Mengintegrasikan CrowdStrike Falcon dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan CrowdStrike Falcon dengan Google Security Operations (Google SecOps).
Versi integrasi: 56.0
Integrasi ini menggunakan satu atau beberapa komponen open source. Anda dapat mendownload salinan kode sumber lengkap integrasi ini dari bucket Cloud Storage.
Kasus penggunaan
Di platform Google SecOps, integrasi CrowdStrike Falcon memecahkan kasus penggunaan berikut:
Pembatasan malware otomatis: gunakan kemampuan platform SecOps Google untuk mengarantina endpoint yang terpengaruh secara otomatis, mengambil hash file untuk analisis lebih lanjut, dan mencegah penyebaran malware. Pembatasan malware otomatis diaktifkan saat email phishing memicu pemberitahuan CrowdStrike Falcon untuk download file yang mencurigakan.
Respons insiden yang dipercepat: gunakan Google SecOps untuk mengumpulkan data kontekstual seperti pohon proses dan koneksi jaringan, mengisolasi host yang terkompromi, dan membuat tiket untuk penyelidikan.
Perburuan dan investigasi ancaman: gunakan kemampuan platform Google SecOps untuk membuat kueri CrowdStrike Falcon terkait tindakan pengguna tertentu, modifikasi file, dan koneksi jaringan selama periode yang ditentukan. Perburuan dan penyelidikan ancaman memungkinkan analis keamanan Anda menyelidiki potensi ancaman orang dalam dan menganalisis aktivitas endpoint historis sekaligus menyederhanakan proses penyelidikan.
Respons dan pemulihan phishing: gunakan CrowdStrike Falcon dan platform Google SecOps untuk memindai lampiran email, membukanya di lingkungan sandbox, dan memblokir alamat email pengirim secara otomatis jika aktivitas berbahaya terdeteksi.
Pengelolaan kerentanan: gunakan kemampuan platform Google SecOps untuk otomatis membuat tiket bagi setiap sistem yang rentan, memprioritaskannya berdasarkan tingkat keparahan dan nilai aset, serta memicu alur kerja penerapan patch otomatis. Pengelolaan kerentanan membantu Anda mengidentifikasi kerentanan kritis di beberapa endpoint.
Sebelum memulai
Sebelum mengonfigurasi integrasi di Google SecOps, selesaikan langkah-langkah berikut:
Konfigurasi klien CrowdStrike Falcon API.
Konfigurasi izin tindakan.
Mengonfigurasi izin konektor.
Mengonfigurasi klien CrowdStrike Falcon API
Untuk menentukan klien dan tampilan API CrowdStrike, membuat, atau mengubah klien atau kunci API, Anda harus memiliki peran FalconAdministrator.
Secret hanya ditampilkan saat Anda membuat klien API baru atau mereset klien API.
Untuk mengonfigurasi klien CrowdStrike Falcon API, selesaikan langkah-langkah berikut:
- Di UI Falcon, buka Support and resources > Resources and tools > API clients and keys. Di halaman ini, Anda dapat menemukan klien yang ada, menambahkan klien API baru, atau melihat log audit.
- Klik Create API Client.
- Berikan nama untuk klien API baru Anda.
- Pilih cakupan API yang sesuai.
Klik Buat. Nilai Client ID dan Client Secret akan muncul.
Ini adalah satu-satunya saat Anda melihat nilai rahasia klien. Pastikan untuk menyimpannya dengan aman. Jika Anda kehilangan rahasia klien, reset klien API Anda dan perbarui semua aplikasi yang mengandalkan rahasia klien dengan kredensial baru.
Untuk mengetahui detail selengkapnya terkait akses ke CrowdStrike API, lihat panduan Mendapatkan Akses ke CrowdStrike API di blog CrowdStrike.
Mengonfigurasi izin tindakan
Lihat izin minimal untuk tindakan, seperti yang tercantum dalam tabel berikut:
| Tindakan | Izin yang diperlukan |
|---|---|
| Menambahkan Komentar ke Deteksi | Detections.ReadDetection.Write |
| Menambahkan Komentar Deteksi Perlindungan Identitas | Alerts.ReadAlerts.Write |
| Tambahkan Komentar Insiden | Incidents.Write |
| Menutup Deteksi | Detections.ReadDetection.Write |
| Endpoint Berisi | Hosts.ReadHosts.Write |
| Menghapus IOC | IOC Management.ReadIOC Management.Write |
| Download File | Hosts.ReadReal time response.ReadReal time response.Write |
| Jalankan Perintah | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write* untuk perintah hak istimewa penuh.
|
| Mendapatkan Offset Acara | Event streams.Read |
| Mendapatkan Host menurut IOC | Tidak tersedia: Tidak digunakan lagi |
| Mendapatkan Informasi Host | Hosts.Read |
| Mendapatkan Nama Proses Berdasarkan IOC | Tidak tersedia: Tidak digunakan lagi |
| Endpoint yang Berisi Peningkatan | Hosts.ReadHosts.Write |
| Mencantumkan Host | Hosts.Read |
| Mencantumkan Kerentanan Host | Hosts.ReadSpotlight vulnerabilities.Read |
| Mencantumkan IOC yang Diupload | IOC Management.Read |
| Pemindaian Sesuai Permintaan | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| Ping | Hosts.Read |
| Kirim File | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Kirimkan URL | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Memperbarui Deteksi | Detections.ReadDetection.WriteUser management.Read |
| Memperbarui Deteksi Perlindungan Identitas | Alerts.ReadAlerts.Write |
| Perbarui Insiden | Incidents.Write |
| Memperbarui Informasi IOC | IOC Management.ReadIOC Management.Write |
| Mengupload IOC | IOC Management.ReadIOC Management.Write |
Mengonfigurasi izin konektor
Lihat izin minimum untuk konektor, seperti yang tercantum dalam tabel berikut:
| Konektor | Izin yang diperlukan |
|---|---|
| Konektor Deteksi CrowdStrike | Detection.Read |
| Konektor Peristiwa Streaming CrowdStrike Falcon | Event streams.Read |
| Konektor Deteksi CrowdStrike Identity Protection | Alerts.Read |
| Konektor Insiden CrowdStrike | Incidents.Read |
Endpoint
Integrasi CrowdStrike Falcon berinteraksi dengan endpoint CrowdStrike Falcon API berikut:
Endpoint API umum:
/oauth2/token
Host dan perangkat:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
Deteksi dan peristiwa:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
Indikator gangguan (IOC):
/intel/entities/indicators/v1/intel/queries/devices/v1
Kerentanan:
/devices/combined/devices/vulnerabilities/v1
Respons dan pembatasan:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
Insiden:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
Analisis file dan URL:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
Parameter integrasi
Agar integrasi berfungsi dengan benar, diperlukan CrowdStrike Falcon versi premium dengan kemampuan penuh. Tindakan tertentu tidak berfungsi dengan CrowdStrike Falcon versi dasar.
Integrasi CrowdStrike Falcon memerlukan parameter berikut:
| Parameter | |
|---|---|
API Root |
Root API instance CrowdStrike. Nilai defaultnya adalah |
Client API ID |
Wajib Client ID untuk CrowdStrike API. |
Client API Secret |
Wajib Rahasia klien untuk CrowdStrike API. |
Verify SSL |
Jika dipilih, integrasi akan memverifikasi apakah sertifikat SSL untuk menghubungkan ke server CrowdStrike Falcon valid. Tidak dipilih secara default. |
Customer ID |
Opsional ID pelanggan tenant tempat integrasi akan dijalankan. Untuk digunakan di lingkungan multi-tenant (MSSP). |
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Sebelum melanjutkan konfigurasi integrasi, konfigurasi izin minimal yang diperlukan untuk setiap item integrasi. Untuk mengetahui detail selengkapnya, lihat bagian Izin tindakan dalam dokumen ini.
Tambahkan Komentar Pemberitahuan
Gunakan tindakan Tambahkan Komentar Notifikasi untuk menambahkan komentar ke notifikasi di CrowdStrike Falcon.
Tindakan ini tidak dijalankan di entity.
Input tindakan
Tindakan Add Alert Comment memerlukan parameter berikut:
| Parameter | |
|---|---|
Alert |
Wajib ID pemberitahuan yang akan diperbarui. |
Comment |
Wajib Komentar yang akan ditambahkan ke notifikasi. |
Output tindakan
Tindakan Tambahkan Komentar Notifikasi memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Tambahkan Komentar Notifikasi memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
Tindakan berhasil. |
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Komentar Pemberitahuan:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menambahkan Komentar ke Deteksi
Gunakan tindakan Tambahkan Komentar ke Deteksi untuk menambahkan komentar ke deteksi di CrowdStrike Falcon.
Tindakan ini dijalankan di semua entity.
Input tindakan
Tindakan Tambahkan Komentar ke Deteksi memerlukan parameter berikut:
| Parameter | |
|---|---|
Detection ID |
Wajib
ID deteksi untuk menambahkan komentar. |
Comment |
Wajib
Komentar yang akan ditambahkan ke deteksi. |
Output tindakan
Tindakan Tambahkan Komentar ke Deteksi memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Komentar ke Deteksi:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menambahkan Komentar Deteksi Perlindungan Identitas
Gunakan tindakan Add Identity Protection Detection Comment untuk menambahkan komentar ke deteksi perlindungan identitas di CrowdStrike.
Tindakan ini memerlukan lisensi Identity Protection.
Tindakan ini tidak dijalankan di entity.
Input tindakan
Tindakan Tambahkan Komentar Deteksi Perlindungan Identitas memerlukan parameter berikut:
| Parameter | |
|---|---|
Detection ID |
Wajib
ID deteksi yang akan diperbarui. |
Comment |
Wajib
Komentar yang akan ditambahkan ke deteksi. |
Output tindakan
Tindakan Tambahkan Komentar Deteksi Perlindungan Identitas memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Tambahkan Komentar Deteksi Perlindungan Identitas memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
Tindakan berhasil. |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
Tindakan gagal. Periksa ejaan. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Add Identity Protection Detection Comment:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Tambahkan Komentar Insiden
Gunakan tindakan Tambahkan Komentar Insiden untuk menambahkan komentar ke insiden di CrowdStrike.
Tindakan ini tidak dijalankan di entity.
Input tindakan
Tindakan Tambahkan Komentar Insiden memerlukan parameter berikut:
| Parameter | |
|---|---|
Incident ID |
Wajib
ID insiden yang akan diperbarui. |
Comment |
Wajib
Komentar yang akan ditambahkan ke insiden. |
Output tindakan
Tindakan Tambahkan Komentar Insiden memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Tambahkan Komentar Insiden memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
Tindakan berhasil. |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Tindakan gagal. Periksa ejaan. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Komentar Insiden:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menutup Deteksi
Gunakan tindakan Tutup Deteksi untuk menutup deteksi CrowdStrike Falcon.
Tindakan Deteksi Pembaruan adalah praktik terbaik untuk kasus penggunaan ini.
Tindakan ini dijalankan di semua entity.
Input tindakan
Tindakan Deteksi Penutupan memerlukan parameter berikut:
| Parameter | |
|---|---|
Detection ID |
Wajib
ID deteksi yang akan ditutup. |
Hide Detection |
Opsional
Jika dipilih, tindakan ini akan menyembunyikan deteksi di UI. Dipilih secara default. |
Output tindakan
Tindakan Deteksi Penutupan memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Deteksi Penutupan:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Endpoint Berisi
Gunakan tindakan Contain Endpoint untuk mengisolasi endpoint di CrowdStrike Falcon.
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Input tindakan
Tindakan Contain Endpoint memerlukan parameter berikut:
| Parameter | |
|---|---|
Fail If Timeout |
Wajib
Jika dipilih dan tidak semua endpoint disertakan, tindakan akan gagal. Dipilih secara default. |
Output tindakan
Tindakan Contain Endpoint memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pengayaan entitas
Tindakan Contain Endpoint mendukung logika pengayaan entitas berikut:
| Kolom pengayaan | Logika |
|---|---|
status |
Menampilkan apakah ada di hasil JSON |
modified_timestamp |
Menampilkan apakah ada di hasil JSON |
major_version |
Menampilkan apakah ada di hasil JSON |
policies |
Menampilkan apakah ada di hasil JSON |
config_id_platform |
Menampilkan apakah ada di hasil JSON |
bios_manufacturer |
Menampilkan apakah ada di hasil JSON |
system_manufacturer |
Menampilkan apakah ada di hasil JSON |
device_policies |
Menampilkan apakah ada di hasil JSON |
meta |
Menampilkan apakah ada di hasil JSON |
pointer_size |
Menampilkan apakah ada di hasil JSON |
last_seen |
Menampilkan apakah ada di hasil JSON |
agent_local_time |
Menampilkan apakah ada di hasil JSON |
first_seen |
Menampilkan apakah ada di hasil JSON |
service_pack_major |
Menampilkan apakah ada di hasil JSON |
slow_changing_modified_timestamp |
Menampilkan apakah ada di hasil JSON |
service_pack_minor |
Menampilkan apakah ada di hasil JSON |
system_product_name |
Menampilkan apakah ada di hasil JSON |
product_type_desc |
Menampilkan apakah ada di hasil JSON |
build_number |
Menampilkan apakah ada di hasil JSON |
cid |
Menampilkan apakah ada di hasil JSON |
local_ip |
Menampilkan apakah ada di hasil JSON |
external_ip |
Menampilkan apakah ada di hasil JSON |
hostname |
Menampilkan apakah ada di hasil JSON |
config_id_build |
Menampilkan apakah ada di hasil JSON |
minor_version |
Menampilkan apakah ada di hasil JSON |
platform_id |
Menampilkan apakah ada di hasil JSON |
os_version |
Menampilkan apakah ada di hasil JSON |
config_id_base |
Menampilkan apakah ada di hasil JSON |
provision_status |
Menampilkan apakah ada di hasil JSON |
mac_address |
Menampilkan apakah ada di hasil JSON |
bios_version |
Menampilkan apakah ada di hasil JSON |
platform_name |
Menampilkan apakah ada di hasil JSON |
agent_load_flags |
Menampilkan apakah ada di hasil JSON |
device_id |
Menampilkan apakah ada di hasil JSON |
product_type |
Menampilkan apakah ada di hasil JSON |
agent_version |
Menampilkan apakah ada di hasil JSON |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Contain Endpoint:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Pesan output
Tindakan Contain Endpoint memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
Tindakan gagal. Periksa status endpoint dan
nilai parameter |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Contain Endpoint:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menghapus IOC
Gunakan tindakan Hapus IOC untuk menghapus IOC kustom di CrowdStrike Falcon.
Tindakan ini memperlakukan entitas nama host sebagai IOC domain dan mengekstrak bagian domain dari URL. Tindakan ini hanya mendukung hash MD5 dan SHA-256.
Tindakan Hapus IOC berjalan pada entitas berikut:
- Alamat IP
- Hostname
- URL
- Hash
Input tindakan
Tidak ada.
Output tindakan
Tindakan Hapus IOC memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Delete IOC:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Pesan output
Di Dinding Kasus, tindakan Hapus IOC memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Download File
Gunakan tindakan Download File untuk mendownload file dari host di CrowdStrike Falcon.
Tindakan ini mengharuskan Filename dan alamat IP atau entitas Hostname berada dalam cakupan pemberitahuan Google SecOps.
Anda dapat menemukan file yang didownload dalam paket zip yang dilindungi sandi. Untuk mengakses
file, berikan sandi berikut: infected.
Tindakan Download File berjalan pada entity berikut:
- Nama file
- Alamat IP
- Host
Input tindakan
Tindakan Download File memerlukan parameter berikut:
| Parameter | |
|---|---|
Download Folder Path |
Wajib
Jalur ke folder yang menyimpan file yang didownload. Formatnya bergantung pada deployment Anda:
|
Overwrite |
Wajib
Jika dipilih, tindakan ini akan menimpa file dengan nama yang sama. Tidak dipilih secara default. |
Output tindakan
Tindakan Download File memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel entitas | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel entitas
Tindakan Download File menyediakan tabel entity berikut:
| Entity | |
|---|---|
filepath |
Jalur absolut ke file. |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Download File:
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
Pesan output
Tindakan Download File memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Download
File". Reason: ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
Tindakan gagal. Periksa nilai parameter |
Waiting for results for the following
entities: ENTITY_ID |
Pesan asinkron. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Download File:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Jalankan Perintah
Gunakan tindakan Execute Command untuk menjalankan perintah di host di CrowdStrike Falcon.
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Input tindakan
Tindakan Execute Command memerlukan parameter berikut:
| Parameter | |
|---|---|
Command |
Wajib
Perintah yang akan dijalankan di host. |
Admin Command |
Opsional
Jika
|
Output tindakan
Tindakan Execute Command memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Di Dinding Kasus, tindakan Jalankan Perintah memberikan output pesan berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
Tindakan berhasil. |
Error executing action "Execute Command". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Waiting for results for the following
entities: ENTITY_ID |
Pesan asinkron. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Jalankan Perintah:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Detail Notifikasi
Gunakan tindakan Get Alert Details untuk mengambil detail notifikasi di CrowdStrike Falcon.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Get Alert Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Alert ID |
Wajib. ID unik pemberitahuan yang akan diambil detailnya. |
Output tindakan
Tindakan Get Alert Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Alert Details:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Pesan output
Tindakan Get Alert Details dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Alert Details:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan Offset Acara
Gunakan tindakan Get Event Offset untuk mengambil offset peristiwa yang digunakan oleh Streaming Events Connector.
Tindakan ini akan mulai memproses peristiwa dari 30 hari yang lalu.
Tindakan ini tidak dijalankan di entity.
Input tindakan
Tindakan Get Event Offset memerlukan parameter berikut:
| Parameter | |
|---|---|
Max Events To Process |
Wajib
Jumlah peristiwa yang perlu diproses oleh tindakan, dimulai dari 30 hari yang lalu. Nilai defaultnya adalah |
Output tindakan
Tindakan Get Event Offset memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Get Event Offset:
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
Pesan output
Tindakan Get Event Offset memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
Tindakan berhasil. |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Get Event Offset:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Informasi Host
Gunakan tindakan Get Host Information untuk mengambil informasi tentang nama host dari CrowdStrike Falcon.
Tindakan ini berjalan di entity berikut:
- Hostname
- Alamat IP
Input tindakan
Tindakan Get Host Information memerlukan parameter berikut:
| Parameter | |
|---|---|
Create Insight |
Opsional
Jika dipilih, tindakan ini akan membuat insight yang berisi informasi tentang entitas. Dipilih secara default. |
Output tindakan
Tindakan Get Host Information memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pengayaan entitas
Tindakan Get Host Information mendukung logika pengayaan entitas berikut:
| Kolom pengayaan | Logika |
|---|---|
modified_timestamp |
Menampilkan apakah ada di hasil JSON |
major_version |
Menampilkan apakah ada di hasil JSON |
site_name |
Menampilkan apakah ada di hasil JSON |
platform_id |
Menampilkan apakah ada di hasil JSON |
config_id_platform |
Menampilkan apakah ada di hasil JSON |
system_manufacturer |
Menampilkan apakah ada di hasil JSON |
meta |
Menampilkan apakah ada di hasil JSON |
first_seen |
Menampilkan apakah ada di hasil JSON |
service_pack_minor |
Menampilkan apakah ada di hasil JSON |
product_type_desc |
Menampilkan apakah ada di hasil JSON |
build_number |
Menampilkan apakah ada di hasil JSON |
hostname |
Menampilkan apakah ada di hasil JSON |
config_id_build |
Menampilkan apakah ada di hasil JSON |
minor_version |
Menampilkan apakah ada di hasil JSON |
os_version |
Menampilkan apakah ada di hasil JSON |
provision_status |
Menampilkan apakah ada di hasil JSON |
mac_address |
Menampilkan apakah ada di hasil JSON |
bios_version |
Menampilkan apakah ada di hasil JSON |
agent_load_flags |
Menampilkan apakah ada di hasil JSON |
status |
Menampilkan apakah ada di hasil JSON |
bios_manufacturer |
Menampilkan apakah ada di hasil JSON |
machine_domain |
Menampilkan apakah ada di hasil JSON |
agent_local_time |
Menampilkan apakah ada di hasil JSON |
slow_changing_modified_timestamp |
Menampilkan apakah ada di hasil JSON |
service_pack_major |
Menampilkan apakah ada di hasil JSON |
device_id |
Menampilkan apakah ada di hasil JSON |
system_product_name |
Menampilkan apakah ada di hasil JSON |
product_type |
Menampilkan apakah ada di hasil JSON |
local_ip |
Menampilkan apakah ada di hasil JSON |
external_ip |
Menampilkan apakah ada di hasil JSON |
cid |
Menampilkan apakah ada di hasil JSON |
platform_name |
Menampilkan apakah ada di hasil JSON |
config_id_base |
Menampilkan apakah ada di hasil JSON |
last_seen |
Menampilkan apakah ada di hasil JSON |
pointer_size |
Menampilkan apakah ada di hasil JSON |
agent_version |
Menampilkan apakah ada di hasil JSON |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Get Host Information:
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
Pesan output
Tindakan Get Host Information memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Get Host Information:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Get Hosts by IOC - Tidak digunakan lagi
Mencantumkan host yang terkait dengan IOC di CrowdStrike Falcon. Entitas yang didukung:
Nama Host, URL, Alamat IP, dan Hash.
Catatan: Entitas nama host diperlakukan sebagai IOC domain. Tindakan ini
mengekstrak bagian domain dari URL. Hanya hash MD5 dan SHA-256 yang
didukung.
Entity
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
- URL
- Hash
Input tindakan
T/A
Output tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
Pengayaan entitas
| Kolom pengayaan | Logika |
|---|---|
| modified_timestamp | Menampilkan apakah ada di hasil JSON |
| major_version | Menampilkan apakah ada di hasil JSON |
| site_name | Menampilkan apakah ada di hasil JSON |
| platform_id | Menampilkan apakah ada di hasil JSON |
| config_id_platform | Menampilkan apakah ada di hasil JSON |
| system_manufacturer | Menampilkan apakah ada di hasil JSON |
| meta | Menampilkan apakah ada di hasil JSON |
| first_seen | Menampilkan apakah ada di hasil JSON |
| service_pack_minor | Menampilkan apakah ada di hasil JSON |
| product_type_desc | Menampilkan apakah ada di hasil JSON |
| build_number | Menampilkan apakah ada di hasil JSON |
| hostname | Menampilkan apakah ada di hasil JSON |
| config_id_build | Menampilkan apakah ada di hasil JSON |
| minor_version | Menampilkan apakah ada di hasil JSON |
| os_version | Menampilkan apakah ada di hasil JSON |
| provision_status | Menampilkan apakah ada di hasil JSON |
| mac_address | Menampilkan apakah ada di hasil JSON |
| bios_version | Menampilkan apakah ada di hasil JSON |
| agent_load_flags | Menampilkan apakah ada di hasil JSON |
| status | Menampilkan apakah ada di hasil JSON |
| bios_manufacturer | Menampilkan apakah ada di hasil JSON |
| machine_domain | Menampilkan apakah ada di hasil JSON |
| Device_policies | Menampilkan apakah ada di hasil JSON |
| agent_local_time | Menampilkan apakah ada di hasil JSON |
| slow_changing_modified_timestamp | Menampilkan apakah ada di hasil JSON |
| service_pack_major | Menampilkan apakah ada di hasil JSON |
| system_product_name | Menampilkan apakah ada di hasil JSON |
| product_type | Menampilkan apakah ada di hasil JSON |
| local_ip | Menampilkan apakah ada di hasil JSON |
| external_ip | Menampilkan apakah ada di hasil JSON |
| cid | Menampilkan apakah ada di hasil JSON |
| platform_name | Menampilkan apakah ada di hasil JSON |
| config_id_base | Menampilkan apakah ada di hasil JSON |
| kebijakan | Menampilkan apakah ada di hasil JSON |
| last_seen | Menampilkan apakah ada di hasil JSON |
| pointer_size | Menampilkan apakah ada di hasil JSON |
| agent_version | Menampilkan apakah ada di hasil JSON |
Insight entitas
T/A
Repositori kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya satu host yang terkait dengan IOC yang diberikan ditemukan (is_success=true): "Berhasil mengambil host yang terkait dengan IOC yang diberikan di CrowdStrike Falcon." Jika tidak ada host terkait yang ditemukan (is_success=false): "Tidak ada host yang terkait dengan IOC yang diberikan di CrowdStrike Falcon." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error kritis dilaporkan: "Error saat menjalankan tindakan "{nama tindakan}". Alasan: {traceback}." |
Umum |
Mendapatkan Nama Proses menurut IOC - Tidak digunakan lagi
Mengambil proses yang terkait dengan IOC dan perangkat yang disediakan di CrowdStrike Falcon. Entitas yang didukung: Nama Host, URL, Alamat IP, dan Hash.
Catatan: Entitas nama host diperlakukan sebagai IOC domain. Tindakan ini
mengekstrak bagian domain dari URL. Hanya hash MD5, SHA-1, dan SHA-256
yang didukung. Entitas Alamat IP diperlakukan sebagai IOC.
Parameter
| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Perangkat | 11 | T/A | Ya | Tentukan daftar perangkat yang dipisahkan koma yang ingin Anda ambil proses terkait entitasnya. |
Run On
Tindakan ini berjalan di entity berikut:
- Hostname
- URL
- Hash
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| Nama Proses | Menampilkan apakah ada di hasil JSON |
| Indikator | Menampilkan apakah ada di hasil JSON |
| Nama Host | Menampilkan apakah ada di hasil JSON |
Insight Entitas
T/A
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika proses yang terkait dengan entitas ditemukan untuk setidaknya satu endpoint (is_success=true): "Berhasil mengambil proses yang terkait dengan IOC di endpoint berikut di CrowdStrike Falcon: {device name}." Jika tidak ada proses yang ditemukan untuk setidaknya satu endpoint atau perangkat tidak ditemukan (is_success=true): "No related processes were found on the following endpoints in CrowdStrike Falcon: {device name}." (Tidak ada proses terkait yang ditemukan di endpoint berikut di CrowdStrike Falcon: {nama perangkat}.) Jika tidak ada proses yang ditemukan untuk semua endpoint atau tidak ada perangkat yang ditemukan (is_success=false): "Tidak ada proses terkait yang ditemukan di endpoint yang diberikan di CrowdStrike Falcon. Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error kritis dilaporkan: "Error saat mengeksekusi "{action name}". Alasan: {trace back}." |
Mendapatkan Detail Vertex
Gunakan tindakan Dapatkan Detail Vertex untuk mencantumkan semua properti yang terkait dengan indikator tertentu.
Entitas Google SecOps dianggap sebagai IOC.
Tindakan ini berjalan di entity berikut:
- Hostname
- URL
- Hash
Input tindakan
Tidak ada.
Output tindakan
Tindakan Get Vertex Details memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Hasil skrip | Tersedia |
Pengayaan entitas
Tindakan Get Vertex Details mendukung pengayaan berikut:
| Kolom pengayaan | Logika |
|---|---|
vertex_type |
Menampilkan apakah ada di hasil JSON |
timestamp |
Menampilkan apakah ada di hasil JSON |
object_id |
Menampilkan apakah ada di hasil JSON |
properties |
Menampilkan apakah ada di hasil JSON |
edges |
Menampilkan apakah ada di hasil JSON |
scope |
Menampilkan apakah ada di hasil JSON |
customer_id |
Menampilkan apakah ada di hasil JSON |
id |
Menampilkan apakah ada di hasil JSON |
device_id |
Menampilkan apakah ada di hasil JSON |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Get Vertex Details:
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Get Vertex Details:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Endpoint yang Berisi Peningkatan
Gunakan tindakan Lift Contained Endpoint untuk membatalkan penampungan endpoint di CrowdStrike Falcon.
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Input tindakan
Tindakan Lift Contained Endpoint memerlukan parameter berikut:
| Parameter | |
|---|---|
Fail If Timeout |
Wajib
Jika dipilih dan penahanan tidak dihentikan di semua endpoint, tindakan akan gagal. Dipilih secara default. |
Output tindakan
Tindakan Lift Contained Endpoint memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pengayaan entitas
Tindakan Lift Contained Endpoint mendukung pengayaan entitas berikut:
| Kolom pengayaan | Logika |
|---|---|
status |
Menampilkan apakah ada di hasil JSON |
modified_timestamp |
Menampilkan apakah ada di hasil JSON |
major_version |
Menampilkan apakah ada di hasil JSON |
config_id_platform |
Menampilkan apakah ada di hasil JSON |
system_manufacturer |
Menampilkan apakah ada di hasil JSON |
device_policies |
Menampilkan apakah ada di hasil JSON |
meta |
Menampilkan apakah ada di hasil JSON |
pointer_size |
Menampilkan apakah ada di hasil JSON |
last_seen |
Menampilkan apakah ada di hasil JSON |
agent_local_time |
Menampilkan apakah ada di hasil JSON |
first_seen |
Menampilkan apakah ada di hasil JSON |
service_pack_major |
Menampilkan apakah ada di hasil JSON |
slow_changing_modified_timestamp |
Menampilkan apakah ada di hasil JSON |
service_pack_minor |
Menampilkan apakah ada di hasil JSON |
system_product_name |
Menampilkan apakah ada di hasil JSON |
product_type_desc |
Menampilkan apakah ada di hasil JSON |
build_number |
Menampilkan apakah ada di hasil JSON |
cid |
Menampilkan apakah ada di hasil JSON |
local_ip |
Menampilkan apakah ada di hasil JSON |
external_ip |
Menampilkan apakah ada di hasil JSON |
hostname |
Menampilkan apakah ada di hasil JSON |
config_id_build |
Menampilkan apakah ada di hasil JSON |
minor_version |
Menampilkan apakah ada di hasil JSON |
platform_id |
Menampilkan apakah ada di hasil JSON |
os_version |
Menampilkan apakah ada di hasil JSON |
config_id_base |
Menampilkan apakah ada di hasil JSON |
provision_status |
Menampilkan apakah ada di hasil JSON |
mac_address |
Menampilkan apakah ada di hasil JSON |
bios_version |
Menampilkan apakah ada di hasil JSON |
platform_name |
Menampilkan apakah ada di hasil JSON |
agent_load_flags |
Menampilkan apakah ada di hasil JSON |
device_id |
Menampilkan apakah ada di hasil JSON |
product_type |
Menampilkan apakah ada di hasil JSON |
agent_version |
Menampilkan apakah ada di hasil JSON |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Lift Contained Endpoint:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Pesan output
Tindakan Lift Contained Endpoint memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
Pesan asinkron. |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
Tindakan gagal. Periksa status endpoint dan
nilai parameter |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Lift Contained Endpoint:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mencantumkan Kerentanan Host
Gunakan tindakan List Host Vulnerabilities untuk mencantumkan kerentanan yang ditemukan di host di CrowdStrike Falcon.
Tindakan ini memerlukan izin dan lisensi Falcon Spotlight.
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Input tindakan
Tindakan List Host Vulnerabilities memerlukan parameter berikut:
| Parameter | |
|---|---|
Severity Filter |
Opsional
Daftar tingkat keparahan kerentanan yang dipisahkan koma. Jika Anda tidak memberikan nilai, tindakan akan menyerap semua kerentanan terkait. Kemungkinan nilainya adalah sebagai berikut:
|
Create Insight |
Opsional
Jika dipilih, tindakan ini akan membuat insight untuk setiap entitas yang berisi informasi statistik tentang kerentanan terkait. Dipilih secara default. |
Max Vulnerabilities To Return |
Opsional
Jumlah kerentanan yang akan ditampilkan untuk satu host. Jika Anda tidak memberikan nilai, tindakan akan memproses semua kerentanan terkait. Nilai defaultnya adalah |
Output tindakan
Tindakan List Host Vulnerabilities memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Di Dinding Kasus, tindakan List Host Vulnerabilities menyediakan tabel berikut:
Jenis: Entitas
Kolom:
- Nama
- Skor
- Keparahan
- Status
- Aplikasi
- Memiliki Perbaikan
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List Host Vulnerabilities:
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
Pesan output
Tindakan List Host Vulnerabilities memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
Tindakan gagal. Periksa nilai parameter |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan List Host Vulnerabilities:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mencantumkan Host
Gunakan tindakan List Hosts untuk mencantumkan host yang tersedia di CrowdStrike Falcon.
Tindakan ini dijalankan di semua entity.
Input tindakan
Tindakan List Hosts memerlukan parameter berikut:
| Parameter | |
|---|---|
Filter Logic |
Opsional
Logika yang digunakan saat menelusuri host. Nilai defaultnya adalah
|
Filter Value |
Opsional
Nilai yang akan digunakan untuk pemfilteran host. |
Max Hosts To Return |
Opsional
Jumlah host yang akan ditampilkan. Nilai defaultnya adalah
Nilai maksimum adalah |
Output tindakan
Tindakan List Hosts memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List Hosts:
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
Pesan output
Tindakan List Hosts memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "List Hosts".
Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan List Hosts:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mencantumkan IOC yang Diupload
Gunakan tindakan List Uploaded IOCs untuk mencantumkan IOC kustom yang tersedia di CrowdStrike Falcon.
Tindakan ini dijalankan di semua entity.
Input tindakan
Tindakan List Uploaded IOCs memerlukan parameter berikut:
| Parameter | |
|---|---|
IOC Type Filter |
Opsional
Daftar jenis IOC yang dipisahkan koma untuk ditampilkan. Nilai defaultnya adalah
|
Value Filter Logic |
Opsional
Nilai logika filter. Nilai defaultnya adalah
Jika |
Value Filter String |
Opsional
String untuk menelusuri IOC. |
Max IOCs To Return |
Opsional
Jumlah IOC yang akan ditampilkan. Nilai defaultnya adalah
Nilai maksimumnya adalah 500. |
Output tindakan
Tindakan List Uploaded IOCs memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Di Dinding Kasus, tindakan List Uploaded IOCs menyediakan tabel berikut:
Kolom:
- Tindakan
- Keparahan
- Ditandatangani
- AV Hits
- Platform
- Tag
- Dibuat Pada
- Dibuat Oleh
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List Uploaded IOCs:
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
Pesan output
Tindakan List Uploaded IOCs memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
Tindakan berhasil. |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
Tindakan gagal. Periksa ejaan dan nilai parameter |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan List Uploaded IOCs:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Pemindaian Sesuai Permintaan
Gunakan tindakan Pemindaian Sesuai Permintaan untuk memindai endpoint sesuai permintaan di CrowdStrike.
Tindakan ini hanya berjalan di host Windows dan entity berikut:
- Alamat IP
- Hostname
Tindakan Pemindaian Sesuai Permintaan berjalan secara asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE, jika perlu.
Input tindakan
Tindakan Pemindaian Sesuai Permintaan memerlukan parameter berikut:
| Parameter | |
|---|---|
File Paths To Scan |
Wajib Daftar jalur yang dipisahkan koma untuk dipindai. Nilai defaultnya adalah |
File Paths To Exclude From Scan |
Opsional Daftar jalur yang dipisahkan koma untuk dikecualikan dari pemindaian. |
Host Group Name |
Opsional Daftar nama grup host yang dipisahkan koma untuk memulai pemindaian. Tindakan ini membuat proses pemindaian terpisah untuk setiap grup host. |
Scan Description |
Opsional Deskripsi yang akan digunakan untuk proses pemindaian. Jika Anda tidak menetapkan nilai, tindakan akan menetapkan deskripsi ke berikut ini:
|
CPU Priority |
Opsional Jumlah CPU yang akan digunakan untuk host pokok selama pemindaian. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Sensor Anti-malware Detection Level |
Opsional Nilai tingkat deteksi anti-malware sensor. Tingkat deteksi harus sama dengan atau lebih tinggi dari tingkat pencegahan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Sensor Anti-malware Prevention Level |
Opsional Nilai tingkat pencegahan anti-malware sensor. Tingkat deteksi harus sama dengan atau lebih tinggi dari tingkat pencegahan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Cloud Anti-malware Detection Level |
Opsional Nilai tingkat deteksi anti-malware cloud. Tingkat deteksi harus sama dengan atau lebih tinggi dari tingkat pencegahan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Cloud Anti-malware Prevention Level |
Opsional Nilai tingkat pencegahan anti-malware cloud. Tingkat deteksi harus sama dengan atau lebih tinggi dari tingkat pencegahan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Quarantine Hosts |
Opsional Jika dipilih, tindakan ini akan mengarantina host yang mendasarinya sebagai bagian dari pemindaian. Tidak dipilih secara default. |
Create Endpoint Notification |
Opsional Jika dipilih, proses pemindaian akan membuat notifikasi endpoint. Dipilih secara default. |
Max Scan Duration |
Opsional Jumlah jam yang diperlukan untuk menjalankan pemindaian. Jika Anda tidak memberikan nilai, pemindaian akan berjalan terus-menerus. |
Output tindakan
Tindakan Pemindaian Sesuai Permintaan memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Pemindaian Sesuai Permintaan:
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
Pesan output
Tindakan Pemindaian Sesuai Permintaan memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Pemindaian Sesuai Permintaan:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke CrowdStrike Falcon.
Tindakan ini dijalankan di semua entity.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Jalankan Skrip
Gunakan tindakan Run Script untuk mengeksekusi skrip PowerShell di endpoint di CrowdStrike.
Tindakan ini bersifat asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE, jika perlu.
Tindakan ini berjalan di entity Alamat IP dan Nama Host.
Input tindakan
Tindakan Run Script memerlukan parameter berikut:
| Parameter | |
|---|---|
Customer ID |
Opsional ID pelanggan yang akan menjalankan tindakan. |
Script Name |
Opsional Nama file skrip yang akan dieksekusi. Konfigurasi parameter |
Raw Script |
Opsional Payload skrip PowerShell mentah untuk dijalankan di endpoint. Konfigurasi parameter |
Output tindakan
Tindakan Run Script memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Di Dinding Kasus, tindakan Jalankan Skrip memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Jalankan Skrip:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menelusuri Peristiwa
Gunakan tindakan ini untuk menelusuri peristiwa di CrowdStrike. Catatan: Tindakan berjalan sebagai asinkron, sesuaikan nilai waktu tunggu skrip di Google SecOps IDE untuk tindakan, sesuai kebutuhan.
Tindakan ini tidak dijalankan di entity.
Input tindakan
Tindakan Search Events memerlukan parameter berikut:
| Parameter | |
|---|---|
Repository |
Wajib
Repositori yang harus ditelusuri. Kemungkinan nilainya adalah sebagai berikut:
|
Query |
Wajib
Kueri yang perlu dijalankan di CrowdStrike. Catatan: jangan berikan "head" sebagai bagian dari kueri. Tindakan akan memberikannya secara otomatis berdasarkan nilai yang diberikan dalam parameter "Hasil Maksimal yang Akan Ditampilkan". |
Time Frame |
Opsional
Rentang waktu untuk hasil. Jika "Kustom" dipilih, Anda juga harus memberikan "Waktu Mulai". Nilai yang Mungkin untuk Jam Terakhir adalah sebagai berikut:
|
Start Time |
Opsional
Waktu mulai untuk hasil. Jika "Kustom" dipilih untuk parameter "Rentang Waktu", parameter ini wajib diisi. Format: ISO 8601. |
End Time |
Opsional
Jumlah hasil yang akan ditampilkan untuk kueri. Tindakan akan menambahkan "head" ke kueri yang diberikan. Default: 50. Maksimum: 1000. |
Output tindakan
Tindakan Search Events memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Di Dinding Kasus, tindakan Cari Peristiwa memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
|
Tindakan tidak boleh gagal atau menghentikan eksekusi playbook. |
|
|
Tindakan gagal. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Search Events:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Kirim File
Gunakan tindakan Submit File untuk mengirimkan file ke sandbox di CrowdStrike.
Tindakan ini memerlukan lisensi Falcon Sandbox.
Tindakan ini tidak dijalankan di entity.
Format file dan arsip yang didukung
Menurut portal CrowdStrike, sandbox mendukung format file berikut:
| Format file yang didukung | |
|---|---|
.exe, .scr, .pif,
.dll, .com, .cpl |
Executable portabel |
.doc, .docx, .ppt,
.pps, .pptx, .ppsx,
.xls, .xlsx, .rtf,
.pub |
Dokumen Office |
.pdf |
|
.apk |
APK |
.jar |
JAR yang dapat dieksekusi |
.sct |
Komponen skrip Windows |
.lnk |
Pintasan Windows |
.chm |
Bantuan Windows |
.hta |
Aplikasi HTML |
.wsf |
File skrip Windows |
.js |
JavaScript |
.vbs, .vbe |
Visual Basic (VB) |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1, .psd1, .psm1 |
Powershell |
.svg |
Grafik vektor yang dapat diskalakan |
.py |
Python |
.elf |
File yang dapat dieksekusi ELF Linux |
.eml |
File email: MIME RFC 822 |
.msg |
Mengirim file melalui email: Outlook |
Menurut portal CrowdStrike, sandbox mendukung format arsip berikut:
.zip.7z
Input tindakan
Tindakan Kirim File memerlukan parameter berikut:
| Parameter | |
|---|---|
File Paths |
Wajib
Daftar jalur absolut ke file yang dikirimkan. Formatnya bergantung pada deployment Anda:
Untuk mengetahui daftar format file yang didukung, lihat Format file dan arsip yang didukung. |
Sandbox Environment |
Opsional
Lingkungan sandbox untuk dianalisis. Nilai defaultnya adalah
|
Network Environment |
Opsional
Lingkungan jaringan yang akan dianalisis. Nilai defaultnya adalah
|
Archive Password |
Opsional
Sandi yang akan digunakan saat bekerja dengan file arsip. |
Document Password |
Opsional
Sandi yang akan digunakan saat menangani file Adobe atau Office. Panjang maksimum sandi adalah 32 karakter. |
Check Duplicate |
Opsional
Jika dipilih, tindakan akan memeriksa apakah file sudah dikirimkan sebelumnya dan menampilkan laporan yang tersedia. Selama
validasi, tindakan tidak mempertimbangkan parameter Dipilih secara default. |
Comment |
Opsional
Komentar yang akan dikirimkan. |
Confidential Submission |
Opsional
Jika dipilih, file hanya ditampilkan kepada pengguna dalam akun pelanggan Anda. Tidak dipilih secara default. |
Output tindakan
Tindakan Kirim File memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Di Dinding Kasus, tindakan Kirim File menyediakan tabel berikut:
Kolom:
- Hasil
- Nama
- Skor Ancaman
- Putusan
- Tag
Pesan output
Tindakan Kirim File memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
|
Tindakan menampilkan error. Periksa format file yang didukung untuk tindakan ini. |
Waiting for results for the following
files: PATHS |
Pesan asinkron. |
Error executing action "Submit File".
Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
Tindakan gagal. Tingkatkan waktu tunggu di IDE. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Kirim File:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Kirimkan URL
Gunakan tindakan Kirimkan URL untuk mengirimkan URL ke sandbox di CrowdStrike.
Tindakan ini memerlukan lisensi Falcon Sandbox. Untuk memeriksa format file yang didukung sandbox, lihat bagian Format file dan arsip yang didukung dalam dokumen ini.
Tindakan ini tidak dijalankan di entity.
Input tindakan
Tindakan Kirimkan URL memerlukan parameter berikut:
| Parameter | |
|---|---|
URLs |
Wajib
URL yang akan dikirimkan. |
Sandbox Environment |
Opsional
Lingkungan sandbox untuk dianalisis. Nilai defaultnya adalah
|
Network Environment |
Opsional
Lingkungan jaringan yang akan dianalisis. Nilai defaultnya adalah
|
Check Duplicate |
Opsional
Jika dipilih, tindakan akan memeriksa apakah URL sudah dikirimkan sebelumnya dan menampilkan laporan yang tersedia. Selama
validasi, tindakan tidak mempertimbangkan parameter Dipilih secara default. |
Output tindakan
Tindakan Kirimkan URL memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Kirim URL memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Waiting for results for the following
URLs: PATHS |
Pesan asinkron. |
Error executing action "Submit URL".
Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
Tindakan gagal. Tingkatkan waktu tunggu di IDE. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Kirim URL:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Perbarui Notifikasi
Gunakan tindakan Perbarui Pemberitahuan untuk memperbarui pemberitahuan di CrowdStrike Falcon.
Tindakan ini tidak dijalankan di entity.
Input tindakan
Tindakan Update Alert memerlukan parameter berikut:
| Parameter | |
|---|---|
Alert ID |
Wajib ID pemberitahuan yang akan diperbarui. |
Status |
Opsional Status pemberitahuan. Kemungkinan nilainya adalah sebagai berikut:
|
Verdict |
Opsional Putusan untuk pemberitahuan. Kemungkinan nilainya adalah sebagai berikut:
|
Assign To |
Opsional Nama analis yang akan diberi tugas untuk menangani pemberitahuan. Jika Anda memberikan API menerima nilai apa pun meskipun pengguna yang diberikan tidak ada dalam sistem. |
Output tindakan
Tindakan Update Alert memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Perbarui Pemberitahuan:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Pesan output
Tindakan Update Alert memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
Tindakan berhasil. |
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Pemberitahuan:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperbarui Deteksi
Gunakan tindakan Update Detection untuk memperbarui deteksi di CrowdStrike Falcon.
Tindakan ini dijalankan di semua entity.
Input tindakan
Tindakan Deteksi Pembaruan memerlukan parameter berikut:
| Parameter | |
|---|---|
Detection ID |
Wajib
ID deteksi yang akan diperbarui. |
Status |
Wajib
Status deteksi. Nilai defaultnya adalah
|
Assign Detection to |
Opsional
Alamat email pengguna CrowdStrike Falcon yang merupakan penerima tugas deteksi. |
Output tindakan
Tindakan Deteksi Pembaruan memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Deteksi Update memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
Tindakan berhasil. |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
Tindakan gagal. Periksa nilai parameter |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Deteksi Pembaruan:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperbarui Deteksi Perlindungan Identitas
Gunakan Update Identity Protection Detection untuk memperbarui deteksi perlindungan identitas di CrowdStrike.
Tindakan ini memerlukan lisensi Identity Protection.
Tindakan ini tidak dijalankan di entity.
Input tindakan
Tindakan Perbarui Deteksi Perlindungan Identitas memerlukan parameter berikut:
| Parameter | |
|---|---|
Detection ID |
Wajib
ID deteksi yang akan diperbarui. |
Status |
Opsional
Status deteksi. Nilai defaultnya adalah
Nilai yang mungkin adalah sebagai berikut:
|
Assign to |
Opsional
Nama analis yang ditugaskan. Jika Jika nilai yang tidak valid diberikan, tindakan tidak akan mengubah penerima tugas saat ini. |
Output tindakan
Tindakan Update Identity Protection Detection memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Update Identity Protection Detection:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Pesan output
Di Dinding Kasus, tindakan Perbarui Deteksi Perlindungan Identitas memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
Tindakan berhasil. |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
Tindakan gagal. Periksa ejaan. |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
Tindakan gagal. Periksa nilai parameter |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Update Identity Protection Detection:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Perbarui Insiden
Gunakan tindakan Perbarui Insiden untuk memperbarui insiden di CrowdStrike.
Tindakan ini tidak dijalankan di entity.
Input tindakan
Tindakan Update Incident memerlukan parameter berikut:
| Parameter | |
|---|---|
Incident ID |
Wajib
ID insiden yang akan diperbarui. |
Status |
Opsional
Status insiden. Kemungkinan nilainya adalah sebagai berikut:
|
Assign to |
Opsional
Nama atau alamat email analis yang ditugaskan. Jika Untuk menentukan nama, berikan nama depan dan
nama belakang analis dalam format berikut:
|
Output tindakan
Tindakan Update Incident memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Perbarui Insiden:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Pesan output
Tindakan Update Incident memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
Tindakan berhasil. |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Tindakan gagal. Periksa ejaan. |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
Tindakan gagal. Periksa ejaan. |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
Tindakan gagal. Periksa parameter input. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Insiden:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperbarui Informasi IOC
Gunakan tindakan Perbarui Informasi IOC untuk memperbarui informasi tentang IOC kustom di CrowdStrike Falcon.
Tindakan ini memperlakukan entitas Nama host sebagai IOC domain dan mengekstrak bagian domain dari URL. Tindakan ini hanya mendukung hash MD5 dan SHA-256.
Tindakan Perbarui Informasi IOC berjalan pada entity berikut:
- Hostname
- URL
- Alamat IP
- Hash
Input tindakan
Tindakan Perbarui Informasi IOC memerlukan parameter berikut:
| Parameter | |
|---|---|
Description |
Opsional
Deskripsi baru untuk IOC kustom. |
Source |
Opsional
Sumber untuk IOC kustom. |
Expiration days |
Opsional
Jumlah hari tersisa hingga masa berlaku habis. Parameter ini hanya memengaruhi entitas URL, alamat IP, dan Nama host. |
Detect policy |
Opsional
Jika dipilih, tindakan akan mengirimkan notifikasi untuk IOC yang teridentifikasi. Jika tidak dipilih, tindakan tidak akan mengirim notifikasi. Dipilih secara default. |
Output tindakan
Tindakan Update IOC Information memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Update IOC Information:
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
Pesan output
Di Dinding Kasus, tindakan Perbarui Informasi IOC memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Informasi IOC:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mengupload IOC
Gunakan tindakan Upload IOC untuk menambahkan IOC kustom di CrowdStrike Falcon.
Tindakan ini memperlakukan entitas Nama host sebagai IOC domain dan mengekstrak bagian domain dari URL. Tindakan ini hanya mendukung hash MD5 dan SHA-256.
Tindakan Upload IOCs berjalan pada entity berikut:
- Alamat IP
- Hostname
- URL
- Hash
Input tindakan
Tindakan Upload IOCs memerlukan parameter berikut:
| Parameter | |
|---|---|
Platform |
Wajib
Daftar platform yang terkait dengan IOC, dipisahkan koma. Nilai defaultnya adalah
|
Severity |
Wajib
Tingkat keparahan IOC. Nilai defaultnya adalah
|
Comment |
Opsional
Komentar yang berisi lebih banyak konteks terkait IOC. |
Host Group Name |
Wajib
Nama grup host. |
Action |
Opsional
Tindakan untuk IOC yang diupload. Nilai defaultnya adalah Kemungkinan nilainya adalah sebagai berikut:
Nilai |
Output tindakan
Tindakan Upload IOC memberikan output berikut:
| Jenis output tindakan | |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Upload IOC memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
Tindakan gagal. Periksa nilai parameter |
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
Tindakan gagal. Periksa nilai parameter |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Upload IOC:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Konektor
Pastikan Anda telah mengonfigurasi izin minimal untuk setiap konektor CrowdStrike. Untuk mengetahui detail selengkapnya, lihat bagian Izin konektor dalam dokumen ini.
Untuk mengetahui petunjuk tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Peristiwa CrowdStrike
Peristiwa adalah informasi yang dikumpulkan oleh sensor Falcon di host Anda. Ada empat jenis peristiwa di CrowdStrike:
| Jenis peristiwa CrowdStrike | |
|---|---|
| Peristiwa audit aktivitas autentikasi | Peristiwa yang dihasilkan setiap kali otorisasi diminta, diizinkan, atau diselesaikan di endpoint. |
| Peristiwa ringkasan deteksi | Peristiwa yang dihasilkan saat ancaman terdeteksi di endpoint. |
| Peristiwa akhir sesi respons jarak jauh | Peristiwa yang dihasilkan dari sesi jarak jauh di endpoint. |
| Peristiwa audit aktivitas pengguna | Peristiwa yang dihasilkan untuk memantau aktivitas yang dilakukan oleh pengguna aktif di endpoint. |
Konektor menyerap peristiwa ke Google SecOps untuk membuat pemberitahuan dan memperkaya kasus dengan data peristiwa. Anda dapat memilih peristiwa yang akan di-ingest ke Google SecOps: semua jenis peristiwa atau yang dipilih.
Konektor Deteksi CrowdStrike
Gunakan CrowdStrike Detections Connector untuk menarik deteksi dari CrowdStrike.
Daftar dinamis berfungsi dengan filter yang didukung oleh CrowdStrike API.
Cara menggunakan daftar dinamis
Saat menggunakan daftar dinamis, ikuti rekomendasi berikut:
- Gunakan bahasa FQL CrowdStrike untuk mengubah filter yang dikirim oleh konektor.
- Berikan entri terpisah dalam daftar dinamis untuk setiap filter.
Untuk menyerap semua deteksi yang ditetapkan ke analis tertentu, pastikan analis memberikan entri daftar dinamis berikut:
assigned_to_name:'ANALYST_USER_NAME'
Daftar dinamis mendukung parameter berikut:
| Parameter yang didukung | |
|---|---|
q |
Penelusuran teks lengkap di semua kolom metadata. |
date_updated |
Tanggal update deteksi terbaru. |
assigned_to_name |
Nama pengguna yang dapat dibaca manusia dari penerima tugas deteksi. |
max_confidence |
Jika deteksi memiliki lebih dari satu perilaku terkait dengan tingkat keyakinan yang bervariasi, kolom ini mencatat nilai keyakinan tertinggi dari semua perilaku. Nilai parameter dapat berupa bilangan bulat apa pun dari 1 hingga 100. |
detection_id |
ID deteksi yang dapat digunakan bersama dengan API lain, seperti Detection Details API atau Resolve Detection API. |
max_severity |
Jika deteksi memiliki lebih dari satu perilaku terkait dengan tingkat keparahan yang berbeda-beda, kolom ini akan mencatat nilai tingkat keparahan tertinggi dari semua perilaku. Nilai parameter dapat berupa bilangan bulat apa pun dari 1 hingga 100. |
max_severity_displayname |
Nama yang digunakan di UI untuk menentukan tingkat keparahan deteksi. Kemungkinan nilainya adalah sebagai berikut:
|
seconds_to_triaged |
Waktu yang diperlukan agar deteksi mengubah statusnya dari
new menjadi in_progress. |
seconds_to_resolved |
Waktu yang diperlukan agar deteksi mengubah statusnya dari
new menjadi salah satu status yang telah diselesaikan (true_positive,
false_positive, ignored, dan
closed). |
status |
Status deteksi saat ini. Kemungkinan nilainya adalah sebagai berikut:
|
adversary_ids |
Penyerang yang dilacak oleh CrowdStrike Falcon Intelligence memiliki ID yang terkait dengan perilaku atau indikator yang diatribusikan dalam deteksi. ID ini terletak di metadata deteksi yang dapat diakses melalui Detection Details API. |
cid |
ID pelanggan (CID) organisasi Anda. |
Parameter konektor
CrowdStrike Detections Connector memerlukan parameter berikut:
| Parameter | |
|---|---|
Product Field Name |
Wajib
Nama kolom sumber yang berisi nama Nilai defaultnya adalah |
Event Field Name |
Wajib
Nama kolom sumber yang berisi nama Nilai defaultnya adalah |
Environment Field Name |
Opsional
Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan default akan digunakan. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout (Seconds) |
Wajib Batas waktu dalam detik untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
API Root |
Wajib
Root API instance CrowdStrike. Nilai defaultnya adalah |
Client ID |
Wajib
ID klien akun CrowdStrike. |
Client Secret |
Wajib
Rahasia klien akun CrowdStrike. |
Lowest Severity Score To Fetch |
Opsional
Skor tingkat keparahan terendah dari deteksi yang akan diambil. Jika tidak ada nilai yang diberikan, konektor tidak akan menerapkan filter ini. Nilai maksimum adalah Nilai defaultnya adalah
|
Lowest Confidence Score To Fetch |
Opsional
Skor keyakinan terendah dari deteksi yang akan diambil. Jika tidak ada nilai yang diberikan, konektor tidak akan menerapkan filter ini. Nilai maksimum adalah Nilai defaultnya adalah
|
Max Hours Backwards |
Opsional
Jumlah jam untuk mengambil deteksi. Nilai defaultnya adalah |
Max Detections To Fetch |
Opsional
Jumlah deteksi yang akan diproses dalam satu iterasi konektor. Nilai defaultnya adalah |
Disable Overflow |
Opsional Jika dipilih, konektor akan mengabaikan mekanisme overflow. Tidak dipilih secara default. |
Verify SSL |
Wajib
Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server CrowdStrike valid. Tidak dipilih secara default. |
Proxy Server Address |
Opsional
Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional
Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional
Sandi proxy untuk melakukan autentikasi. |
Case Name Template |
Opsional
Jika disediakan, konektor akan menambahkan kunci baru bernama Anda dapat memberikan placeholder
dalam format berikut: [ Catatan: Konektor menggunakan peristiwa Google SecOps pertama untuk placeholder. Parameter ini hanya mengizinkan kunci dengan nilai string. |
Alert Name Template |
Opsional
Jika diberikan, konektor akan menggunakan nilai ini untuk Nama Pemberitahuan Google SecOps. Anda dapat memberikan placeholder
dalam format berikut: [ Catatan: Jika Anda tidak memberikan nilai atau template yang tidak valid, konektor akan menggunakan nama pemberitahuan default. Konektor menggunakan peristiwa Google SecOps pertama untuk placeholder. Parameter ini hanya mengizinkan kunci dengan nilai string. |
Padding Period |
Opsional
Jumlah jam yang digunakan konektor untuk padding. Nilai maksimum adalah |
Include Hidden Alerts |
Opsional
Jika diaktifkan, konektor juga akan mengambil pemberitahuan yang diberi label sebagai "tersembunyi" oleh CrowdStrike. |
Fallback Severity |
Opsional
Tingkat keparahan penggantian untuk pemberitahuan Google SecOps yang harus diterapkan pada pemberitahuan CrowdStrike, yang tidak memiliki informasi tingkat keparahan. Kemungkinan nilai: Informasional, Rendah, Sedang, Tinggi, Kritis. Jika tidak ada yang diberikan, konektor akan menggunakan tingkat keparahan "Informasional". |
Customer ID |
Opsional ID pelanggan tenant tempat konektor akan dieksekusi. Untuk digunakan di lingkungan multi-tenant (MSSP). |
Aturan konektor
Konektor mendukung proxy.
Peristiwa konektor
Contoh peristiwa konektor adalah sebagai berikut:
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
Konektor Peristiwa Streaming CrowdStrike Falcon
CrowdStrike Falcon Streaming Events Connector menangani kasus penggunaan berikut:
Penyerapan data peristiwa deteksi.
CrowdStrike Falcon mendeteksi upaya untuk mengeksekusi file
SophosCleanM.exeberbahaya di endpoint. CrowdStrike menghentikan operasi dan membuat pemberitahuan yang berisi hash file dalam data peristiwa.Seorang analis yang tertarik dengan reputasi file menjalankan hash yang ditemukan di VirusTotal dan mengetahui bahwa hash tersebut berbahaya. Sebagai langkah berikutnya, tindakan Mcafee EDR akan mengarantina file berbahaya.
Penyerapan data peristiwa audit aktivitas pengguna.
Pengguna CrowdStrike, Dani, memperbarui status deteksi dari
newmenjadifalse-positive. Tindakan pengguna ini akan membuat peristiwa bernama detection_update.Analis melakukan tindak lanjut untuk memahami alasan Dani menandai tindakan tersebut sebagai positif palsu dan memeriksa peristiwa yang diproses yang berisi informasi tentang identitas Dani.
Sebagai langkah selanjutnya, analis menjalankan tindakan Enrich Entities Active Directory untuk mendapatkan detail selengkapnya tentang insiden dan menyederhanakan pelacakan Dani.
Penyerapan data peristiwa audit aktivitas autentikasi.
Peristiwa menunjukkan bahwa Dani telah membuat akun pengguna baru dan memberikan peran pengguna ke akun tersebut.
Untuk menyelidiki peristiwa dan memahami alasan pengguna dibuat, analis menggunakan ID pengguna Dani untuk menjalankan tindakan Perkaya Entitas Active Directory dan mengetahui peran pengguna Dani untuk mengonfirmasi apakah dia diberi otorisasi untuk menambahkan pengguna baru.
Penyerapan data peristiwa akhir respons jarak jauh.
Peristiwa jarak jauh menunjukkan bahwa Dani memiliki koneksi jarak jauh ke host tertentu dan menjalankan perintah sebagai pengguna root untuk mengakses direktori server web.
Untuk mendapatkan informasi selengkapnya tentang Dani dan host yang terlibat, analis menjalankan tindakan Active Directory untuk memperkaya pengguna dan host. Berdasarkan informasi yang ditampilkan, analis dapat memutuskan untuk menangguhkan Dani hingga tujuan koneksi jarak jauh tersebut diklarifikasi.
Input konektor
CrowdStrike Falcon Streaming Event Connector memerlukan parameter berikut:
| Parameter | |
|---|---|
Product Field Name |
Wajib
Nama kolom sumber yang berisi nama Nilai defaultnya adalah |
Event Field Name |
Wajib
Nama kolom sumber yang berisi nama Nilai defaultnya adalah |
Environment Field Name |
Opsional
Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan default akan digunakan. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Alert Name Template |
Opsional
Jika diberikan, konektor akan menggunakan nilai ini untuk Nama Pemberitahuan Google SecOps. Anda dapat memberikan placeholder
dalam format berikut: [ Catatan: Jika Anda tidak memberikan nilai atau template yang tidak valid, konektor akan menggunakan nama pemberitahuan default. Konektor menggunakan peristiwa Google SecOps pertama untuk placeholder. Parameter ini hanya mengizinkan kunci dengan nilai string. |
API Root |
Wajib
Root API instance CrowdStrike. Nilai defaultnya adalah |
Client ID |
Wajib
ID klien akun CrowdStrike. |
Client Secret |
Wajib
Rahasia klien akun CrowdStrike. |
Event types |
Opsional
Daftar jenis acara yang dipisahkan koma. Contoh jenis peristiwa adalah sebagai berikut:
|
Max Days Backwards |
Opsional
Jumlah hari sebelum hari ini untuk mengambil deteksi. Nilai defaultnya adalah |
Max Events Per Cycle |
Opsional
Jumlah peristiwa yang akan diproses dalam satu iterasi konektor. Nilai defaultnya adalah |
Min Severity |
Opsional Peristiwa yang akan diproses berdasarkan tingkat keparahan peristiwa (peristiwa deteksi). Nilainya berkisar dari 0 hingga 5. Jika jenis peristiwa lain selain deteksi di-ingest, tingkat keparahannya
ditetapkan ke |
Disable Overflow |
Opsional Jika dipilih, konektor akan mengabaikan mekanisme overflow. Tidak dipilih secara default. |
Verify SSL |
Wajib
Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server CrowdStrike valid. Tidak dipilih secara default. |
Script Timeout (Seconds) |
Wajib Batas waktu untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah 60 detik. |
Proxy Server Address |
Opsional
Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional
Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional
Sandi proxy untuk melakukan autentikasi. |
Rule Generator Template |
Opsional
Jika diberikan, konektor akan menggunakan nilai ini untuk generator aturan Google SecOps. Anda dapat memberikan
placeholder
dalam format berikut: [ Jika Anda tidak memberikan nilai atau template yang tidak valid, konektor akan menggunakan generator aturan default. Konektor menggunakan peristiwa Google SecOps pertama untuk placeholder. Parameter ini hanya mengizinkan kunci dengan nilai string. |
Customer ID |
Opsional ID pelanggan tenant tempat konektor akan dieksekusi. Untuk digunakan di lingkungan multi-tenant (MSSP). |
Aturan konektor
Konektor ini mendukung proxy.
Konektor ini tidak mendukung daftar dinamis.
Konektor Deteksi CrowdStrike Identity Protection
Gunakan CrowdStrike Identity Protection Detections Connector untuk menarik
deteksi perlindungan identitas dari CrowdStrike. Daftar dinamis berfungsi dengan
parameter display_name.
Konektor ini memerlukan lisensi Identity Protection.
Input konektor
CrowdStrike Identity Protection Detections Connector memerlukan parameter berikut:
| Parameter | |
|---|---|
Product Field Name |
Wajib
Nama kolom sumber yang berisi nama Nilai defaultnya adalah |
Event Field Name |
Wajib
Nama kolom sumber yang berisi nama Nilai defaultnya adalah |
Environment Field Name |
Opsional
Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan default akan digunakan. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout (Seconds) |
Wajib Batas waktu dalam detik untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
API Root |
Wajib
Root API instance CrowdStrike. Nilai defaultnya adalah |
Client ID |
Wajib
ID klien akun CrowdStrike. |
Client Secret |
Wajib
Rahasia klien akun CrowdStrike. |
Lowest Severity Score To Fetch |
Opsional
Skor tingkat keparahan terendah dari deteksi yang akan diambil. Jika tidak ada nilai yang diberikan, konektor tidak akan menerapkan filter ini. Nilai maksimum adalah Nilai defaultnya adalah
Konektor juga mendukung nilai berikut untuk parameter ini:
|
Lowest Confidence Score To Fetch |
Opsional
skor keyakinan terendah dari deteksi yang akan diambil. Jika tidak ada nilai yang diberikan, konektor tidak akan menerapkan filter ini. Nilai maksimum adalah Nilai defaultnya adalah
|
Max Hours Backwards |
Opsional
Jumlah jam sebelum sekarang untuk mengambil deteksi dari. Nilai defaultnya adalah |
Max Detections To Fetch |
Opsional
Jumlah deteksi yang akan diproses dalam satu iterasi konektor. Nilai defaultnya adalah |
Case Name Template |
Opsional
Jika disediakan, konektor akan menambahkan kunci baru bernama Anda dapat memberikan placeholder
dalam format berikut: [ Catatan: Konektor menggunakan peristiwa Google SecOps pertama untuk placeholder. Parameter ini hanya mengizinkan kunci dengan nilai string. |
Alert Name Template |
Opsional
Jika diberikan, konektor akan menggunakan nilai ini untuk Nama Pemberitahuan Google SecOps. Anda dapat memberikan placeholder
dalam format berikut: [ Catatan: Jika Anda tidak memberikan nilai atau template yang tidak valid, konektor akan menggunakan nama pemberitahuan default. Konektor menggunakan peristiwa Google SecOps pertama untuk placeholder. Parameter ini hanya mengizinkan kunci dengan nilai string. |
Disable Overflow |
Opsional Jika dipilih, konektor akan mengabaikan mekanisme overflow. Tidak dipilih secara default. |
Verify SSL |
Wajib
Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server CrowdStrike valid. Tidak dipilih secara default. |
Proxy Server Address |
Opsional
Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional
Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional
Sandi proxy untuk melakukan autentikasi. |
Customer ID |
Opsional ID pelanggan tenant tempat konektor akan dieksekusi. Untuk digunakan di lingkungan multi-tenant (MSSP). |
Aturan konektor
Konektor ini mendukung proxy.
Peristiwa konektor
Contoh peristiwa konektor adalah sebagai berikut:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Konektor Insiden CrowdStrike
Gunakan CrowdStrike Incidents Connector untuk menarik insiden dan perilaku terkait dari CrowdStrike.
Daftar dinamis berfungsi dengan parameter incident_type.
Parameter konektor
CrowdStrike Incidents Connector memerlukan parameter berikut:
| Parameter | |
|---|---|
Product Field Name |
Wajib
Nama kolom sumber yang berisi nama Nilai defaultnya adalah |
Event Field Name |
Wajib
Nama kolom sumber yang berisi nama Nilai defaultnya adalah |
Environment Field Name |
Opsional
Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan default akan digunakan. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout (Seconds) |
Wajib Batas waktu dalam detik untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
API Root |
Wajib
Root API instance CrowdStrike. Nilai defaultnya adalah |
Client ID |
Wajib
ID klien akun CrowdStrike. |
Client Secret |
Wajib
Rahasia klien akun CrowdStrike. |
Lowest Severity Score To Fetch |
Opsional
Skor tingkat keseriusan terendah dari insiden yang akan diambil. Jika tidak ada nilai yang diberikan, konektor akan menyerap insiden dengan semua tingkat keparahan. Nilai maksimum adalah
|
Max Hours Backwards |
Opsional
Jumlah jam sebelum saat ini untuk mengambil insiden. Nilai defaultnya adalah |
Max Incidents To Fetch |
Opsional
Jumlah insiden yang akan diproses dalam satu iterasi konektor. Nilai maksimum adalah Nilai defaultnya adalah
|
Use dynamic list as a blocklist |
Wajib
Jika dipilih, daftar dinamis akan digunakan sebagai daftar blokir. Tidak dipilih secara default. |
Disable Overflow |
Opsional Jika dipilih, konektor akan mengabaikan mekanisme overflow. Tidak dipilih secara default. |
Verify SSL |
Wajib
Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server CrowdStrike valid. Tidak dipilih secara default. |
Proxy Server Address |
Opsional
Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional
Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional
Sandi proxy untuk melakukan autentikasi. |
Customer ID |
Opsional ID pelanggan tenant tempat konektor akan dieksekusi. Untuk digunakan di lingkungan multi-tenant (MSSP). |
Aturan konektor
Konektor ini mendukung proxy.
Peristiwa konektor
CrowdStrike Incidents Connector memiliki dua jenis peristiwa: satu didasarkan pada insiden dan yang lainnya pada perilaku.
Contoh peristiwa berdasarkan insiden adalah sebagai berikut:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Contoh peristiwa berdasarkan perilaku adalah sebagai berikut:
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike – Konektor Pemberitahuan
Gunakan CrowdStrike – Alerts Connector untuk menarik pemberitahuan dari CrowdStrike.
Daftar dinamis berfungsi dengan parameter display_name.
Untuk mengambil deteksi perlindungan identitas, gunakan Konektor Deteksi Perlindungan Identitas.
Input konektor
CrowdStrike – Alerts Connector memerlukan parameter berikut:
| Parameter | |
|---|---|
Product Field Name |
Wajib
Nama kolom sumber yang berisi nama Nilai defaultnya adalah |
Event Field Name |
Wajib
Nama kolom sumber yang berisi nama Nilai defaultnya adalah |
Environment Field Name |
Opsional
Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan default akan digunakan. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout (Seconds) |
Wajib Batas waktu dalam detik untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
API Root |
Wajib
Root API instance CrowdStrike. Nilai defaultnya adalah |
Client ID |
Wajib
ID klien akun CrowdStrike. |
Client Secret |
Wajib
Rahasia klien akun CrowdStrike. |
Case Name Template |
Opsional
Jika disediakan, konektor akan menambahkan kunci baru bernama Anda dapat memberikan placeholder
dalam format berikut: [ Catatan: Konektor menggunakan peristiwa Google SecOps pertama untuk placeholder. Parameter ini hanya mengizinkan kunci dengan nilai string. |
Alert Name Template |
Opsional
Jika diberikan, konektor akan menggunakan nilai ini untuk Nama Pemberitahuan Google SecOps. Anda dapat memberikan placeholder
dalam format berikut: [ Catatan: Jika Anda tidak memberikan nilai atau template yang tidak valid, konektor akan menggunakan nama pemberitahuan default. Konektor menggunakan peristiwa Google SecOps pertama untuk placeholder. Parameter ini hanya mengizinkan kunci dengan nilai string. |
Lowest Severity Score To Fetch |
Opsional
Skor tingkat keseriusan terendah dari insiden yang akan diambil. Jika tidak ada nilai yang diberikan, konektor akan menyerap insiden dengan semua tingkat keparahan. Nilai maksimum adalah
Di UI CrowdStrike, nilai yang sama ditampilkan sebagai dibagi 10. |
Max Hours Backwards |
Opsional
Jumlah jam sebelum saat ini untuk mengambil insiden. Nilai defaultnya adalah |
Max Alerts To Fetch |
Opsional
Jumlah pemberitahuan yang akan diproses dalam satu iterasi konektor. Nilai maksimum adalah Nilai defaultnya adalah
|
Use dynamic list as a blocklist |
Wajib
Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Tidak dipilih secara default. |
Disable Overflow |
Opsional Jika dipilih, konektor akan mengabaikan mekanisme overflow. Tidak dipilih secara default. |
Verify SSL |
Wajib
Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server CrowdStrike valid. Tidak dipilih secara default. |
Proxy Server Address |
Opsional
Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional
Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional
Sandi proxy untuk melakukan autentikasi. |
Customer ID |
Opsional ID pelanggan tenant tempat konektor akan dieksekusi. Untuk digunakan di lingkungan multi-tenant (MSSP). |
Aturan konektor
Konektor ini mendukung proxy.
Peristiwa konektor
Contoh peristiwa berdasarkan pemberitahuan adalah sebagai berikut:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.