nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Command |
Obligatoire
Commande à exécuter sur les hôtes. |
Admin Command |
Optional
Si la valeur est
|
Sorties d'action
L'action Exécuter la commande fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
Sur un mur de cas, l'action Exécuter la commande fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
Action effectuée. |
Error executing action "Execute Command". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Waiting for results for the following
entities: ENTITY_ID |
Message asynchrone. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Exécuter la commande :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les détails d'une alerte
Utilisez l'action Get Alert Details (Obtenir les détails de l'alerte) pour récupérer les détails d'une alerte dans CrowdStrike Falcon.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails de l'alerte nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Alert ID |
Obligatoire. Identifiant unique de l'alerte dont vous souhaitez récupérer les détails. |
Sorties d'action
L'action Obtenir les détails de l'alerte fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Obtenir les détails de l'alerte :
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Messages de sortie
L'action Obtenir les détails de l'alerte peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les détails de l'alerte :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir le décalage d'événement
Utilisez l'action Obtenir le décalage d'événement pour récupérer le décalage d'événement utilisé par le connecteur d'événements de streaming.
Cette action lance le traitement des événements datant de 30 jours.
Cette action ne s'applique pas aux entités.
Entrées d'action
L'action Obtenir le décalage de l'événement nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Max Events To Process |
Obligatoire
Nombre d'événements que l'action doit traiter à partir d'il y a 30 jours. La valeur par défaut est |
Sorties d'action
L'action Obtenir le décalage de l'événement fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Obtenir le décalage de l'événement :
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
Messages de sortie
L'action Obtenir le décalage de l'événement fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
Action effectuée. |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie du résultat du script lorsque vous utilisez l'action Obtenir le décalage de l'événement :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir des informations sur l'hôte
Utilisez l'action Get Host Information (Obtenir des informations sur l'hôte) pour récupérer des informations sur le nom d'hôte à partir de CrowdStrike Falcon.
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Adresse IP
Entrées d'action
L'action Obtenir des informations sur l'hôte nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Create Insight |
Optional
Si cette option est sélectionnée, l'action crée des insights contenant des informations sur les entités. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Obtenir des informations sur l'hôte fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Enrichissement d'entités
L'action Obtenir des informations sur l'hôte accepte la logique d'enrichissement d'entités suivante :
| Champ d'enrichissement | Logique |
|---|---|
modified_timestamp |
Renvoie si elle existe dans le résultat JSON |
major_version |
Renvoie si elle existe dans le résultat JSON |
site_name |
Renvoie si elle existe dans le résultat JSON |
platform_id |
Renvoie si elle existe dans le résultat JSON |
config_id_platform |
Renvoie si elle existe dans le résultat JSON |
system_manufacturer |
Renvoie si elle existe dans le résultat JSON |
meta |
Renvoie si elle existe dans le résultat JSON |
first_seen |
Renvoie si elle existe dans le résultat JSON |
service_pack_minor |
Renvoie si elle existe dans le résultat JSON |
product_type_desc |
Renvoie si elle existe dans le résultat JSON |
build_number |
Renvoie si elle existe dans le résultat JSON |
hostname |
Renvoie si elle existe dans le résultat JSON |
config_id_build |
Renvoie si elle existe dans le résultat JSON |
minor_version |
Renvoie si elle existe dans le résultat JSON |
os_version |
Renvoie si elle existe dans le résultat JSON |
provision_status |
Renvoie si elle existe dans le résultat JSON |
mac_address |
Renvoie si elle existe dans le résultat JSON |
bios_version |
Renvoie si elle existe dans le résultat JSON |
agent_load_flags |
Renvoie si elle existe dans le résultat JSON |
status |
Renvoie si elle existe dans le résultat JSON |
bios_manufacturer |
Renvoie si elle existe dans le résultat JSON |
machine_domain |
Renvoie si elle existe dans le résultat JSON |
agent_local_time |
Renvoie si elle existe dans le résultat JSON |
slow_changing_modified_timestamp |
Renvoie si elle existe dans le résultat JSON |
service_pack_major |
Renvoie si elle existe dans le résultat JSON |
device_id |
Renvoie si elle existe dans le résultat JSON |
system_product_name |
Renvoie si elle existe dans le résultat JSON |
product_type |
Renvoie si elle existe dans le résultat JSON |
local_ip |
Renvoie si elle existe dans le résultat JSON |
external_ip |
Renvoie si elle existe dans le résultat JSON |
cid |
Renvoie si elle existe dans le résultat JSON |
platform_name |
Renvoie si elle existe dans le résultat JSON |
config_id_base |
Renvoie si elle existe dans le résultat JSON |
last_seen |
Renvoie si elle existe dans le résultat JSON |
pointer_size |
Renvoie si elle existe dans le résultat JSON |
agent_version |
Renvoie si elle existe dans le résultat JSON |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Obtenir des informations sur l'hôte :
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
Messages de sortie
L'action Obtenir des informations sur l'hôte fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Obtenir des informations sur l'hôte :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les hôtes par IOC (obsolète)
Lister les hôtes associés aux IOC dans CrowdStrike Falcon. Entités acceptées : nom d'hôte, URL, adresse IP et hachage.
Remarque : Les entités de nom d'hôte sont traitées comme des IOC de domaine. Cette action extrait la partie domaine des URL. Seuls les hachages MD5 et SHA-256 sont acceptés.
Entités
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
- URL
- Hash
Entrées d'action
N/A
Sorties d'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
Enrichissement d'entités
| Champ d'enrichissement | Logique |
|---|---|
| modified_timestamp | Renvoie la valeur si elle existe dans le résultat JSON. |
| major_version | Renvoie la valeur si elle existe dans le résultat JSON. |
| site_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| platform_id | Renvoie la valeur si elle existe dans le résultat JSON. |
| config_id_platform | Renvoie la valeur si elle existe dans le résultat JSON. |
| system_manufacturer | Renvoie la valeur si elle existe dans le résultat JSON. |
| méta | Renvoie la valeur si elle existe dans le résultat JSON. |
| first_seen | Renvoie la valeur si elle existe dans le résultat JSON. |
| service_pack_minor | Renvoie la valeur si elle existe dans le résultat JSON. |
| product_type_desc | Renvoie la valeur si elle existe dans le résultat JSON. |
| build_number | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom d'hôte | Renvoie la valeur si elle existe dans le résultat JSON. |
| config_id_build | Renvoie la valeur si elle existe dans le résultat JSON. |
| minor_version | Renvoie la valeur si elle existe dans le résultat JSON. |
| os_version | Renvoie la valeur si elle existe dans le résultat JSON. |
| provision_status | Renvoie la valeur si elle existe dans le résultat JSON. |
| mac_address | Renvoie la valeur si elle existe dans le résultat JSON. |
| bios_version | Renvoie la valeur si elle existe dans le résultat JSON. |
| agent_load_flags | Renvoie la valeur si elle existe dans le résultat JSON. |
| état | Renvoie la valeur si elle existe dans le résultat JSON. |
| bios_manufacturer | Renvoie la valeur si elle existe dans le résultat JSON. |
| machine_domain | Renvoie la valeur si elle existe dans le résultat JSON. |
| Device_policies | Renvoie la valeur si elle existe dans le résultat JSON. |
| agent_local_time | Renvoie la valeur si elle existe dans le résultat JSON. |
| slow_changing_modified_timestamp | Renvoie la valeur si elle existe dans le résultat JSON. |
| service_pack_major | Renvoie la valeur si elle existe dans le résultat JSON. |
| system_product_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| product_type | Renvoie la valeur si elle existe dans le résultat JSON. |
| local_ip | Renvoie la valeur si elle existe dans le résultat JSON. |
| external_ip | Renvoie la valeur si elle existe dans le résultat JSON. |
| cid | Renvoie la valeur si elle existe dans le résultat JSON. |
| platform_name | Renvoie la valeur si elle existe dans le résultat JSON. |
| config_id_base | Renvoie la valeur si elle existe dans le résultat JSON. |
| règles | Renvoie la valeur si elle existe dans le résultat JSON. |
| last_seen | Renvoie la valeur si elle existe dans le résultat JSON. |
| pointer_size | Renvoie la valeur si elle existe dans le résultat JSON. |
| agent_version | Renvoie la valeur si elle existe dans le résultat JSON. |
Insight sur les entités
N/A
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins un hôte associé aux IOC fournis est trouvé (is_success=true) : "Hôtes associés aux IOC fournis récupérés avec succès dans CrowdStrike Falcon." Si aucun hôte associé n'est trouvé (is_success=false) : "Aucun hôte n'a été associé aux IOC fournis dans CrowdStrike Falcon." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur critique est signalée : "Erreur lors de l'exécution de l'action "{nom de l'action}". Motif : {traceback}." |
Général |
Obtenir le nom du processus par IOC (obsolète)
Récupérez les processus liés aux IOC et aux appareils fournis dans CrowdStrike Falcon. Entités acceptées : nom d'hôte, URL, adresse IP et hachage.
Remarque : Les entités de nom d'hôte sont traitées comme des IOC de domaine. L'action extrait la partie domaine des URL. Seuls les hachages MD5, SHA-1 et SHA-256 sont acceptés. Les entités d'adresse IP sont traitées comme des IOC.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Noms des appareils | 11 | N/A | Oui | Spécifiez une liste d'appareils séparés par une virgule pour lesquels vous souhaitez récupérer les processus liés aux entités. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- URL
- Hash
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| Nom du processus | Renvoie la valeur si elle existe dans le résultat JSON. |
| Indicateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| Nom d'hôte | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights sur les entités
N/A
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des processus associés à des entités sont trouvés pour au moins un point de terminaison (is_success=true) : "Récupération réussie des processus associés aux IOC sur les points de terminaison suivants dans CrowdStrike Falcon : {device name}." Si aucun processus n'est trouvé pour au moins un point de terminaison ou si l'appareil est introuvable (is_success=true) : "Aucun processus associé n'a été trouvé sur les points de terminaison suivants dans CrowdStrike Falcon : {nom de l'appareil}." Si aucun processus n'est trouvé pour tous les points de terminaison ou si aucun des appareils n'est trouvé (is_success=false) : "Aucun processus associé n'a été trouvé sur les points de terminaison fournis dans CrowdStrike Falcon. L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur critique est signalée : "Erreur lors de l'exécution de "{nom de l'action}". Motif : {trace back}." |
Obtenir les détails Vertex
Utilisez l'action Get Vertex Details (Obtenir les détails Vertex) pour lister toutes les propriétés associées à un indicateur particulier.
Les entités Google SecOps sont considérées comme des IOC.
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- URL
- Hash
Entrées d'action
Aucun
Sorties d'action
L'action Obtenir les détails de Vertex fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Résultat du script | Disponible |
Enrichissement d'entités
L'action Obtenir les détails de Vertex est compatible avec l'enrichissement suivant :
| Champ d'enrichissement | Logique |
|---|---|
vertex_type |
Renvoie si elle existe dans le résultat JSON |
timestamp |
Renvoie si elle existe dans le résultat JSON |
object_id |
Renvoie si elle existe dans le résultat JSON |
properties |
Renvoie si elle existe dans le résultat JSON |
edges |
Renvoie si elle existe dans le résultat JSON |
scope |
Renvoie si elle existe dans le résultat JSON |
customer_id |
Renvoie si elle existe dans le résultat JSON |
id |
Renvoie si elle existe dans le résultat JSON |
device_id |
Renvoie si elle existe dans le résultat JSON |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails de Vertex :
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Get Vertex Details (Obtenir les détails Vertex) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Point de terminaison de l'augmentation contenue
Utilisez l'action Lift Contained Endpoint (Lever le confinement du point de terminaison) pour lever le confinement d'un point de terminaison dans CrowdStrike Falcon.
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Entrées d'action
L'action Point de terminaison "Contenu avec impact" nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Fail If Timeout |
Obligatoire
Si cette option est sélectionnée et que le confinement n'est pas levé sur tous les points de terminaison, l'action échoue. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Point de terminaison de l'élévation contenue fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Enrichissement d'entités
L'action Point de terminaison "Contenu avec impact" accepte l'enrichissement d'entités suivant :
| Champ d'enrichissement | Logique |
|---|---|
status |
Renvoie si elle existe dans le résultat JSON |
modified_timestamp |
Renvoie si elle existe dans le résultat JSON |
major_version |
Renvoie si elle existe dans le résultat JSON |
config_id_platform |
Renvoie si elle existe dans le résultat JSON |
system_manufacturer |
Renvoie si elle existe dans le résultat JSON |
device_policies |
Renvoie si elle existe dans le résultat JSON |
meta |
Renvoie si elle existe dans le résultat JSON |
pointer_size |
Renvoie si elle existe dans le résultat JSON |
last_seen |
Renvoie si elle existe dans le résultat JSON |
agent_local_time |
Renvoie si elle existe dans le résultat JSON |
first_seen |
Renvoie si elle existe dans le résultat JSON |
service_pack_major |
Renvoie si elle existe dans le résultat JSON |
slow_changing_modified_timestamp |
Renvoie si elle existe dans le résultat JSON |
service_pack_minor |
Renvoie si elle existe dans le résultat JSON |
system_product_name |
Renvoie si elle existe dans le résultat JSON |
product_type_desc |
Renvoie si elle existe dans le résultat JSON |
build_number |
Renvoie si elle existe dans le résultat JSON |
cid |
Renvoie si elle existe dans le résultat JSON |
local_ip |
Renvoie si elle existe dans le résultat JSON |
external_ip |
Renvoie si elle existe dans le résultat JSON |
hostname |
Renvoie si elle existe dans le résultat JSON |
config_id_build |
Renvoie si elle existe dans le résultat JSON |
minor_version |
Renvoie si elle existe dans le résultat JSON |
platform_id |
Renvoie si elle existe dans le résultat JSON |
os_version |
Renvoie si elle existe dans le résultat JSON |
config_id_base |
Renvoie si elle existe dans le résultat JSON |
provision_status |
Renvoie si elle existe dans le résultat JSON |
mac_address |
Renvoie si elle existe dans le résultat JSON |
bios_version |
Renvoie si elle existe dans le résultat JSON |
platform_name |
Renvoie si elle existe dans le résultat JSON |
agent_load_flags |
Renvoie si elle existe dans le résultat JSON |
device_id |
Renvoie si elle existe dans le résultat JSON |
product_type |
Renvoie si elle existe dans le résultat JSON |
agent_version |
Renvoie si elle existe dans le résultat JSON |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Point de terminaison "Contenu avec impact" :
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Messages de sortie
L'action Point de terminaison de l'élévation contenue fournit les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
Message asynchrone. |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
Échec de l'action. Vérifiez l'état du point de terminaison et la valeur du paramètre |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Point de terminaison avec élévation de privilèges :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les failles de l'hôte
Utilisez l'action List Host Vulnerabilities (Lister les failles de l'hôte) pour lister les failles trouvées sur l'hôte dans CrowdStrike Falcon.
Cette action nécessite une licence et des autorisations Falcon Spotlight.
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Entrées d'action
L'action Lister les failles de l'hôte nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Severity Filter |
Optional
Liste des niveaux de gravité des failles de sécurité, séparés par une virgule. Si vous ne fournissez aucune valeur, l'action ingère toutes les failles associées. Les valeurs possibles sont les suivantes :
|
Create Insight |
Optional
Si cette option est sélectionnée, l'action crée un insight pour chaque entité contenant des informations statistiques sur les failles associées. Cette option est sélectionnée par défaut. |
Max Vulnerabilities To Return |
Optional
Nombre de failles à renvoyer pour un seul hôte. Si vous ne fournissez aucune valeur, l'action traite toutes les failles associées. La valeur par défaut est |
Sorties d'action
L'action Lister les failles de l'hôte fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
Sur un mur de cas, l'action Lister les failles de l'hôte fournit le tableau suivant :
Type : Entité
Colonnes :
- Nom
- Score
- Gravité
- État
- Application
- Contient une mesure
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action List Host Vulnerabilities (Lister les failles de l'hôte) :
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
Messages de sortie
L'action Lister les failles de l'hôte fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
Échec de l'action. Vérifiez la valeur du paramètre |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Lister les failles de l'hôte :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les hôtes
Utilisez l'action List Hosts (Lister les hôtes) pour lister les hôtes disponibles dans CrowdStrike Falcon.
Cette action s'exécute sur toutes les entités.
Entrées d'action
L'action Lister les hôtes nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Filter Logic |
Optional
Logique à utiliser lors de la recherche d'hôtes. La valeur par défaut est
|
Filter Value |
Optional
Valeur à utiliser pour le filtrage des hôtes. |
Max Hosts To Return |
Optional
Nombre d'hôtes à renvoyer. La valeur par défaut est La valeur maximale est de |
Sorties d'action
L'action Lister les hôtes fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Lister les hôtes :
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
Messages de sortie
L'action List Hosts (Lister les hôtes) fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "List Hosts".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Lister les hôtes :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les IOC importés
Utilisez l'action Lister les IOC importés pour lister les IOC personnalisés disponibles dans CrowdStrike Falcon.
Cette action s'exécute sur toutes les entités.
Entrées d'action
L'action Lister les IOC importés nécessite les paramètres suivants :
| Paramètres | |
|---|---|
IOC Type Filter |
Optional
Liste de types d'IOC à renvoyer, séparés par une virgule. La valeur par défaut est
|
Value Filter Logic |
Optional
Valeur de la logique de filtre. La valeur par défaut est
Si |
Value Filter String |
Optional
Chaîne à rechercher parmi les IOC. |
Max IOCs To Return |
Optional
Nombre d'IOC à renvoyer. La valeur par défaut est La valeur maximale est de 500. |
Sorties d'action
L'action Lister les IOC importés fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
Sur un mur de cas, l'action Lister les IOC importés fournit le tableau suivant :
Colonnes :
- Action
- Gravité
- A signé
- Tubes AV
- Plates-formes
- Tags
- Création le
- Créé par
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Lister les IOC importés :
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
Messages de sortie
L'action Lister les IOC importés fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
Action effectuée. |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
Échec de l'action. Vérifiez l'orthographe et la valeur du paramètre |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Lister les IOC importés :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Analyse à la demande
Utilisez l'action On-Demand Scan (Analyse à la demande) pour analyser le point de terminaison à la demande dans CrowdStrike.
Cette action ne s'exécute que sur les hôtes Windows et les entités suivantes :
- Adresse IP
- Nom d'hôte
L'action On-Demand Scan (Analyse à la demande) s'exécute de manière asynchrone. Si nécessaire, ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps.
Entrées d'action
L'action Analyse à la demande nécessite les paramètres suivants :
| Paramètres | |
|---|---|
File Paths To Scan |
Obligatoire Liste de chemins à analyser, séparés par une virgule. La valeur par défaut est |
File Paths To Exclude From Scan |
Optional Liste de chemins d'accès à exclure de l'analyse, séparés par une virgule. |
Host Group Name |
Optional Liste de noms de groupes d'hôtes séparés par une virgule pour lesquels lancer l'analyse. Cette action crée un processus d'analyse distinct pour chaque groupe d'hôtes. |
Scan Description |
Optional Description à utiliser pour le processus d'analyse. Si vous ne définissez aucune valeur, l'action définit la description sur |
CPU Priority |
Optional Quantité de processeur à utiliser pour l'hôte sous-jacent lors de l'analyse. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sensor Anti-malware Detection Level |
Optional Valeur du niveau de détection antimalware du capteur. Le niveau de détection doit être supérieur ou égal au niveau de prévention. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sensor Anti-malware Prevention Level |
Optional Valeur du niveau de prévention contre les logiciels malveillants du capteur. Le niveau de détection doit être supérieur ou égal au niveau de prévention. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Cloud Anti-malware Detection Level |
Optional Valeur du niveau de détection antimalware dans le cloud. Le niveau de détection doit être supérieur ou égal au niveau de prévention. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Cloud Anti-malware Prevention Level |
Optional Valeur du niveau de protection contre les logiciels malveillants dans le cloud. Le niveau de détection doit être supérieur ou égal au niveau de prévention. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Quarantine Hosts |
Optional Si cette option est sélectionnée, l'action met en quarantaine les hôtes sous-jacents lors de l'analyse. (non sélectionnée par défaut). |
Create Endpoint Notification |
Optional Si cette option est sélectionnée, le processus d'analyse crée une notification de point de terminaison. Cette option est sélectionnée par défaut. |
Max Scan Duration |
Optional Nombre d'heures d'exécution d'un scan. Si vous ne fournissez aucune valeur, l'analyse s'exécute en continu. |
Sorties d'action
L'action Analyse à la demande fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Analyse à la demande :
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
Messages de sortie
L'action On-Demand Scan (Analyse à la demande) fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Analyse à la demande :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ping
Utilisez l'action Ping pour tester la connectivité à CrowdStrike Falcon.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Exécuter le script
Utilisez l'action Exécuter le script pour exécuter un script PowerShell sur les points de terminaison dans CrowdStrike.
Cette action est asynchrone. Ajustez la valeur du délai d'expiration du script dans l'IDE Google SecOps, si nécessaire.
Cette action s'exécute sur les entités "Adresse IP" et "Nom d'hôte".
Entrées d'action
L'action Exécuter le script nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Customer ID |
Optional ID du client pour lequel exécuter l'action. |
Script Name |
Optional Nom du fichier de script à exécuter. Configurez le paramètre |
Raw Script |
Optional Charge utile de script PowerShell brut à exécuter sur les points de terminaison. Configurez le paramètre |
Sorties d'action
L'action Exécuter le script fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
Sur un mur des cas, l'action Exécuter le script fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Exécuter le script :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Événements de recherche
Utilisez cette action pour rechercher des événements dans CrowdStrike. Remarque : L'action s'exécute de manière asynchrone. Si nécessaire, veuillez ajuster la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action.
Cette action ne s'applique pas aux entités.
Entrées d'action
L'action Search Events (Rechercher des événements) nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Repository |
Obligatoire
Dépôt dans lequel la recherche doit être effectuée. Les valeurs possibles sont les suivantes :
|
Query |
Obligatoire
Requête à exécuter dans CrowdStrike. Remarque : N'incluez pas le mot "tête" dans la requête. L'action le fournira automatiquement en fonction de la valeur fournie dans le paramètre "Nombre maximal de résultats à renvoyer". |
Time Frame |
Optional
Période des résultats. Si vous sélectionnez "Personnalisé", vous devez également indiquer une heure de début. Voici les valeurs possibles pour la dernière heure :
|
Start Time |
Optional
Heure de début des résultats. Ce paramètre est obligatoire si "Personnalisé" est sélectionné pour le paramètre "Période". Format : ISO 8601. |
End Time |
Optional
Nombre de résultats à renvoyer pour la requête. L'action ajoutera "head" à la requête fournie. Valeur par défaut : 50. Maximum : 1 000. |
Sorties d'action
L'action Rechercher des événements fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
Sur un mur de cas, l'action Rechercher des événements fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
|
L'action ne doit pas échouer ni arrêter l'exécution d'un playbook. |
|
|
Échec de l'action. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Rechercher des événements :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Envoyer le fichier
Utilisez l'action Submit File (Envoyer un fichier) pour envoyer des fichiers à un bac à sable dans CrowdStrike.
Cette action nécessite une licence Falcon Sandbox.
Cette action ne s'applique pas aux entités.
Formats de fichiers et d'archives compatibles
Selon le portail CrowdStrike, le bac à sable est compatible avec les formats de fichiers suivants :
| Formats de fichiers acceptés | |
|---|---|
.exe, .scr, .pif,
.dll, .com, .cpl |
Exécutables portables |
.doc, .docx, .ppt,
.pps, .pptx, .ppsx,
.xls, .xlsx, .rtf,
.pub |
Documents Office |
.pdf |
|
.apk |
APK |
.jar |
Fichier JAR exécutable |
.sct |
Composant de script Windows |
.lnk |
Raccourci Windows |
.chm |
Aide Windows |
.hta |
Application HTML |
.wsf |
Fichier de script Windows |
.js |
JavaScript |
.vbs, .vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1, .psd1, .psm1 |
Powershell |
.svg |
Graphiques vectoriels évolutifs |
.py |
Python |
.elf |
Exécutables ELF Linux |
.eml |
Fichiers d'e-mails : MIME RFC 822 |
.msg |
Fichiers de messagerie : Outlook |
Selon le portail CrowdStrike, le bac à sable est compatible avec les formats d'archive suivants :
.zip.7z
Entrées d'action
L'action Envoyer le fichier nécessite les paramètres suivants :
| Paramètres | |
|---|---|
File Paths |
Obligatoire
Liste des chemins absolus vers les fichiers envoyés. Le format dépend de votre déploiement :
Pour obtenir la liste des formats de fichiers acceptés, consultez Formats de fichiers et d'archives acceptés. |
Sandbox Environment |
Optional
Un environnement de bac à sable à analyser. La valeur par défaut est
|
Network Environment |
Optional
Un environnement réseau à analyser. La valeur par défaut est
|
Archive Password |
Optional
Mot de passe à utiliser lorsque vous travaillez avec des fichiers d'archive. |
Document Password |
Optional
Mot de passe à utiliser lorsque vous travaillez avec des fichiers Adobe ou Office. La longueur maximale du mot de passe est de 32 caractères. |
Check Duplicate |
Optional
Si cette option est sélectionnée, l'action vérifie si le fichier a déjà été envoyé et renvoie le rapport disponible. Lors de la validation, l'action ne tient pas compte des paramètres Cette option est sélectionnée par défaut. |
Comment |
Optional
Commentaire à envoyer. |
Confidential Submission |
Optional
Si cette option est sélectionnée, le fichier n'est visible que par les utilisateurs de votre compte client. (non sélectionnée par défaut). |
Sorties d'action
L'action Envoyer le fichier fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
Sur un mur de demandes, l'action Envoyer un fichier fournit le tableau suivant :
Colonnes :
- Résultats
- Nom
- Score de menace
- Évaluation
- Tags
Messages de sortie
L'action Envoyer le fichier fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
|
L'action a renvoyé une erreur. Vérifiez les formats de fichiers acceptés pour cette action. |
Waiting for results for the following
files: PATHS |
Message asynchrone. |
Error executing action "Submit File".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
Échec de l'action. Augmentez le délai avant expiration dans l'IDE. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Envoyer le fichier :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Envoyer une URL
Utilisez l'action Envoyer l'URL pour envoyer des URL à un bac à sable dans CrowdStrike.
Cette action nécessite une licence Falcon Sandbox. Pour vérifier les formats de fichiers compatibles avec le bac à sable, consultez la section Formats de fichiers et d'archives acceptés de ce document.
Cette action ne s'applique pas aux entités.
Entrées d'action
L'action Envoyer l'URL nécessite les paramètres suivants :
| Paramètres | |
|---|---|
URLs |
Obligatoire
URL à envoyer. |
Sandbox Environment |
Optional
Un environnement de bac à sable à analyser. La valeur par défaut est
|
Network Environment |
Optional
Un environnement réseau à analyser. La valeur par défaut est
|
Check Duplicate |
Optional
Si cette option est sélectionnée, l'action vérifie si l'URL a déjà été envoyée et renvoie le rapport disponible. Lors de la validation, l'action ne tient pas compte des paramètres Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Envoyer l'URL fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Envoyer l'URL fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Waiting for results for the following
URLs: PATHS |
Message asynchrone. |
Error executing action "Submit URL".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
Échec de l'action. Augmentez le délai avant expiration dans l'IDE. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Envoyer l'URL :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour l'alerte
Utilisez l'action Mettre à jour l'alerte pour mettre à jour les alertes dans CrowdStrike Falcon.
Cette action ne s'applique pas aux entités.
Entrées d'action
L'action Mettre à jour l'alerte nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Alert ID |
Obligatoire ID de l'alerte à modifier. |
Status |
Optional État de l'alerte. Les valeurs possibles sont les suivantes :
|
Verdict |
Optional Résultat de l'alerte. Les valeurs possibles sont les suivantes :
|
Assign To |
Optional Nom de l'analyste auquel attribuer l'alerte. Si vous fournissez L'API accepte n'importe quelle valeur, même si l'utilisateur fourni n'existe pas dans le système. |
Sorties d'action
L'action Alerte de mise à jour fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Mettre à jour l'alerte :
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Messages de sortie
L'action Mettre à jour l'alerte fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
Action effectuée. |
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Mettre à jour l'alerte :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mise à jour de la détection
Utilisez l'action Update Detection (Mettre à jour la détection) pour mettre à jour les détections dans CrowdStrike Falcon.
Cette action s'exécute sur toutes les entités.
Entrées d'action
L'action Détection des mises à jour nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Detection ID |
Obligatoire
ID de la détection à mettre à jour. |
Status |
Obligatoire
État de la détection. La valeur par défaut est
|
Assign Detection to |
Optional
Adresse e-mail de l'utilisateur CrowdStrike Falcon auquel la détection est attribuée. |
Sorties d'action
L'action Détection de mise à jour fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Update Detection (Détection des mises à jour) fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
Action effectuée. |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
Échec de l'action. Vérifiez les valeurs des paramètres |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Détection de mise à jour :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour la détection de la protection de l'identité
Utilisez Update Identity Protection Detection pour mettre à jour une détection de protection de l'identité dans CrowdStrike.
Cette action nécessite une licence Identity Protection.
Cette action ne s'applique pas aux entités.
Entrées d'action
L'action Mettre à jour la détection Identity Protection nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Detection ID |
Obligatoire
ID de la détection à mettre à jour. |
Status |
Optional
État de la détection. La valeur par défaut est Voici les valeurs possibles :
|
Assign to |
Optional
Nom de l'analyste attribué. Si Si une valeur non valide est fournie, l'action ne modifie pas l'attributaire actuel. |
Sorties d'action
L'action Mettre à jour la détection de la protection de l'identité fournit les sorties suivantes :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Mettre à jour la détection de la protection de l'identité :
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Messages de sortie
Sur un mur de requêtes, l'action Mettre à jour la détection de la protection de l'identité fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
Action effectuée. |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
Échec de l'action. Vérifiez l'orthographe. |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
Échec de l'action. Vérifiez les valeurs des paramètres |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Mettre à jour la détection Identity Protection :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour un incident
Utilisez l'action Update Incident (Mettre à jour l'incident) pour mettre à jour les incidents dans CrowdStrike.
Cette action ne s'applique pas aux entités.
Entrées d'action
L'action Mettre à jour l'incident nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Incident ID |
Obligatoire
ID de l'incident à modifier. |
Status |
Optional
État de l'incident. Les valeurs possibles sont les suivantes :
|
Assign to |
Optional
Nom ou adresse e-mail de l'analyste attribué. Si Pour spécifier un nom, indiquez le prénom et le nom de famille de l'analyste au format suivant :
|
Sorties d'action
L'action Mettre à jour l'incident fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Mettre à jour l'incident :
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Messages de sortie
L'action Mettre à jour l'incident fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
Action effectuée. |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Échec de l'action. Vérifiez l'orthographe. |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
Échec de l'action. Vérifiez l'orthographe. |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
Échec de l'action. Vérifiez les paramètres d'entrée. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Mettre à jour l'incident :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour les informations sur les FIO
Utilisez l'action Update IOC Information (Mettre à jour les informations sur les IOC) pour mettre à jour les informations sur les IOC personnalisés dans CrowdStrike Falcon.
Cette action traite les entités "Nom d'hôte" comme des IOC de domaine et extrait la partie domaine des URL. Elle n'est compatible qu'avec les hachages MD5 et SHA-256.
L'action Mettre à jour les informations sur les IOC s'exécute sur les entités suivantes :
- Nom d'hôte
- URL
- Adresse IP
- Hash
Entrées d'action
L'action Mettre à jour les informations sur les IOC nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Description |
Optional
Nouvelle description pour les IOC personnalisés. |
Source |
Optional
Source d'IOC personnalisés. |
Expiration days |
Optional
Nombre de jours restants avant l'expiration. Ce paramètre n'affecte que les entités URL, adresse IP et nom d'hôte. |
Detect policy |
Optional
Si cette option est sélectionnée, l'action envoie une notification pour les IOC identifiés. Si cette option n'est pas sélectionnée, aucune notification n'est envoyée. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Mettre à jour les informations sur les IOC fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Update IOC Information (Mettre à jour les informations sur les IOC) :
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
Messages de sortie
Sur un mur de demandes, l'action Mettre à jour les informations sur les IOC fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Mettre à jour les informations sur les IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Importer des IOC
Utilisez l'action Importer des IOC pour ajouter des IOC personnalisés dans CrowdStrike Falcon.
Cette action traite les entités "Nom d'hôte" comme des IOC de domaine et extrait la partie domaine des URL. Elle n'est compatible qu'avec les hachages MD5 et SHA-256.
L'action Importer des IOC s'exécute sur les entités suivantes :
- Adresse IP
- Nom d'hôte
- URL
- Hash
Entrées d'action
L'action Importer des IOC nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Platform |
Obligatoire
Liste de plates-formes liées au CIO, séparées par une virgule. La valeur par défaut est
|
Severity |
Obligatoire
Gravité de l'IOC. La valeur par défaut est
|
Comment |
Optional
Commentaire contenant plus de contexte concernant l'IOC. |
Host Group Name |
Obligatoire
Nom du groupe d'hôtes. |
Action |
Optional
Action pour les IOC importés. La valeur par défaut est Voici les valeurs possibles :
La valeur |
Sorties d'action
L'action Importer des IOC fournit les résultats suivants :
| Type de sortie de l'action | |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Importer des IOC fournit les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
Échec de l'action. Vérifiez la valeur du paramètre |
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
Échec de l'action. Vérifiez la valeur du paramètre |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Importer des IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Connecteurs
Assurez-vous d'avoir configuré les autorisations minimales pour chaque connecteur CrowdStrike. Pour en savoir plus, consultez la section Autorisations du connecteur de ce document.
Pour savoir comment configurer un connecteur dans Google SecOps, consultez Ingérer vos données (connecteurs).
Événements CrowdStrike
Les événements sont des informations collectées par les capteurs Falcon sur vos hôtes. Il existe quatre types d'événements dans CrowdStrike :
| Types d'événements CrowdStrike | |
|---|---|
| Événements d'audit de l'activité d'authentification | Événements générés chaque fois que l'autorisation est demandée, accordée ou effectuée sur les points de terminaison. |
| Événements récapitulatifs de détection | Événements générés lorsque des menaces sont détectées sur des points de terminaison. |
| Événements de fin de session de réponse à distance | Événements générés à partir de sessions à distance sur les points de terminaison. |
| Événements d'audit de l'activité des utilisateurs | Événements générés pour surveiller les activités effectuées par les utilisateurs actifs sur les points de terminaison. |
Les connecteurs ingèrent des événements dans Google SecOps pour créer des alertes et enrichir les cas avec des données d'événements. Vous pouvez sélectionner les événements à ingérer dans Google SecOps : tous les types d'événements ou certains d'entre eux.
Connecteur de détections CrowdStrike
Utilisez le connecteur de détections CrowdStrike pour extraire les détections de CrowdStrike.
La liste dynamique fonctionne avec les filtres compatibles avec l'API CrowdStrike.
Utiliser la liste dynamique
Lorsque vous travaillez avec la liste dynamique, respectez les recommandations suivantes :
- Utilisez le langage FQL CrowdStrike pour modifier le filtre envoyé par le connecteur.
- Fournissez une entrée distincte dans la liste dynamique pour chaque filtre.
Pour ingérer toutes les détections attribuées à un analyste spécifique, assurez-vous que l'analyste fournit l'entrée de liste dynamique suivante :
assigned_to_name:'ANALYST_USER_NAME'
La liste dynamique accepte les paramètres suivants :
| Paramètres disponibles | |
|---|---|
q |
Recherche en texte intégral dans tous les champs de métadonnées. |
date_updated |
Date de la dernière mise à jour de la détection. |
assigned_to_name |
Nom d'utilisateur lisible de la personne à laquelle la détection est attribuée. |
max_confidence |
Lorsqu'une détection est associée à plusieurs comportements avec des niveaux de confiance différents, ce champ indique la niveau de confiance la plus élevée de tous les comportements. La valeur du paramètre peut être n'importe quel entier compris entre 1 et 100. |
detection_id |
ID de détection pouvant être utilisé avec d'autres API, telles que l'API Detection Details ou l'API Resolve Detection. |
max_severity |
Lorsqu'une détection est associée à plusieurs comportements dont les niveaux de gravité varient, ce champ indique la valeur de gravité la plus élevée de tous les comportements. La valeur du paramètre peut être n'importe quel entier compris entre 1 et 100. |
max_severity_displayname |
Nom utilisé dans l'UI pour déterminer la gravité de la détection. Les valeurs possibles sont les suivantes :
|
seconds_to_triaged |
Délai nécessaire pour qu'une détection passe de l'état new à l'état in_progress. |
seconds_to_resolved |
Temps nécessaire pour qu'une détection passe de l'état new à l'un des états résolus (true_positive, false_positive, ignored et closed). |
status |
État actuel de la détection. Voici les valeurs possibles :
|
adversary_ids |
L'adversaire suivi par CrowdStrike Falcon Intelligence possède un ID associé aux comportements ou indicateurs attribués dans une détection. Ces ID se trouvent dans des métadonnées de détection accessibles via l'API Detection Details. |
cid |
Numéro client de votre organisation. |
Paramètres du connecteur
Le connecteur de détections CrowdStrike nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Product Field Name |
Obligatoire
Nom du champ source contenant le nom La valeur par défaut est |
Event Field Name |
Obligatoire
Nom du champ source contenant le nom La valeur par défaut est |
Environment Field Name |
Optional
Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement par défaut est utilisé. La valeur par défaut est |
Environment Regex Pattern |
Optional
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout (Seconds) |
Obligatoire Délai limite en secondes pour le processus Python exécutant le script actuel. La valeur par défaut est |
API Root |
Obligatoire
Racine de l'API de l'instance CrowdStrike. La valeur par défaut est |
Client ID |
Obligatoire
ID client du compte CrowdStrike. |
Client Secret |
Obligatoire
Code secret du client du compte CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
Score de gravité le plus faible des détections à récupérer. Si aucune valeur n'est fournie, le connecteur n'applique pas ce filtre. La valeur maximale est de La valeur par défaut est |
Lowest Confidence Score To Fetch |
Optional
Score de confiance le plus faible des détections à récupérer. Si aucune valeur n'est fournie, le connecteur n'applique pas ce filtre. La valeur maximale est de La valeur par défaut est |
Max Hours Backwards |
Optional
Nombre d'heures à partir desquelles récupérer les détections. La valeur par défaut est |
Max Detections To Fetch |
Optional
Nombre de détections à traiter lors d'une itération de connecteur unique. La valeur par défaut est |
Disable Overflow |
Optional Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire
Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur CrowdStrike est valide. (non sélectionnée par défaut). |
Proxy Server Address |
Optional
Adresse du serveur proxy à utiliser. |
Proxy Username |
Optional
Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Optional
Mot de passe du proxy pour l'authentification. |
Case Name Template |
Optional
Si elle est fournie, le connecteur ajoute une clé Vous pouvez fournir des espaces réservés au format [ Remarque : Le connecteur utilise le premier événement Google SecOps pour les espaces réservés. Ce paramètre n'autorise que les clés avec une valeur de chaîne. |
Alert Name Template |
Optional
Si elle est fournie, le connecteur utilise cette valeur pour le nom de l'alerte Google SecOps. Vous pouvez fournir des espaces réservés au format [ Remarque : Si vous ne fournissez aucune valeur ou un modèle non valide, le connecteur utilise le nom d'alerte par défaut. Le connecteur utilise le premier événement Google SecOps pour les espaces réservés. Ce paramètre n'autorise que les clés avec une valeur de chaîne. |
Padding Period |
Optional
Nombre d'heures que le connecteur utilise pour le remplissage. La valeur maximale est de |
Include Hidden Alerts |
Optional
S'il est activé, le connecteur récupère également les alertes marquées comme "masquées" par CrowdStrike. |
Fallback Severity |
Optional
Gravité de secours pour l'alerte Google SecOps à appliquer aux alertes CrowdStrike pour lesquelles les informations de gravité sont manquantes. Valeurs possibles : "Informational", "Low", "Medium", "High", "Critical". Si aucune valeur n'est fournie, le connecteur utilisera le niveau de gravité "Informational" (Informationnel). |
Customer ID |
Optional ID client du locataire dans lequel exécuter le connecteur. À utiliser dans les environnements mutualisés (MSSP). |
Règles du connecteur
Le connecteur est compatible avec les proxys.
Événements de connecteur
Voici un exemple d'événement de connecteur :
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
Connecteur d'événements de streaming CrowdStrike Falcon
Le connecteur d'événements de streaming CrowdStrike Falcon répond aux cas d'utilisation suivants :
Ingestion des données d'événements de détection.
CrowdStrike Falcon détecte une tentative d'exécution du fichier
SophosCleanM.exemalveillant sur un point de terminaison. CrowdStrike arrête l'opération et crée une alerte contenant les hachages de fichiers dans les données d'événement.Un analyste intéressé par la réputation des fichiers exécute les hachages découverts dans VirusTotal et découvre qu'un hachage est malveillant. L'étape suivante consiste à mettre en quarantaine le fichier malveillant à l'aide de l'action McAfee EDR.
Ingestion des données des événements d'audit de l'activité des utilisateurs.
Dani, un utilisateur CrowdStrike, modifie l'état de la détection de
newàfalse-positive. Cette action utilisateur crée un événement nommé detection_update.L'analyste effectue un suivi pour comprendre pourquoi Dani a marqué l'action comme faux positif et vérifie l'événement ingéré contenant des informations sur l'identité de Dani.
Dans l'étape suivante, l'analyste exécute l'action Active Directory Enrichir les entités pour obtenir plus d'informations sur l'incident et simplifier le suivi de Dani.
Ingestion des données des événements d'audit d'activité d'authentification
Un événement indique que Dani a créé un compte utilisateur et lui a attribué des rôles utilisateur.
Pour examiner l'événement et comprendre pourquoi l'utilisateur a été créé, l'analyste utilise l'ID utilisateur de Dani pour exécuter l'action Active Directory Enrichir les entités et découvrir le rôle utilisateur de Dani afin de confirmer s'il est autorisé à ajouter de nouveaux utilisateurs.
Ingestion des données des événements de fin de réponse à distance.
Un événement à distance indique que Dani disposait d'une connexion à distance à un hôte spécifique et qu'il a exécuté des commandes en tant qu'utilisateur racine pour accéder à un répertoire de serveur Web.
Pour en savoir plus sur Dani et l'hôte concerné, l'analyste exécute l'action Active Directory afin d'enrichir les informations sur l'utilisateur et l'hôte. En fonction des informations renvoyées, l'analyste peut décider de suspendre Dani jusqu'à ce que l'objectif de la connexion à distance soit clarifié.
Entrées du connecteur
Le connecteur d'événements de streaming CrowdStrike Falcon nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Product Field Name |
Obligatoire
Nom du champ source contenant le nom La valeur par défaut est |
Event Field Name |
Obligatoire
Nom du champ source contenant le nom La valeur par défaut est |
Environment Field Name |
Optional
Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement par défaut est utilisé. La valeur par défaut est |
Environment Regex Pattern |
Optional
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Alert Name Template |
Optional
Si elle est fournie, le connecteur utilise cette valeur pour le nom de l'alerte Google SecOps. Vous pouvez fournir des espaces réservés au format [ Remarque : Si vous ne fournissez aucune valeur ou un modèle non valide, le connecteur utilise le nom d'alerte par défaut. Le connecteur utilise le premier événement Google SecOps pour les espaces réservés. Ce paramètre n'autorise que les clés avec une valeur de chaîne. |
API Root |
Obligatoire
Racine de l'API de l'instance CrowdStrike. La valeur par défaut est |
Client ID |
Obligatoire
ID client du compte CrowdStrike. |
Client Secret |
Obligatoire
Code secret du client du compte CrowdStrike. |
Event types |
Optional
Liste de types d'événements séparés par une virgule. Voici quelques exemples de types d'événements :
|
Max Days Backwards |
Optional
Nombre de jours avant aujourd'hui à partir desquels récupérer les détections. La valeur par défaut est |
Max Events Per Cycle |
Optional
Nombre d'événements à traiter lors d'une seule itération du connecteur. La valeur par défaut est |
Min Severity |
Optional Événements à ingérer en fonction de leur gravité (événements de détection). La valeur est comprise entre 0 et 5. Si d'autres types d'événements que les détections sont ingérés, leur gravité est définie sur |
Disable Overflow |
Optional Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire
Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur CrowdStrike est valide. (non sélectionnée par défaut). |
Script Timeout (Seconds) |
Obligatoire Délai avant expiration du processus Python exécutant le script actuel. La valeur par défaut est de 60 secondes. |
Proxy Server Address |
Optional
Adresse du serveur proxy à utiliser. |
Proxy Username |
Optional
Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Optional
Mot de passe du proxy pour l'authentification. |
Rule Generator Template |
Optional
Si elle est fournie, le connecteur utilise cette valeur pour le générateur de règles Google SecOps. Vous pouvez fournir des espaces réservés au format [ Si vous ne fournissez aucune valeur ou un modèle non valide, le connecteur utilise le générateur de règles par défaut. Le connecteur utilise le premier événement Google SecOps pour les espaces réservés. Ce paramètre n'autorise que les clés avec une valeur de chaîne. |
Customer ID |
Optional ID client du locataire dans lequel exécuter le connecteur. À utiliser dans les environnements mutualisés (MSSP). |
Règles du connecteur
Ce connecteur est compatible avec les proxys.
Ce connecteur n'est pas compatible avec la liste dynamique.
Connecteur de détections CrowdStrike Identity Protection
Utilisez le connecteur de détections de protection de l'identité CrowdStrike pour extraire les détections de protection de l'identité de CrowdStrike. La liste dynamique fonctionne avec le paramètre display_name.
Ce connecteur nécessite une licence Identity Protection.
Entrées du connecteur
Le connecteur de détections CrowdStrike Identity Protection nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Product Field Name |
Obligatoire
Nom du champ source contenant le nom La valeur par défaut est |
Event Field Name |
Obligatoire
Nom du champ source contenant le nom La valeur par défaut est |
Environment Field Name |
Optional
Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement par défaut est utilisé. La valeur par défaut est |
Environment Regex Pattern |
Optional
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout (Seconds) |
Obligatoire Délai limite en secondes pour le processus Python exécutant le script actuel. La valeur par défaut est |
API Root |
Obligatoire
Racine de l'API de l'instance CrowdStrike. La valeur par défaut est |
Client ID |
Obligatoire
ID client du compte CrowdStrike. |
Client Secret |
Obligatoire
Code secret du client du compte CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
Score de gravité le plus faible des détections à récupérer. Si aucune valeur n'est fournie, le connecteur n'applique pas ce filtre. La valeur maximale est de La valeur par défaut est Le connecteur accepte également les valeurs suivantes pour ce paramètre :
|
Lowest Confidence Score To Fetch |
Optional
Score de confiance le plus bas des détections à récupérer. Si aucune valeur n'est fournie, le connecteur n'applique pas ce filtre. La valeur maximale est de La valeur par défaut est |
Max Hours Backwards |
Optional
Nombre d'heures avant l'heure actuelle à partir desquelles récupérer les détections. La valeur par défaut est |
Max Detections To Fetch |
Optional
Nombre de détections à traiter lors d'une itération de connecteur unique. La valeur par défaut est |
Case Name Template |
Optional
Si elle est fournie, le connecteur ajoute une clé Vous pouvez fournir des espaces réservés au format [ Remarque : Le connecteur utilise le premier événement Google SecOps pour les espaces réservés. Ce paramètre n'autorise que les clés avec une valeur de chaîne. |
Alert Name Template |
Optional
Si elle est fournie, le connecteur utilise cette valeur pour le nom de l'alerte Google SecOps. Vous pouvez fournir des espaces réservés au format [ Remarque : Si vous ne fournissez aucune valeur ou un modèle non valide, le connecteur utilise le nom d'alerte par défaut. Le connecteur utilise le premier événement Google SecOps pour les espaces réservés. Ce paramètre n'autorise que les clés avec une valeur de chaîne. |
Disable Overflow |
Optional Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire
Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur CrowdStrike est valide. (non sélectionnée par défaut). |
Proxy Server Address |
Optional
Adresse du serveur proxy à utiliser. |
Proxy Username |
Optional
Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Optional
Mot de passe du proxy pour l'authentification. |
Customer ID |
Optional ID client du locataire dans lequel exécuter le connecteur. À utiliser dans les environnements mutualisés (MSSP). |
Règles du connecteur
Ce connecteur est compatible avec les proxys.
Événement de connecteur
Voici un exemple d'événement de connecteur :
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Connecteur CrowdStrike Incidents
Utilisez le connecteur d'incidents CrowdStrike pour extraire les incidents et les comportements associés de CrowdStrike.
La liste dynamique fonctionne avec le paramètre incident_type.
Paramètres du connecteur
Le connecteur d'incidents CrowdStrike nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Product Field Name |
Obligatoire
Nom du champ source contenant le nom La valeur par défaut est |
Event Field Name |
Obligatoire
Nom du champ source contenant le nom La valeur par défaut est |
Environment Field Name |
Optional
Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement par défaut est utilisé. La valeur par défaut est |
Environment Regex Pattern |
Optional
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout (Seconds) |
Obligatoire Délai limite en secondes pour le processus Python exécutant le script actuel. La valeur par défaut est |
API Root |
Obligatoire
Racine de l'API de l'instance CrowdStrike. La valeur par défaut est |
Client ID |
Obligatoire
ID client du compte CrowdStrike. |
Client Secret |
Obligatoire
Code secret du client du compte CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
Score de gravité le plus faible des incidents à extraire. Si aucune valeur n'est fournie, le connecteur ingère les incidents de tous les niveaux de gravité. La valeur maximale est de
|
Max Hours Backwards |
Optional
Nombre d'heures avant l'heure actuelle à partir desquelles récupérer les incidents. La valeur par défaut est |
Max Incidents To Fetch |
Optional
Nombre d'incidents à traiter lors d'une seule itération du connecteur. La valeur maximale est de La valeur par défaut est |
Use dynamic list as a blocklist |
Obligatoire
Si cette option est sélectionnée, la liste dynamique est utilisée comme liste de blocage. (non sélectionnée par défaut). |
Disable Overflow |
Optional Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire
Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur CrowdStrike est valide. (non sélectionnée par défaut). |
Proxy Server Address |
Optional
Adresse du serveur proxy à utiliser. |
Proxy Username |
Optional
Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Optional
Mot de passe du proxy pour l'authentification. |
Customer ID |
Optional ID client du locataire dans lequel exécuter le connecteur. À utiliser dans les environnements mutualisés (MSSP). |
Règles du connecteur
Ce connecteur est compatible avec les proxys.
Événements de connecteur
Le connecteur d'incidents CrowdStrike comporte deux types d'événements : l'un est basé sur les incidents et l'autre sur le comportement.
Voici un exemple d'événement basé sur un incident :
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Voici un exemple d'événement basé sur le comportement :
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike – Connecteur d'alertes
Utilisez le connecteur d'alertes CrowdStrike pour extraire les alertes de CrowdStrike.
La liste dynamique fonctionne avec le paramètre display_name.
Pour extraire les détections Identity Protection, utilisez le connecteur Identity Protection Detections.
Entrées du connecteur
Le connecteur d'alertes CrowdStrike nécessite les paramètres suivants :
| Paramètres | |
|---|---|
Product Field Name |
Obligatoire
Nom du champ source contenant le nom La valeur par défaut est |
Event Field Name |
Obligatoire
Nom du champ source contenant le nom La valeur par défaut est |
Environment Field Name |
Optional
Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement par défaut est utilisé. La valeur par défaut est |
Environment Regex Pattern |
Optional
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout (Seconds) |
Obligatoire Délai limite en secondes pour le processus Python exécutant le script actuel. La valeur par défaut est |
API Root |
Obligatoire
Racine de l'API de l'instance CrowdStrike. La valeur par défaut est |
Client ID |
Obligatoire
ID client du compte CrowdStrike. |
Client Secret |
Obligatoire
Code secret du client du compte CrowdStrike. |
Case Name Template |
Optional
Si elle est fournie, le connecteur ajoute une clé Vous pouvez fournir des espaces réservés au format [ Remarque : Le connecteur utilise le premier événement Google SecOps pour les espaces réservés. Ce paramètre n'autorise que les clés avec une valeur de chaîne. |
Alert Name Template |
Optional
Si elle est fournie, le connecteur utilise cette valeur pour le nom de l'alerte Google SecOps. Vous pouvez fournir des espaces réservés au format [ Remarque : Si vous ne fournissez aucune valeur ou un modèle non valide, le connecteur utilise le nom d'alerte par défaut. Le connecteur utilise le premier événement Google SecOps pour les espaces réservés. Ce paramètre n'autorise que les clés avec une valeur de chaîne. |
Lowest Severity Score To Fetch |
Optional
Score de gravité le plus faible des incidents à extraire. Si aucune valeur n'est fournie, le connecteur ingère les incidents de tous les niveaux de gravité. La valeur maximale est de
Dans l'UI CrowdStrike, la même valeur est divisée par 10. |
Max Hours Backwards |
Optional
Nombre d'heures avant l'heure actuelle à partir desquelles récupérer les incidents. La valeur par défaut est |
Max Alerts To Fetch |
Optional
Nombre d'alertes à traiter lors d'une seule itération du connecteur. La valeur maximale est de La valeur par défaut est |
Use dynamic list as a blocklist |
Obligatoire
Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. (non sélectionnée par défaut). |
Disable Overflow |
Optional Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire
Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur CrowdStrike est valide. (non sélectionnée par défaut). |
Proxy Server Address |
Optional
Adresse du serveur proxy à utiliser. |
Proxy Username |
Optional
Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Optional
Mot de passe du proxy pour l'authentification. |
Customer ID |
Optional ID client du locataire dans lequel exécuter le connecteur. À utiliser dans les environnements mutualisés (MSSP). |
Règles du connecteur
Ce connecteur est compatible avec les proxys.
Événements de connecteur
Voici un exemple d'événement basé sur des alertes :
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.