Integrare CrowdStrike Falcon con Google SecOps
Questo documento spiega come integrare CrowdStrike Falcon con Google Security Operations (Google SecOps).
Versione integrazione: 56.0
Questa integrazione utilizza uno o più componenti open source. Puoi scaricare una copia del codice sorgente completo di questa integrazione dal bucket Cloud Storage.
Casi d'uso
Nella piattaforma Google SecOps, l'integrazione di CrowdStrike Falcon risolve i seguenti casi d'uso:
Contenimento automatico del malware: utilizza le funzionalità della piattaforma Google SecOps per mettere automaticamente in quarantena l'endpoint interessato, recuperare l'hash del file per ulteriori analisi e impedire la diffusione del malware. Il contenimento automatico del malware si attiva quando un'email di phishing attiva un avviso di CrowdStrike Falcon per un download di file sospetto.
Risposta agli incidenti più rapida: utilizza Google SecOps per raccogliere dati contestuali come alberi dei processi e connessioni di rete, isolare l'host compromesso e creare un ticket per l'indagine.
Ricerca e analisi delle minacce: utilizza le funzionalità della piattaforma Google SecOps per eseguire query su CrowdStrike Falcon per azioni specifiche degli utenti, modifiche ai file e connessioni di rete in un periodo di tempo definito. La ricerca e l'indagine sulle minacce consentono agli analisti della sicurezza di indagare su una potenziale minaccia interna e analizzare l'attività storica degli endpoint, semplificando al contempo la procedura di indagine.
Risposta e correzione del phishing: utilizza CrowdStrike Falcon e la piattaforma Google SecOps per scansionare gli allegati email, aprili in un ambiente sandbox e blocca automaticamente l'indirizzo email del mittente se viene rilevata attività dannosa.
Gestione delle vulnerabilità: utilizza le funzionalità della piattaforma Google SecOps per creare automaticamente ticket per ogni sistema vulnerabile, assegnare loro la priorità in base alla gravità e al valore dell'asset e attivare workflow di applicazione di patch automatizzati. La gestione delle vulnerabilità ti aiuta a identificare una vulnerabilità critica su più endpoint.
Prima di iniziare
Prima di configurare l'integrazione in Google SecOps, completa i seguenti passaggi:
Configura il client API CrowdStrike Falcon.
Configura le autorizzazioni di azione.
Configura le autorizzazioni del connettore.
Configura il client API CrowdStrike Falcon
Per definire un client API CrowdStrike e visualizzare, creare o modificare client API o chiavi, devi disporre del ruolo FalconAdministrator.
I secret vengono visualizzati solo quando crei un nuovo client API o lo reimposti.
Per configurare il client API CrowdStrike Falcon, completa i seguenti passaggi:
- Nell'interfaccia utente di Falcon, vai a Assistenza e risorse > Risorse e strumenti > Client e chiavi API. In questa pagina puoi trovare i client esistenti, aggiungere nuovi client API o visualizzare il log di controllo.
- Fai clic su Crea client API.
- Fornisci un nome per il nuovo client API.
- Seleziona gli ambiti API appropriati.
Fai clic su Crea. Vengono visualizzati i valori ID client e client secret.
Questa è l'unica volta in cui vedrai il valore del client secret. Assicurati di conservarlo in modo sicuro. Se perdi il client secret, reimposta il client API e aggiorna tutte le applicazioni che si basano sul client secret con nuove credenziali.
Per maggiori dettagli sull'accesso all'API CrowdStrike, consulta la guida Ottenere l'accesso all'API CrowdStrike sul blog di CrowdStrike.
Configurare le autorizzazioni di azione
Fai riferimento alle autorizzazioni minime per le azioni, come elencato nella tabella seguente:
| Azione | Autorizzazioni obbligatorie |
|---|---|
| Aggiungi commento al rilevamento | Detections.ReadDetection.Write |
| Aggiungi commento di rilevamento della protezione dell'identità | Alerts.ReadAlerts.Write |
| Aggiungi commento all'incidente | Incidents.Write |
| Close Detection | Detections.ReadDetection.Write |
| Isola endpoint | Hosts.ReadHosts.Write |
| Elimina IOC | IOC Management.ReadIOC Management.Write |
| Scarica file | Hosts.ReadReal time response.ReadReal time response.Write |
| Esegui comando | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write* per i comandi con privilegi completi.
|
| Ottieni offset evento | Event streams.Read |
| Recuperare gli host per IOC | Non disponibile: obsoleta |
| Ottenere informazioni sull'host | Hosts.Read |
| Get Process Name By IOC | Non disponibile: obsoleta |
| Lift Contained Endpoint | Hosts.ReadHosts.Write |
| Elenco host | Hosts.Read |
| Elenca vulnerabilità host | Hosts.ReadSpotlight vulnerabilities.Read |
| Elenco degli IOC caricati | IOC Management.Read |
| Scansione on demand | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| Dindin | Hosts.Read |
| Invia file | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Invia URL | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Aggiornamento rilevamento | Detections.ReadDetection.WriteUser management.Read |
| Aggiorna il rilevamento di Identity Protection | Alerts.ReadAlerts.Write |
| Aggiorna incidente | Incidents.Write |
| Aggiornare le informazioni sul CIO | IOC Management.ReadIOC Management.Write |
| Carica IOC | IOC Management.ReadIOC Management.Write |
Configurare le autorizzazioni del connettore
Fai riferimento alle autorizzazioni minime per i connettori, come elencato nella tabella seguente:
| Connettore | Autorizzazioni obbligatorie |
|---|---|
| Connettore CrowdStrike Detections | Detection.Read |
| Connettore CrowdStrike Falcon Streaming Events | Event streams.Read |
| Connettore di rilevamento della protezione dell'identità CrowdStrike | Alerts.Read |
| Connettore per gli incidenti di CrowdStrike | Incidents.Read |
Endpoint
L'integrazione di CrowdStrike Falcon interagisce con i seguenti endpoint API CrowdStrike Falcon:
Endpoint API generali:
/oauth2/token
Host e dispositivi:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
Rilevamenti ed eventi:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
Indicatori di compromissione (IOC):
/intel/entities/indicators/v1/intel/queries/devices/v1
Vulnerabilità:
/devices/combined/devices/vulnerabilities/v1
Risposta e contenimento:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
Incidenti:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
Analisi di file e URL:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
Parametri di integrazione
Affinché l'integrazione funzioni correttamente, è necessaria una versione premium di CrowdStrike Falcon con funzionalità complete. Alcune azioni non funzionano con una versione di base di CrowdStrike Falcon.
L'integrazione di CrowdStrike Falcon richiede i seguenti parametri:
| Parametri | |
|---|---|
API Root |
Una radice API dell'istanza di CrowdStrike. Il valore predefinito è |
Client API ID |
Obbligatorio L'ID client per l'API CrowdStrike. |
Client API Secret |
Obbligatorio Il client secret per l'API CrowdStrike. |
Verify SSL |
Se selezionata, l'integrazione verifica la validità del certificato SSL per la connessione al server CrowdStrike Falcon. Non selezionato per impostazione predefinita. |
Customer ID |
Optional L'ID cliente del tenant in cui eseguire l'integrazione. Per l'utilizzo in ambienti multi-tenant (MSSP). |
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.
Azioni
Prima di procedere con la configurazione dell'integrazione, configura le autorizzazioni minime richieste per ogni elemento di integrazione. Per maggiori dettagli, consulta la sezione Autorizzazioni di azione di questo documento.
Aggiungi commento all'avviso
Utilizza l'azione Aggiungi commento avviso per aggiungere un commento a un avviso in CrowdStrike Falcon.
Questa azione non viene eseguita sulle entità.
Input azione
L'azione Aggiungi commento avviso richiede i seguenti parametri:
| Parametri | |
|---|---|
Alert |
Obbligatorio L'ID dell'avviso da aggiornare. |
Comment |
Obbligatorio Il commento da aggiungere all'avviso. |
Output dell'azione
L'azione Aggiungi commento all'avviso fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Aggiungi commento avviso fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
Azione riuscita. |
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Aggiungi commento all'avviso:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiungi commento al rilevamento
Utilizza l'azione Aggiungi commento al rilevamento per aggiungere un commento al rilevamento in CrowdStrike Falcon.
Questa azione viene eseguita su tutte le entità.
Input azione
L'azione Aggiungi commento al rilevamento richiede i seguenti parametri:
| Parametri | |
|---|---|
Detection ID |
Obbligatorio
L'ID del rilevamento a cui aggiungere un commento. |
Comment |
Obbligatorio
Il commento da aggiungere al rilevamento. |
Output dell'azione
L'azione Aggiungi commento al rilevamento fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Aggiungi commento al rilevamento:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiungi commento di rilevamento della protezione dell'identità
Utilizza l'azione Aggiungi commento di rilevamento della protezione dell'identità per aggiungere un commento al rilevamento della protezione dell'identità in CrowdStrike.
Questa azione richiede una licenza Identity Protection.
Questa azione non viene eseguita sulle entità.
Input azione
L'azione Aggiungi commento di rilevamento della protezione dell'identità richiede i seguenti parametri:
| Parametri | |
|---|---|
Detection ID |
Obbligatorio
L'ID del rilevamento da aggiornare. |
Comment |
Obbligatorio
Il commento da aggiungere al rilevamento. |
Output dell'azione
L'azione Aggiungi commento di rilevamento della protezione dell'identità fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Aggiungi commento di rilevamento della protezione dell'identità fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
Azione riuscita. |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
Azione non riuscita. Controlla l'ortografia. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Aggiungi commento di rilevamento della protezione dell'identità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiungi commento all'incidente
Utilizza l'azione Aggiungi commento all'incidente per aggiungere un commento a un incidente in CrowdStrike.
Questa azione non viene eseguita sulle entità.
Input azione
L'azione Aggiungi commento all'incidente richiede i seguenti parametri:
| Parametri | |
|---|---|
Incident ID |
Obbligatorio
L'ID dell'incidente da aggiornare. |
Comment |
Obbligatorio
Il commento da aggiungere all'incidente. |
Output dell'azione
L'azione Aggiungi commento all'incidente fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Aggiungi commento all'incidente fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
Azione riuscita. |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Azione non riuscita. Controlla l'ortografia. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Aggiungi commento all'incidente:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Close Detection
Utilizza l'azione Chiusura rilevamento per chiudere un rilevamento di CrowdStrike Falcon.
L'azione Rilevamento aggiornamenti è la best practice per questo caso d'uso.
Questa azione viene eseguita su tutte le entità.
Input azione
L'azione Rilevamento chiusura richiede i seguenti parametri:
| Parametri | |
|---|---|
Detection ID |
Obbligatorio
L'ID del rilevamento da chiudere. |
Hide Detection |
Optional
Se selezionata, l'azione nasconde il rilevamento nell'interfaccia utente. Selezionata per impostazione predefinita. |
Output dell'azione
L'azione Rilevamento chiusura fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Rilevamento chiusura:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Isola endpoint
Utilizza l'azione Isola endpoint per isolare l'endpoint in CrowdStrike Falcon.
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Input azione
L'azione Contieni endpoint richiede i seguenti parametri:
| Parametri | |
|---|---|
Fail If Timeout |
Obbligatorio
Se selezionata e non tutti gli endpoint sono contenuti, l'azione non va a buon fine. Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Isola endpoint fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Arricchimento delle entità
L'azione Contieni endpoint supporta la seguente logica di arricchimento delle entità:
| Campo di arricchimento | Logic |
|---|---|
status |
Restituisce il valore se esiste nel risultato JSON |
modified_timestamp |
Restituisce il valore se esiste nel risultato JSON |
major_version |
Restituisce il valore se esiste nel risultato JSON |
policies |
Restituisce il valore se esiste nel risultato JSON |
config_id_platform |
Restituisce il valore se esiste nel risultato JSON |
bios_manufacturer |
Restituisce il valore se esiste nel risultato JSON |
system_manufacturer |
Restituisce il valore se esiste nel risultato JSON |
device_policies |
Restituisce il valore se esiste nel risultato JSON |
meta |
Restituisce il valore se esiste nel risultato JSON |
pointer_size |
Restituisce il valore se esiste nel risultato JSON |
last_seen |
Restituisce il valore se esiste nel risultato JSON |
agent_local_time |
Restituisce il valore se esiste nel risultato JSON |
first_seen |
Restituisce il valore se esiste nel risultato JSON |
service_pack_major |
Restituisce il valore se esiste nel risultato JSON |
slow_changing_modified_timestamp |
Restituisce il valore se esiste nel risultato JSON |
service_pack_minor |
Restituisce il valore se esiste nel risultato JSON |
system_product_name |
Restituisce il valore se esiste nel risultato JSON |
product_type_desc |
Restituisce il valore se esiste nel risultato JSON |
build_number |
Restituisce il valore se esiste nel risultato JSON |
cid |
Restituisce il valore se esiste nel risultato JSON |
local_ip |
Restituisce il valore se esiste nel risultato JSON |
external_ip |
Restituisce il valore se esiste nel risultato JSON |
hostname |
Restituisce il valore se esiste nel risultato JSON |
config_id_build |
Restituisce il valore se esiste nel risultato JSON |
minor_version |
Restituisce il valore se esiste nel risultato JSON |
platform_id |
Restituisce il valore se esiste nel risultato JSON |
os_version |
Restituisce il valore se esiste nel risultato JSON |
config_id_base |
Restituisce il valore se esiste nel risultato JSON |
provision_status |
Restituisce il valore se esiste nel risultato JSON |
mac_address |
Restituisce il valore se esiste nel risultato JSON |
bios_version |
Restituisce il valore se esiste nel risultato JSON |
platform_name |
Restituisce il valore se esiste nel risultato JSON |
agent_load_flags |
Restituisce il valore se esiste nel risultato JSON |
device_id |
Restituisce il valore se esiste nel risultato JSON |
product_type |
Restituisce il valore se esiste nel risultato JSON |
agent_version |
Restituisce il valore se esiste nel risultato JSON |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Contieni endpoint:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Messaggi di output
L'azione Contieni endpoint fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
Azione non riuscita. Controlla lo stato dell'endpoint e
il valore parametro |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Contain Endpoint:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Elimina IOC
Utilizza l'azione Elimina IOC per eliminare gli IOC personalizzati in CrowdStrike Falcon.
Questa azione considera le entità nome host come indicatori di compromissione del dominio ed estrae la parte del dominio dagli URL. Questa azione supporta solo gli hash MD5 e SHA-256.
L'azione Elimina indicatore di compromissione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
- URL
- Hash
Input azione
Nessuno.
Output dell'azione
L'azione Elimina indicatore di compromissione fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando si utilizza l'azione Elimina indicatore di compromissione:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Messaggi di output
In una bacheca dei casi, l'azione Elimina indicatore di compromissione fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Scarica file
Utilizza l'azione Scarica file per scaricare file dagli host in CrowdStrike Falcon.
Questa azione richiede che sia il nome file sia l'indirizzo IP o un'entità nome host rientrino nell'ambito dell'avviso Google SecOps.
Puoi trovare il file scaricato in un pacchetto ZIP protetto da password. Per accedere
al file, fornisci la seguente password: infected.
L'azione Scarica file viene eseguita sulle seguenti entità:
- Nome del file
- Indirizzo IP
- Host
Input azione
L'azione Scarica file richiede i seguenti parametri:
| Parametri | |
|---|---|
Download Folder Path |
Obbligatorio
Il percorso della cartella in cui è archiviato il file scaricato. Il formato dipende dalla tua implementazione:
|
Overwrite |
Obbligatorio
Se selezionata, l'azione sovrascrive il file con lo stesso nome. Non selezionato per impostazione predefinita. |
Output dell'azione
L'azione Scarica file fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella delle entità | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella delle entità
L'azione Scarica file fornisce la seguente tabella delle entità:
| Entità | |
|---|---|
filepath |
Percorso assoluto del file. |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Scarica file:
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
Messaggi di output
L'azione Scarica file fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Error executing action "Download
File". Reason: ERROR_REASON
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
Azione non riuscita. Controlla il valore del parametro |
Waiting for results for the following
entities: ENTITY_ID |
Messaggio asincrono. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Scarica file:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Esegui comando
Utilizza l'azione Esegui comando per eseguire comandi sugli host in CrowdStrike Falcon.
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Input azione
L'azione Esegui comando richiede i seguenti parametri:
| Parametri | |
|---|---|
Command |
Obbligatorio
Un comando da eseguire sugli host. |
Admin Command |
Optional
Se
|
Output dell'azione
L'azione Esegui comando fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
In una bacheca dei casi, l'azione Esegui comando fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
Azione riuscita. |
Error executing action "Execute Command". Reason:
ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Waiting for results for the following
entities: ENTITY_ID |
Messaggio asincrono. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Esegui comando:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ottenere i dettagli dell'avviso
Utilizza l'azione Recupera dettagli avviso per recuperare i dettagli di un avviso in CrowdStrike Falcon.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Visualizza dettagli avviso richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Alert ID |
Obbligatorio. L'ID univoco dell'avviso da cui recuperare i dettagli. |
Output dell'azione
L'azione Recupera dettagli avviso fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Ottieni dettagli avviso:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Messaggi di output
L'azione Recupera dettagli avviso può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera dettagli avviso:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Ottieni offset evento
Utilizza l'azione Ottieni offset evento per recuperare l'offset evento utilizzato dal connettore di eventi di streaming.
Questa azione inizia a elaborare gli eventi di 30 giorni fa.
Questa azione non viene eseguita sulle entità.
Input azione
L'azione Ottieni offset evento richiede i seguenti parametri:
| Parametri | |
|---|---|
Max Events To Process |
Obbligatorio
Il numero di eventi che l'azione deve elaborare a partire da 30 giorni fa. Il valore predefinito è |
Output dell'azione
L'azione Ottieni offset evento fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni offset evento:
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
Messaggi di output
L'azione Ottieni offset evento fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
Azione riuscita. |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Ottieni offset evento:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ottenere informazioni sull'host
Utilizza l'azione Get Host Information per recuperare informazioni sul nome host da CrowdStrike Falcon.
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Indirizzo IP
Input azione
L'azione Ottieni informazioni sull'host richiede i seguenti parametri:
| Parametri | |
|---|---|
Create Insight |
Optional
Se selezionata, l'azione crea approfondimenti contenenti informazioni sulle entità. Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Ottieni informazioni host fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Arricchimento delle entità
L'azione Ottieni informazioni sull'host supporta la seguente logica di arricchimento delle entità:
| Campo di arricchimento | Logic |
|---|---|
modified_timestamp |
Restituisce il valore se esiste nel risultato JSON |
major_version |
Restituisce il valore se esiste nel risultato JSON |
site_name |
Restituisce il valore se esiste nel risultato JSON |
platform_id |
Restituisce il valore se esiste nel risultato JSON |
config_id_platform |
Restituisce il valore se esiste nel risultato JSON |
system_manufacturer |
Restituisce il valore se esiste nel risultato JSON |
meta |
Restituisce il valore se esiste nel risultato JSON |
first_seen |
Restituisce il valore se esiste nel risultato JSON |
service_pack_minor |
Restituisce il valore se esiste nel risultato JSON |
product_type_desc |
Restituisce il valore se esiste nel risultato JSON |
build_number |
Restituisce il valore se esiste nel risultato JSON |
hostname |
Restituisce il valore se esiste nel risultato JSON |
config_id_build |
Restituisce il valore se esiste nel risultato JSON |
minor_version |
Restituisce il valore se esiste nel risultato JSON |
os_version |
Restituisce il valore se esiste nel risultato JSON |
provision_status |
Restituisce il valore se esiste nel risultato JSON |
mac_address |
Restituisce il valore se esiste nel risultato JSON |
bios_version |
Restituisce il valore se esiste nel risultato JSON |
agent_load_flags |
Restituisce il valore se esiste nel risultato JSON |
status |
Restituisce il valore se esiste nel risultato JSON |
bios_manufacturer |
Restituisce il valore se esiste nel risultato JSON |
machine_domain |
Restituisce il valore se esiste nel risultato JSON |
agent_local_time |
Restituisce il valore se esiste nel risultato JSON |
slow_changing_modified_timestamp |
Restituisce il valore se esiste nel risultato JSON |
service_pack_major |
Restituisce il valore se esiste nel risultato JSON |
device_id |
Restituisce il valore se esiste nel risultato JSON |
system_product_name |
Restituisce il valore se esiste nel risultato JSON |
product_type |
Restituisce il valore se esiste nel risultato JSON |
local_ip |
Restituisce il valore se esiste nel risultato JSON |
external_ip |
Restituisce il valore se esiste nel risultato JSON |
cid |
Restituisce il valore se esiste nel risultato JSON |
platform_name |
Restituisce il valore se esiste nel risultato JSON |
config_id_base |
Restituisce il valore se esiste nel risultato JSON |
last_seen |
Restituisce il valore se esiste nel risultato JSON |
pointer_size |
Restituisce il valore se esiste nel risultato JSON |
agent_version |
Restituisce il valore se esiste nel risultato JSON |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni informazioni sull'host:
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
Messaggi di output
L'azione Recupera informazioni host fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output dei risultati dello script quando utilizzi l'azione Recupera informazioni host:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Get Hosts by IOC - Deprecated
Elenca gli host correlati agli indicatori di compromissione in CrowdStrike Falcon. Entità supportate:
Nome host, URL, indirizzo IP e hash.
Nota:le entità nome host vengono trattate come IOC di dominio. L'azione
estrae la parte del dominio dagli URL. Sono supportati solo gli hash MD5 e SHA-256.
Entità
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
- URL
- Hash
Input azione
N/D
Output dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
Arricchimento delle entità
| Campo di arricchimento | Logic |
|---|---|
| modified_timestamp | Restituisce se esiste nel risultato JSON |
| major_version | Restituisce se esiste nel risultato JSON |
| site_name | Restituisce se esiste nel risultato JSON |
| platform_id | Restituisce se esiste nel risultato JSON |
| config_id_platform | Restituisce se esiste nel risultato JSON |
| system_manufacturer | Restituisce se esiste nel risultato JSON |
| meta | Restituisce se esiste nel risultato JSON |
| first_seen | Restituisce se esiste nel risultato JSON |
| service_pack_minor | Restituisce se esiste nel risultato JSON |
| product_type_desc | Restituisce se esiste nel risultato JSON |
| build_number | Restituisce se esiste nel risultato JSON |
| nome host | Restituisce se esiste nel risultato JSON |
| config_id_build | Restituisce se esiste nel risultato JSON |
| minor_version | Restituisce se esiste nel risultato JSON |
| os_version | Restituisce se esiste nel risultato JSON |
| provision_status | Restituisce se esiste nel risultato JSON |
| mac_address | Restituisce se esiste nel risultato JSON |
| bios_version | Restituisce se esiste nel risultato JSON |
| agent_load_flags | Restituisce se esiste nel risultato JSON |
| stato | Restituisce se esiste nel risultato JSON |
| bios_manufacturer | Restituisce se esiste nel risultato JSON |
| machine_domain | Restituisce se esiste nel risultato JSON |
| Device_policies | Restituisce se esiste nel risultato JSON |
| agent_local_time | Restituisce se esiste nel risultato JSON |
| slow_changing_modified_timestamp | Restituisce se esiste nel risultato JSON |
| service_pack_major | Restituisce se esiste nel risultato JSON |
| system_product_name | Restituisce se esiste nel risultato JSON |
| product_type | Restituisce se esiste nel risultato JSON |
| local_ip | Restituisce se esiste nel risultato JSON |
| external_ip | Restituisce se esiste nel risultato JSON |
| cid | Restituisce se esiste nel risultato JSON |
| platform_name | Restituisce se esiste nel risultato JSON |
| config_id_base | Restituisce se esiste nel risultato JSON |
| policy | Restituisce se esiste nel risultato JSON |
| last_seen | Restituisce se esiste nel risultato JSON |
| pointer_size | Restituisce se esiste nel risultato JSON |
| agent_version | Restituisce se esiste nel risultato JSON |
Approfondimento sull'entità
N/D
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e viene trovato almeno un host correlato agli IOC forniti (is_success=true): "Successfully retrieved hosts related to the provided IOCs in CrowdStrike Falcon." (Host recuperati correttamente correlati agli IOC forniti in CrowdStrike Falcon.) Se non vengono trovati host correlati (is_success=false): "Nessun host è stato correlato agli IOC forniti in CrowdStrike Falcon". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico: "Errore durante l'esecuzione dell'azione "{action name}". Motivo: {traceback}." |
Generale |
Get Process Name by IOC - Deprecated
Recupera i processi correlati agli indicatori di compromissione e ai dispositivi forniti in CrowdStrike
Falcon. Entità supportate: nome host, URL, indirizzo IP e hash.
Nota:le entità nome host vengono trattate come IOC di dominio. L'azione
estrae la parte del dominio dagli URL. Sono supportati solo gli hash MD5, SHA-1 e SHA-256. Le entità Indirizzo IP vengono trattate come indicatori di compromissione.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nomi dei dispositivi | 11 | N/D | Sì | Specifica un elenco separato da virgole di dispositivi per i quali vuoi recuperare i processi correlati alle entità. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- URL
- Hash
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| Nome processo | Restituisce se esiste nel risultato JSON |
| Indicatore | Restituisce se esiste nel risultato JSON |
| Nome host | Restituisce se esiste nel risultato JSON |
Informazioni sulle entità
N/D
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se vengono trovati processi correlati alle entità per almeno un endpoint (is_success=true): "Recuperati correttamente i processi correlati agli IOC sui seguenti endpoint in CrowdStrike Falcon: {device name}." Se non vengono trovati processi per almeno un endpoint o il dispositivo non viene trovato (is_success=true): "Non sono stati trovati processi correlati sui seguenti endpoint in CrowdStrike Falcon: {device name}." Se non vengono trovati processi per tutti gli endpoint o non viene trovato nessuno dei dispositivi (is_success=false): "Non sono stati trovati processi correlati sugli endpoint forniti in CrowdStrike Falcon. L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico: "Errore durante l'esecuzione di "{action name}". Motivo: {trace back}." |
Recupera dettagli vertice
Utilizza l'azione Ottieni dettagli di Vertex per elencare tutte le proprietà associate a un determinato indicatore.
Le entità Google SecOps sono considerate indicatori di compromissione.
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- URL
- Hash
Input azione
Nessuno.
Output dell'azione
L'azione Ottieni dettagli vertice fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Risultato dello script | Disponibile |
Arricchimento delle entità
L'azione Ottieni dettagli Vertex supporta il seguente arricchimento:
| Campo di arricchimento | Logic |
|---|---|
vertex_type |
Restituisce il valore se esiste nel risultato JSON |
timestamp |
Restituisce il valore se esiste nel risultato JSON |
object_id |
Restituisce il valore se esiste nel risultato JSON |
properties |
Restituisce il valore se esiste nel risultato JSON |
edges |
Restituisce il valore se esiste nel risultato JSON |
scope |
Restituisce il valore se esiste nel risultato JSON |
customer_id |
Restituisce il valore se esiste nel risultato JSON |
id |
Restituisce il valore se esiste nel risultato JSON |
device_id |
Restituisce il valore se esiste nel risultato JSON |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli vertice:
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
Risultato dello script
La tabella seguente descrive i valori dell'output dei risultati dello script quando utilizzi l'azione Ottieni dettagli di Vertex:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Lift Contained Endpoint
Utilizza l'azione Rimuovi contenimento endpoint per rimuovere il contenimento di un endpoint in CrowdStrike Falcon.
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Input azione
L'azione Endpoint contenente l'incremento richiede i seguenti parametri:
| Parametri | |
|---|---|
Fail If Timeout |
Obbligatorio
Se selezionata e il contenimento non viene rimosso su tutti gli endpoint, l'azione non va a buon fine. Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Rimuovi endpoint compromesso fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Arricchimento delle entità
L'azione Endpoint contenente sollevamento supporta il seguente arricchimento delle entità:
| Campo di arricchimento | Logic |
|---|---|
status |
Restituisce il valore se esiste nel risultato JSON |
modified_timestamp |
Restituisce il valore se esiste nel risultato JSON |
major_version |
Restituisce il valore se esiste nel risultato JSON |
config_id_platform |
Restituisce il valore se esiste nel risultato JSON |
system_manufacturer |
Restituisce il valore se esiste nel risultato JSON |
device_policies |
Restituisce il valore se esiste nel risultato JSON |
meta |
Restituisce il valore se esiste nel risultato JSON |
pointer_size |
Restituisce il valore se esiste nel risultato JSON |
last_seen |
Restituisce il valore se esiste nel risultato JSON |
agent_local_time |
Restituisce il valore se esiste nel risultato JSON |
first_seen |
Restituisce il valore se esiste nel risultato JSON |
service_pack_major |
Restituisce il valore se esiste nel risultato JSON |
slow_changing_modified_timestamp |
Restituisce il valore se esiste nel risultato JSON |
service_pack_minor |
Restituisce il valore se esiste nel risultato JSON |
system_product_name |
Restituisce il valore se esiste nel risultato JSON |
product_type_desc |
Restituisce il valore se esiste nel risultato JSON |
build_number |
Restituisce il valore se esiste nel risultato JSON |
cid |
Restituisce il valore se esiste nel risultato JSON |
local_ip |
Restituisce il valore se esiste nel risultato JSON |
external_ip |
Restituisce il valore se esiste nel risultato JSON |
hostname |
Restituisce il valore se esiste nel risultato JSON |
config_id_build |
Restituisce il valore se esiste nel risultato JSON |
minor_version |
Restituisce il valore se esiste nel risultato JSON |
platform_id |
Restituisce il valore se esiste nel risultato JSON |
os_version |
Restituisce il valore se esiste nel risultato JSON |
config_id_base |
Restituisce il valore se esiste nel risultato JSON |
provision_status |
Restituisce il valore se esiste nel risultato JSON |
mac_address |
Restituisce il valore se esiste nel risultato JSON |
bios_version |
Restituisce il valore se esiste nel risultato JSON |
platform_name |
Restituisce il valore se esiste nel risultato JSON |
agent_load_flags |
Restituisce il valore se esiste nel risultato JSON |
device_id |
Restituisce il valore se esiste nel risultato JSON |
product_type |
Restituisce il valore se esiste nel risultato JSON |
agent_version |
Restituisce il valore se esiste nel risultato JSON |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Endpoint contenitore di sollevamento:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Messaggi di output
L'azione Endpoint di sollevamento contenuto fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
Messaggio asincrono. |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
Azione non riuscita. Controlla lo stato dell'endpoint e
ilvalore parametroo |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori per l'output del risultato dello script quando utilizzi l'azione Lift Contained Endpoint:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Elenca vulnerabilità host
Utilizza l'azione Elenca vulnerabilità host per elencare le vulnerabilità trovate sull'host in CrowdStrike Falcon.
Questa azione richiede una licenza e autorizzazioni Falcon Spotlight.
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Input azione
L'azione List Host Vulnerabilities richiede i seguenti parametri:
| Parametri | |
|---|---|
Severity Filter |
Optional
Un elenco separato da virgole di gravità delle vulnerabilità. Se non fornisci alcun valore, l'azione acquisisce tutte le vulnerabilità correlate. I valori possibili sono:
|
Create Insight |
Optional
Se selezionata, l'azione crea un approfondimento per ogni entità contenente informazioni statistiche sulle vulnerabilità correlate. Questa opzione è selezionata per impostazione predefinita. |
Max Vulnerabilities To Return |
Optional
Il numero di vulnerabilità da restituire per un singolo host. Se non fornisci alcun valore, l'azione elabora tutte le vulnerabilità correlate. Il valore predefinito è |
Output dell'azione
L'azione Elenca vulnerabilità host fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
In una bacheca dei casi, l'azione Elenca vulnerabilità host fornisce la seguente tabella:
Tipo: entità
Colonne:
- Nome
- Punteggio
- Gravità
- Stato
- App
- Ha correzione
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione List Host Vulnerabilities:
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
Messaggi di output
L'azione Elenca vulnerabilità host fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
Azione non riuscita. Controlla il valore parametro |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Elenca vulnerabilità host:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Elenco host
Utilizza l'azione Elenca host per elencare gli host disponibili in CrowdStrike Falcon.
Questa azione viene eseguita su tutte le entità.
Input azione
L'azione Elenca host richiede i seguenti parametri:
| Parametri | |
|---|---|
Filter Logic |
Optional
Una logica da utilizzare durante la ricerca degli host. Il valore predefinito è
|
Filter Value |
Optional
Un valore da utilizzare per il filtro host. |
Max Hosts To Return |
Optional
Il numero di host da restituire. Il valore predefinito è
Il valore massimo è |
Output dell'azione
L'azione Elenca host fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca host:
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
Messaggi di output
L'azione Elenca host fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Error executing action "List Hosts".
Reason: ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori per l'output del risultato dello script quando si utilizza l'azione Elenca host:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Elenco degli IOC caricati
Utilizza l'azione Elenca IOC caricati per elencare gli IOC personalizzati disponibili in CrowdStrike Falcon.
Questa azione viene eseguita su tutte le entità.
Input azione
L'azione List Uploaded IOCs richiede i seguenti parametri:
| Parametri | |
|---|---|
IOC Type Filter |
Optional
Un elenco separato da virgole dei tipi di IOC da restituire. Il valore predefinito è
|
Value Filter Logic |
Optional
Un valore della logica del filtro. Il valore predefinito è
Se è impostato |
Value Filter String |
Optional
Una stringa per la ricerca tra gli IOC. |
Max IOCs To Return |
Optional
Il numero di indicatori di compromissione da restituire. Il valore predefinito è
Il valore massimo è 500. |
Output dell'azione
L'azione Elenca IOC caricati fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
In una bacheca delle richieste, l'azione Elenca IOC caricati fornisce la seguente tabella:
Colonne:
- Azione
- Gravità
- Firmata
- AV Hits
- Piattaforme
- Tag
- Ora di creazione:
- Creato da
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca IOC caricati:
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
Messaggi di output
L'azione Elenca IOC caricati fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
Azione riuscita. |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
Azione non riuscita. Controlla l'ortografia e il valore parametro |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando si utilizza l'azione Elenca IOC caricati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Scansione on demand
Utilizza l'azione Scansione on demand per eseguire la scansione dell'endpoint on demand in CrowdStrike.
Questa azione viene eseguita solo sugli host Windows e sulle seguenti entità:
- Indirizzo IP
- Nome host
L'azione Scansione on demand viene eseguita in modo asincrono. Se necessario, modifica il valore di timeout dello script nell'IDE Google SecOps.
Input azione
L'azione Scansione on demand richiede i seguenti parametri:
| Parametri | |
|---|---|
File Paths To Scan |
Obbligatorio Un elenco separato da virgole di percorsi da scansionare. Il valore predefinito è |
File Paths To Exclude From Scan |
Optional Un elenco separato da virgole di percorsi da escludere dalla scansione. |
Host Group Name |
Optional Un elenco separato da virgole di nomi di gruppi di host per avviare la scansione. L'azione crea un processo di scansione separato per ogni gruppo di host. |
Scan Description |
Optional Una descrizione da utilizzare per il processo di scansione. Se non imposti alcun valore, l'azione imposta la descrizione su:
|
CPU Priority |
Optional La quantità di CPU da utilizzare per l'host sottostante durante la scansione. I valori possibili sono:
Il valore predefinito è |
Sensor Anti-malware Detection Level |
Optional Il valore del livello di rilevamento antimalware del sensore. Il livello di rilevamento deve essere uguale o superiore al livello di prevenzione. I valori possibili sono:
Il valore predefinito è |
Sensor Anti-malware Prevention Level |
Optional Il valore del livello di prevenzione antimalware del sensore. Il livello di rilevamento deve essere uguale o superiore al livello di prevenzione. I valori possibili sono:
Il valore predefinito è |
Cloud Anti-malware Detection Level |
Optional Il valore del livello di rilevamento antimalware cloud. Il livello di rilevamento deve essere uguale o superiore al livello di prevenzione. I valori possibili sono:
Il valore predefinito è |
Cloud Anti-malware Prevention Level |
Optional Il valore del livello di prevenzione antimalware del cloud. Il livello di rilevamento deve essere uguale o superiore al livello di prevenzione. I valori possibili sono:
Il valore predefinito è |
Quarantine Hosts |
Optional Se selezionata, l'azione mette in quarantena gli host sottostanti nell'ambito della scansione. Non selezionato per impostazione predefinita. |
Create Endpoint Notification |
Optional Se selezionata, la procedura di scansione crea una notifica dell'endpoint. Questa opzione è selezionata per impostazione predefinita. |
Max Scan Duration |
Optional Il numero di ore di esecuzione di una scansione. Se non fornisci alcun valore, la scansione viene eseguita continuamente. |
Output dell'azione
L'azione Scansione on demand fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Scansione on demand:
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
Messaggi di output
L'azione Scansione on demand fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori per l'output del risultato dello script quando si utilizza l'azione Scansione on demand:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Dindin
Utilizza l'azione Ping per testare la connettività a CrowdStrike Falcon.
Questa azione viene eseguita su tutte le entità.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Esegui script
Utilizza l'azione Esegui script per eseguire uno script di PowerShell sugli endpoint in CrowdStrike.
Questa azione è asincrona. Se necessario, modifica il valore di timeout dello script nell'IDE Google SecOps.
Questa azione viene eseguita sulle entità Indirizzo IP e Nome host.
Input azione
L'azione Esegui script richiede i seguenti parametri:
| Parametri | |
|---|---|
Customer ID |
Optional L'ID del cliente per cui eseguire l'azione. |
Script Name |
Optional Il nome del file di script da eseguire. Configura il parametro |
Raw Script |
Optional Un payload di script PowerShell non elaborato da eseguire sugli endpoint. Configura il parametro |
Output dell'azione
L'azione Esegui script fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
In una bacheca richieste, l'azione Esegui script fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori per l'output del risultato dello script quando utilizzi l'azione Esegui script:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Cerca eventi
Utilizza questa azione per cercare eventi in CrowdStrike. Nota: l'azione viene eseguita in modo asincrono. Se necessario, modifica il valore di timeout dello script in Google SecOps IDE per l'azione.
Questa azione non viene eseguita sulle entità.
Input azione
L'azione Cerca eventi richiede i seguenti parametri:
| Parametri | |
|---|---|
Repository |
Obbligatorio
Il repository in cui eseguire la ricerca. I valori possibili sono:
|
Query |
Obbligatorio
Query da eseguire in CrowdStrike. Nota: non fornire "head" come parte della query. L'azione lo fornirà automaticamente in base al valore fornito nel parametro "Numero massimo di risultati da restituire". |
Time Frame |
Optional
Periodo di tempo per i risultati. Se è selezionata l'opzione"Personalizzato ", devi fornire anche l'ora di inizio. I valori possibili per Ultima ora sono:
|
Start Time |
Optional
Ora di inizio dei risultati. Se per il parametro "Intervallo di tempo" è selezionato "Personalizzato", questo parametro è obbligatorio. Formato: ISO 8601. |
End Time |
Optional
Il numero di risultati da restituire per la query. L'azione aggiungerà "head" alla query fornita. Valore predefinito: 50. Massimo: 1000. |
Output dell'azione
L'azione Cerca eventi fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
In una bacheca richieste, l'azione Cerca eventi fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
|
L'azione non deve non riuscire o interrompere l'esecuzione di un playbook. |
|
|
Azione non riuscita. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Cerca eventi:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Invia file
Utilizza l'azione Invia file per inviare file a una sandbox in CrowdStrike.
Questa azione richiede una licenza Falcon Sandbox.
Questa azione non viene eseguita sulle entità.
Formati di file e archivi supportati
Secondo il portale CrowdStrike, la sandbox supporta i seguenti formati file:
| Formati di file supportati | |
|---|---|
.exe, .scr, .pif,
.dll, .com, .cpl |
Eseguibili portatili |
.doc, .docx, .ppt,
.pps, .pptx, .ppsx,
.xls, .xlsx, .rtf,
.pub |
Documenti Office |
.pdf |
|
.apk |
APK |
.jar |
JAR eseguibile |
.sct |
Componente script Windows |
.lnk |
Scorciatoia di Windows |
.chm |
Guida di Windows |
.hta |
Applicazione HTML |
.wsf |
File di script Windows |
.js |
JavaScript |
.vbs, .vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1, .psd1, .psm1 |
Powershell |
.svg |
Scalable Vector Graphics |
.py |
Python |
.elf |
Eseguibili ELF di Linux |
.eml |
File email: MIME RFC 822 |
.msg |
File email: Outlook |
Secondo il portale CrowdStrike, la sandbox supporta i seguenti formati di archivio:
.zip.7z
Input azione
L'azione Invia file richiede i seguenti parametri:
| Parametri | |
|---|---|
File Paths |
Obbligatorio
Un elenco dei percorsi assoluti dei file inviati. Il formato dipende dalla tua implementazione:
Per un elenco dei formati di file supportati, consulta Formati di file e archivi supportati. |
Sandbox Environment |
Optional
Un ambiente sandbox da analizzare. Il valore predefinito è
|
Network Environment |
Optional
Un ambiente di rete da analizzare. Il valore predefinito è
|
Archive Password |
Optional
Una password da utilizzare quando lavori con i file di archivio. |
Document Password |
Optional
Una password da utilizzare quando lavori con file Adobe o Office. La lunghezza massima della password è di 32 caratteri. |
Check Duplicate |
Optional
Se selezionata, l'azione verifica se il file è già stato inviato in precedenza e restituisce il report disponibile. Durante la convalida, l'azione non prende in considerazione i parametri Questa opzione è selezionata per impostazione predefinita. |
Comment |
Optional
Un commento da inviare. |
Confidential Submission |
Optional
Se selezionato, il file viene mostrato solo agli utenti all'interno del tuo account cliente. Non selezionato per impostazione predefinita. |
Output dell'azione
L'azione Invia file fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
In una bacheca delle richieste, l'azione Invia file fornisce la seguente tabella:
Colonne:
- Risultati
- Nome
- Punteggio minaccia
- Verdetto
- Tag
Messaggi di output
L'azione Invia file fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
|
L'azione ha restituito un errore. Controlla i formati file supportati per questa azione. |
Waiting for results for the following
files: PATHS |
Messaggio asincrono. |
Error executing action "Submit File".
Reason: ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
Azione non riuscita. Aumenta il timeout nell'IDE. |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Invia file:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Invia URL
Utilizza l'azione Invia URL per inviare URL a una sandbox in CrowdStrike.
Questa azione richiede una licenza Falcon Sandbox. Per verificare quali formati di file sono supportati dalla sandbox, consulta la sezione Formati di file e archivi supportati di questo documento.
Questa azione non viene eseguita sulle entità.
Input azione
L'azione Invia URL richiede i seguenti parametri:
| Parametri | |
|---|---|
URLs |
Obbligatorio
URL da inviare. |
Sandbox Environment |
Optional
Un ambiente sandbox da analizzare. Il valore predefinito è
|
Network Environment |
Optional
Un ambiente di rete da analizzare. Il valore predefinito è
|
Check Duplicate |
Optional
Se selezionata, l'azione verifica se l'URL è già stato inviato in precedenza e restituisce il report disponibile. Durante la convalida, l'azione non prende in considerazione i parametri Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Invia URL fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Invia URL fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Waiting for results for the following
URLs: PATHS |
Messaggio asincrono. |
Error executing action "Submit URL".
Reason: ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
Azione non riuscita. Aumenta il timeout nell'IDE. |
Risultato dello script
La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Invia URL:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna avviso
Utilizza l'azione Aggiorna avviso per aggiornare gli avvisi in CrowdStrike Falcon.
Questa azione non viene eseguita sulle entità.
Input azione
L'azione Aggiorna avviso richiede i seguenti parametri:
| Parametri | |
|---|---|
Alert ID |
Obbligatorio L'ID dell'avviso da aggiornare. |
Status |
Optional Lo stato dell'avviso. I valori possibili sono:
|
Verdict |
Optional Il verdetto per l'avviso. I valori possibili sono:
|
Assign To |
Optional Il nome dell'analista a cui assegnare l'avviso. Se fornisci L'API accetta qualsiasi valore anche se l'utente fornito non esiste nel sistema. |
Output dell'azione
L'azione Aggiorna avviso fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando utilizzi l'azione Aggiorna avviso:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Messaggi di output
L'azione Avviso di aggiornamento fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
Azione riuscita. |
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Aggiorna avviso:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiornamento rilevamento
Utilizza l'azione Aggiorna rilevamento per aggiornare i rilevamenti in CrowdStrike Falcon.
Questa azione viene eseguita su tutte le entità.
Input azione
L'azione Rilevamento aggiornamenti richiede i seguenti parametri:
| Parametri | |
|---|---|
Detection ID |
Obbligatorio
L'ID del rilevamento da aggiornare. |
Status |
Obbligatorio
Uno stato di rilevamento. Il valore predefinito è
|
Assign Detection to |
Optional
Un indirizzo email dell'utente CrowdStrike Falcon che è l'assegnatario del rilevamento. |
Output dell'azione
L'azione Rilevamento aggiornamenti fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Rilevamento aggiornamenti fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
Azione riuscita. |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
Azione non riuscita. Controlla i valori dei parametri |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Rilevamento aggiornamenti:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna il rilevamento di Identity Protection
Utilizza Update Identity Protection Detection per aggiornare un rilevamento di protezione dell'identità in CrowdStrike.
Questa azione richiede una licenza Identity Protection.
Questa azione non viene eseguita sulle entità.
Input azione
L'azione Aggiorna rilevamento protezione dell'identità richiede i seguenti parametri:
| Parametri | |
|---|---|
Detection ID |
Obbligatorio
L'ID del rilevamento da aggiornare. |
Status |
Optional
Lo stato del rilevamento. Il valore predefinito è
I valori possibili sono:
|
Assign to |
Optional
Il nome dell'analista assegnato. Se viene fornito Se viene fornito un valore non valido, l'azione non modifica l'assegnatario corrente. |
Output dell'azione
L'azione Aggiorna rilevamento Identity Protection fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiorna rilevamento protezione identità:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Messaggi di output
In una bacheca delle richieste, l'azione Aggiorna rilevamento protezione dell'identità fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
Azione riuscita. |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
Azione non riuscita. Controlla l'ortografia. |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
Azione non riuscita. Controlla i valori dei parametri |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Aggiorna rilevamento protezione identità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna incidente
Utilizza l'azione Aggiorna incidente per aggiornare gli incidenti in CrowdStrike.
Questa azione non viene eseguita sulle entità.
Input azione
L'azione Aggiorna incidente richiede i seguenti parametri:
| Parametri | |
|---|---|
Incident ID |
Obbligatorio
L'ID dell'incidente da aggiornare. |
Status |
Optional
Lo stato dell'incidente. I valori possibili sono:
|
Assign to |
Optional
Il nome o l'indirizzo email dell'analista assegnato. Se viene fornito Per specificare un nome, fornisci il nome e
il cognome dell'analista nel seguente formato:
|
Output dell'azione
L'azione Aggiorna incidente fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiorna incidente:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Messaggi di output
L'azione Aggiorna incidente fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
Azione riuscita. |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Azione non riuscita. Controlla l'ortografia. |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
Azione non riuscita. Controlla l'ortografia. |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
Azione non riuscita. Controlla i parametri di input. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Aggiorna incidente:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiornare le informazioni sul CIO
Utilizza l'azione Aggiorna informazioni IOC per aggiornare le informazioni sugli IOC personalizzati in CrowdStrike Falcon.
Questa azione considera le entità Hostname come indicatori di compromissione del dominio ed estrae la parte del dominio dagli URL. Questa azione supporta solo gli hash MD5 e SHA-256.
L'azione Aggiorna informazioni IOC viene eseguita sulle seguenti entità:
- Nome host
- URL
- Indirizzo IP
- Hash
Input azione
L'azione Aggiorna informazioni IOC richiede i seguenti parametri:
| Parametri | |
|---|---|
Description |
Optional
Una nuova descrizione per gli IOC personalizzati. |
Source |
Optional
Un'origine per gli IOC personalizzati. |
Expiration days |
Optional
Il numero di giorni rimanenti prima della scadenza. Questo parametro influisce solo sulle entità URL, indirizzo IP e nome host. |
Detect policy |
Optional
Se selezionata, l'azione invia una notifica per gli IOC identificati. Se non selezionata, l'azione non invia alcuna notifica. Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Aggiorna informazioni IOC fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiorna informazioni IOC:
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
Messaggi di output
In una bacheca delle richieste, l'azione Aggiorna informazioni IOC fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori per l'output del risultato dello script quando si utilizza l'azione Aggiorna informazioni IOC:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Carica IOC
Utilizza l'azione Carica indicatori di compromissione per aggiungere indicatori di compromissione personalizzati in CrowdStrike Falcon.
Questa azione considera le entità Hostname come indicatori di compromissione del dominio ed estrae la parte del dominio dagli URL. Questa azione supporta solo gli hash MD5 e SHA-256.
L'azione Carica indicatori di compromissione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
- URL
- Hash
Input azione
L'azione Carica indicatori di compromissione richiede i seguenti parametri:
| Parametri | |
|---|---|
Platform |
Obbligatorio
Un elenco separato da virgole di piattaforme correlate all'indicatore di compromissione. Il valore predefinito è
|
Severity |
Obbligatorio
Una gravità dell'IOC. Il valore predefinito è
|
Comment |
Optional
Un commento contenente maggiori informazioni di contesto relative all'IOC. |
Host Group Name |
Obbligatorio
Il nome del gruppo di host. |
Action |
Optional
Un'azione per gli IOC caricati. Il valore predefinito è I valori possibili sono i seguenti:
Il valore |
Output dell'azione
L'azione Carica indicatori di compromissione fornisce i seguenti output:
| Tipo di output dell'azione | |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Carica indicatori di compromissione fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
Azione non riuscita. Controlla il valore parametro |
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
Azione non riuscita. Controlla il valore parametro |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando si utilizza l'azione Carica indicatori di compromissione:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Connettori
Assicurati di aver configurato le autorizzazioni minime per ogni connettore CrowdStrike. Per maggiori dettagli, consulta la sezione Autorizzazioni del connettore di questo documento.
Per istruzioni su come configurare un connettore in Google SecOps, vedi Importare i dati (connettori).
Eventi CrowdStrike
Gli eventi sono informazioni raccolte dai sensori Falcon sugli host. Esistono quattro tipi di eventi in CrowdStrike:
| Tipi di eventi CrowdStrike | |
|---|---|
| Eventi di controllo dell'attività di autenticazione | Eventi generati ogni volta che l'autorizzazione viene richiesta, consentita o completata sugli endpoint. |
| Eventi di riepilogo del rilevamento | Eventi generati quando vengono rilevate minacce sugli endpoint. |
| Eventi di fine sessione di risposta remota | Eventi generati da sessioni remote sugli endpoint. |
| Eventi di controllo dell'attività utente | Eventi generati per monitorare le attività svolte dagli utenti attivi sugli endpoint. |
I connettori importano gli eventi in Google SecOps per creare avvisi e arricchire i casi con i dati degli eventi. Puoi selezionare gli eventi da importare in Google SecOps: tutti i tipi di eventi o quelli selezionati.
Connettore CrowdStrike Detections
Utilizza il connettore di rilevamento CrowdStrike per estrarre i rilevamenti da CrowdStrike.
L'elenco dinamico funziona con i filtri supportati dall'API CrowdStrike.
Come utilizzare l'elenco dinamico
Quando lavori con l'elenco dinamico, segui i seguenti consigli:
- Utilizza il linguaggio FQL di CrowdStrike per modificare il filtro inviato dal connettore.
- Fornisci una voce separata nell'elenco dinamico per ogni filtro.
Per importare tutti i rilevamenti assegnati a un analista specifico, assicurati che l'analista fornisca la seguente voce di elenco dinamico:
assigned_to_name:'ANALYST_USER_NAME'
L'elenco dinamico supporta i seguenti parametri:
| Parametri supportati | |
|---|---|
q |
Una ricerca a testo intero in tutti i campi dei metadati. |
date_updated |
Una data dell'ultimo aggiornamento del rilevamento. |
assigned_to_name |
Il nome utente leggibile dell'assegnatario del rilevamento. |
max_confidence |
Quando un rilevamento ha più di un comportamento associato con livelli di confidenza diversi, questo campo acquisisce il valore di affidabilità più alto di tutti i comportamenti. Il valore parametro può essere qualsiasi numero intero compreso tra 1 e 100. |
detection_id |
L'ID rilevamento che può essere utilizzato insieme ad altre API, ad esempio l'API Detection Details o l'API Resolve Detection. |
max_severity |
Quando un rilevamento ha più di un comportamento associato con livelli di gravità diversi, questo campo acquisisce il valore di gravità più alto di tutti i comportamenti. Il valore parametro può essere qualsiasi numero intero compreso tra 1 e 100. |
max_severity_displayname |
Il nome utilizzato nell'interfaccia utente per determinare la gravità del rilevamento. I valori possibili sono:
|
seconds_to_triaged |
Il tempo necessario affinché un rilevamento cambi stato da
new a in_progress. |
seconds_to_resolved |
Il tempo necessario affinché un rilevamento cambi stato da
new a uno qualsiasi degli stati risolti (true_positive,
false_positive, ignored e
closed). |
status |
Lo stato attuale del rilevamento. I valori possibili sono i seguenti:
|
adversary_ids |
L'avversario monitorato da CrowdStrike Falcon Intelligence possiede un ID associato ai comportamenti o agli indicatori attribuiti in un rilevamento. Questi ID si trovano in metadati di rilevamento accessibili tramite l'API Dettagli rilevamento. |
cid |
L'ID cliente della tua organizzazione. |
Parametri del connettore
Il connettore CrowdStrike Detections richiede i seguenti parametri:
| Parametri | |
|---|---|
Product Field Name |
Obbligatorio
Il nome del campo di origine che contiene il nome Il valore predefinito è |
Event Field Name |
Obbligatorio
Il nome del campo di origine che contiene il nome Il valore predefinito è |
Environment Field Name |
Optional
Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, viene utilizzato l'ambiente predefinito. Il valore predefinito è |
Environment Regex Pattern |
Optional
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout (Seconds) |
Obbligatorio Il limite di timeout in secondi per il processo Python che esegue lo script corrente. Il valore predefinito è |
API Root |
Obbligatorio
La radice API dell'istanza di CrowdStrike. Il valore predefinito è |
Client ID |
Obbligatorio
L'ID client dell'account CrowdStrike. |
Client Secret |
Obbligatorio
Il client secret dell'account CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
Il punteggio di gravità più basso dei rilevamenti da recuperare. Se non viene fornito alcun valore, il connettore non applica questo filtro. Il valore massimo è Il valore predefinito è
|
Lowest Confidence Score To Fetch |
Optional
Il punteggio di affidabilità più basso dei rilevamenti da recuperare. Se non viene fornito alcun valore, il connettore non applica questo filtro. Il valore massimo è Il valore predefinito è
|
Max Hours Backwards |
Optional
Il numero di ore da cui recuperare i rilevamenti. Il valore predefinito è |
Max Detections To Fetch |
Optional
Il numero di rilevamenti da elaborare in una singola iterazione del connettore. Il valore predefinito è |
Disable Overflow |
Optional Se selezionata, il connettore ignora il meccanismo di overflow. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio
Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server CrowdStrike sia valido. Non selezionato per impostazione predefinita. |
Proxy Server Address |
Optional
Un indirizzo del server proxy da utilizzare. |
Proxy Username |
Optional
Un nome utente proxy per l'autenticazione. |
Proxy Password |
Optional
Una password proxy per l'autenticazione. |
Case Name Template |
Optional
Se fornito, il connettore aggiunge una nuova chiave chiamata Puoi fornire segnaposto
nel seguente formato: [ Nota: il connettore utilizza il primo evento Google SecOps per i segnaposto. Questo parametro consente solo chiavi con un valore stringa. |
Alert Name Template |
Optional
Se fornito, il connettore utilizza questo valore per il nome dell'avviso Google SecOps. Puoi fornire segnaposto
nel seguente formato: [ Nota: se non fornisci alcun valore o un modello non valido, il connettore utilizza il nome dell'avviso predefinito. Il connettore utilizza il primo evento Google SecOps per i segnaposto. Questo parametro consente solo chiavi con un valore stringa. |
Padding Period |
Optional
Il numero di ore che il connettore utilizza per il padding. Il valore massimo è |
Include Hidden Alerts |
Optional
Se attivato, il connettore recupererà anche gli avvisi etichettati come "nascosti" da CrowdStrike. |
Fallback Severity |
Optional
Gravità di fallback per l'avviso Google SecOps da applicare agli avvisi CrowdStrike, per i quali mancano informazioni sulla gravità. Valori possibili: Informativo, Basso, Medio, Alto, Critico. Se non viene fornito nulla, il connettore utilizzerà la gravità "Informativa". |
Customer ID |
Optional L'ID cliente del tenant in cui eseguire il connettore. Per l'utilizzo in ambienti multi-tenant (MSSP). |
Regole del connettore
Il connettore supporta i proxy.
Eventi del connettore
Di seguito è riportato un esempio di evento del connettore:
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
Connettore CrowdStrike Falcon Streaming Events
Il connettore di eventi di streaming CrowdStrike Falcon gestisce i seguenti casi d'uso:
Importazione dei dati degli eventi di rilevamento.
CrowdStrike Falcon rileva un tentativo di esecuzione del file
SophosCleanM.exedannoso su un endpoint. CrowdStrike interrompe l'operazione e crea un avviso contenente gli hash dei file nei dati degli eventi.Un analista interessato alla reputazione dei file esegue gli hash scoperti in VirusTotal e scopre che un hash è dannoso. Come passaggio successivo, l'azione McAfee EDR mette in quarantena il file dannoso.
Importazione dei dati sugli eventi di controllo dell'attività utente.
Un utente di CrowdStrike, Dani, aggiorna lo stato del rilevamento da
newafalse-positive. Questa azione dell'utente crea un evento denominato detection_update.L'analista esegue un follow-up per capire perché Dani ha contrassegnato l'azione come falso positivo e controlla l'evento inserito contenente le informazioni sull'identità di Dani.
Come passaggio successivo, l'analista esegue l'azione Arricchisci entità di Active Directory per ottenere maggiori dettagli sull'incidente e semplificare il rintracciamento di Dani.
Importazione dei dati degli eventi di controllo dell'attività di autenticazione.
Un evento indica che Dani ha creato un nuovo account utente e gli ha assegnato ruoli utente.
Per esaminare l'evento e capire perché è stato creato l'utente, l'analista utilizza l'ID utente di Dani per eseguire l'azione Arricchisci entità di Active Directory e scoprire il ruolo utente di Dani per verificare se è autorizzato ad aggiungere nuovi utenti.
Importazione dei dati degli eventi di fine della risposta remota.
Un evento remoto indica che Dani aveva una connessione remota a un host specifico e ha eseguito comandi come utente root per accedere a una directory del server web.
Per ottenere maggiori informazioni su Dani e sull'host coinvolto, l'analista esegue l'azione Active Directory per arricchire sia l'utente che l'host. In base alle informazioni restituite, l'analista potrebbe decidere di sospendere Dani finché lo scopo della connessione remota non sarà chiarito.
Input del connettore
Il connettore di eventi di streaming CrowdStrike Falcon richiede i seguenti parametri:
| Parametri | |
|---|---|
Product Field Name |
Obbligatorio
Il nome del campo di origine che contiene il nome Il valore predefinito è |
Event Field Name |
Obbligatorio
Il nome del campo di origine che contiene il nome Il valore predefinito è |
Environment Field Name |
Optional
Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, viene utilizzato l'ambiente predefinito. Il valore predefinito è |
Environment Regex Pattern |
Optional
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Alert Name Template |
Optional
Se fornito, il connettore utilizza questo valore per il nome dell'avviso Google SecOps. Puoi fornire segnaposto
nel seguente formato: [ Nota: se non fornisci alcun valore o un modello non valido, il connettore utilizza il nome dell'avviso predefinito. Il connettore utilizza il primo evento Google SecOps per i segnaposto. Questo parametro consente solo chiavi con un valore stringa. |
API Root |
Obbligatorio
La radice API dell'istanza di CrowdStrike. Il valore predefinito è |
Client ID |
Obbligatorio
L'ID client dell'account CrowdStrike. |
Client Secret |
Obbligatorio
Il client secret dell'account CrowdStrike. |
Event types |
Optional
Un elenco separato da virgole di tipi di eventi. Ecco alcuni esempi di tipi di eventi:
|
Max Days Backwards |
Optional
Il numero di giorni prima di oggi da cui recuperare i rilevamenti. Il valore predefinito è |
Max Events Per Cycle |
Optional
Il numero di eventi da elaborare in una singola iterazione del connettore. Il valore predefinito è |
Min Severity |
Optional Eventi da importare in base alla gravità dell'evento (eventi di rilevamento). Il valore va da 0 a 5. Se vengono inseriti altri tipi di eventi oltre ai rilevamenti, la loro gravità viene
impostata su |
Disable Overflow |
Optional Se selezionata, il connettore ignora il meccanismo di overflow. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio
Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server CrowdStrike sia valido. Non selezionato per impostazione predefinita. |
Script Timeout (Seconds) |
Obbligatorio Il limite di timeout per il processo Python che esegue lo script corrente. Il valore predefinito è 60 secondi. |
Proxy Server Address |
Optional
Un indirizzo del server proxy da utilizzare. |
Proxy Username |
Optional
Un nome utente proxy per l'autenticazione. |
Proxy Password |
Optional
Una password proxy per l'autenticazione. |
Rule Generator Template |
Optional
Se fornito, il connettore utilizza questo valore per il generatore di regole Google SecOps. Puoi fornire
segnaposto
nel seguente formato: [ Se non fornisci alcun valore o un modello non valido, il connettore utilizza il generatore di regole predefinito. Il connettore utilizza il primo evento Google SecOps per i segnaposto. Questo parametro consente solo chiavi con un valore stringa. |
Customer ID |
Optional L'ID cliente del tenant in cui eseguire il connettore. Per l'utilizzo in ambienti multi-tenant (MSSP). |
Regole del connettore
Questo connettore supporta i proxy.
Questo connettore non supporta l'elenco dinamico.
Connettore di rilevamento della protezione dell'identità CrowdStrike
Utilizza il connettore di rilevamento della protezione dell'identità di CrowdStrike per estrarre i rilevamenti della protezione dell'identità da CrowdStrike. L'elenco dinamico funziona con
il parametro display_name.
Questo connettore richiede una licenza Identity Protection.
Input del connettore
Il connettore di rilevamento di CrowdStrike Identity Protection richiede i seguenti parametri:
| Parametri | |
|---|---|
Product Field Name |
Obbligatorio
Il nome del campo di origine che contiene il nome Il valore predefinito è |
Event Field Name |
Obbligatorio
Il nome del campo di origine che contiene il nome Il valore predefinito è |
Environment Field Name |
Optional
Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, viene utilizzato l'ambiente predefinito. Il valore predefinito è |
Environment Regex Pattern |
Optional
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout (Seconds) |
Obbligatorio Il limite di timeout in secondi per il processo Python che esegue lo script corrente. Il valore predefinito è |
API Root |
Obbligatorio
La radice API dell'istanza di CrowdStrike. Il valore predefinito è |
Client ID |
Obbligatorio
L'ID client dell'account CrowdStrike. |
Client Secret |
Obbligatorio
Il client secret dell'account CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
Il punteggio di gravità più basso dei rilevamenti da recuperare. Se non viene fornito alcun valore, il connettore non applica questo filtro. Il valore massimo è Il valore predefinito è
Il connettore supporta anche i seguenti valori per questo parametro:
|
Lowest Confidence Score To Fetch |
Optional
il punteggio di affidabilità più basso dei rilevamenti da recuperare. Se non viene fornito alcun valore, il connettore non applica questo filtro. Il valore massimo è Il valore predefinito è
|
Max Hours Backwards |
Optional
Il numero di ore prima di ora da cui recuperare i rilevamenti. Il valore predefinito è |
Max Detections To Fetch |
Optional
Il numero di rilevamenti da elaborare in una singola iterazione del connettore. Il valore predefinito è |
Case Name Template |
Optional
Se fornito, il connettore aggiunge una nuova chiave chiamata Puoi fornire segnaposto
nel seguente formato: [ Nota: il connettore utilizza il primo evento Google SecOps per i segnaposto. Questo parametro consente solo chiavi con un valore stringa. |
Alert Name Template |
Optional
Se fornito, il connettore utilizza questo valore per il nome dell'avviso Google SecOps. Puoi fornire segnaposto
nel seguente formato: [ Nota: se non fornisci alcun valore o un modello non valido, il connettore utilizza il nome dell'avviso predefinito. Il connettore utilizza il primo evento Google SecOps per i segnaposto. Questo parametro consente solo chiavi con un valore stringa. |
Disable Overflow |
Optional Se selezionata, il connettore ignora il meccanismo di overflow. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio
Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server CrowdStrike sia valido. Non selezionato per impostazione predefinita. |
Proxy Server Address |
Optional
Un indirizzo del server proxy da utilizzare. |
Proxy Username |
Optional
Un nome utente proxy per l'autenticazione. |
Proxy Password |
Optional
Una password proxy per l'autenticazione. |
Customer ID |
Optional L'ID cliente del tenant in cui eseguire il connettore. Per l'utilizzo in ambienti multi-tenant (MSSP). |
Regole del connettore
Questo connettore supporta i proxy.
Evento connettore
Di seguito è riportato un esempio di evento del connettore:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Connettore per gli incidenti di CrowdStrike
Utilizza il connettore per incidenti CrowdStrike per estrarre incidenti e comportamenti correlati da CrowdStrike.
L'elenco dinamico funziona con il parametro incident_type.
Parametri del connettore
Il connettore di CrowdStrike Incidents richiede i seguenti parametri:
| Parametri | |
|---|---|
Product Field Name |
Obbligatorio
Il nome del campo di origine che contiene il nome Il valore predefinito è |
Event Field Name |
Obbligatorio
Il nome del campo di origine che contiene il nome Il valore predefinito è |
Environment Field Name |
Optional
Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, viene utilizzato l'ambiente predefinito. Il valore predefinito è |
Environment Regex Pattern |
Optional
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout (Seconds) |
Obbligatorio Il limite di timeout in secondi per il processo Python che esegue lo script corrente. Il valore predefinito è |
API Root |
Obbligatorio
La radice API dell'istanza di CrowdStrike. Il valore predefinito è |
Client ID |
Obbligatorio
L'ID client dell'account CrowdStrike. |
Client Secret |
Obbligatorio
Il client secret dell'account CrowdStrike. |
Lowest Severity Score To Fetch |
Optional
Il punteggio di gravità più basso degli incidenti da recuperare. Se non viene fornito alcun valore, il connettore acquisisce gli incidenti con tutte le gravità. Il valore massimo è
|
Max Hours Backwards |
Optional
Il numero di ore prima di ora da cui recuperare gli incidenti. Il valore predefinito è |
Max Incidents To Fetch |
Optional
Il numero di incidenti da elaborare in una singola iterazione del connettore. Il valore massimo è Il valore predefinito è
|
Use dynamic list as a blocklist |
Obbligatorio
Se selezionata, la lista dinamica viene utilizzata come blocklist. Non selezionato per impostazione predefinita. |
Disable Overflow |
Optional Se selezionata, il connettore ignora il meccanismo di overflow. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio
Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server CrowdStrike sia valido. Non selezionato per impostazione predefinita. |
Proxy Server Address |
Optional
Un indirizzo del server proxy da utilizzare. |
Proxy Username |
Optional
Un nome utente proxy per l'autenticazione. |
Proxy Password |
Optional
Una password proxy per l'autenticazione. |
Customer ID |
Optional L'ID cliente del tenant in cui eseguire il connettore. Per l'utilizzo in ambienti multi-tenant (MSSP). |
Regole del connettore
Questo connettore supporta i proxy.
Eventi del connettore
Il connettore per incidenti CrowdStrike ha due tipi di eventi: uno basato sull'incidente e l'altro sul comportamento.
Di seguito è riportato un esempio di evento basato su un incidente:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Ecco un esempio di evento basato sul comportamento:
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike - Alerts Connector
Utilizza il connettore CrowdStrike - Avvisi per estrarre gli avvisi da CrowdStrike.
L'elenco dinamico funziona con il parametro display_name.
Per recuperare i rilevamenti di Identity Protection, utilizza il connettore Identity Protection Detections.
Input del connettore
Il connettore CrowdStrike - Avvisi richiede i seguenti parametri:
| Parametri | |
|---|---|
Product Field Name |
Obbligatorio
Il nome del campo di origine che contiene il nome Il valore predefinito è |
Event Field Name |
Obbligatorio
Il nome del campo di origine che contiene il nome Il valore predefinito è |
Environment Field Name |
Optional
Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, viene utilizzato l'ambiente predefinito. Il valore predefinito è |
Environment Regex Pattern |
Optional
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout (Seconds) |
Obbligatorio Limite di timeout in secondi per il processo Python che esegue lo script corrente. Il valore predefinito è |
API Root |
Obbligatorio
La radice API dell'istanza di CrowdStrike. Il valore predefinito è |
Client ID |
Obbligatorio
L'ID client dell'account CrowdStrike. |
Client Secret |
Obbligatorio
Il client secret dell'account CrowdStrike. |
Case Name Template |
Optional
Se fornito, il connettore aggiunge una nuova chiave chiamata Puoi fornire segnaposto
nel seguente formato: [ Nota: il connettore utilizza il primo evento Google SecOps per i segnaposto. Questo parametro consente solo chiavi con un valore stringa. |
Alert Name Template |
Optional
Se fornito, il connettore utilizza questo valore per il nome dell'avviso Google SecOps. Puoi fornire segnaposto
nel seguente formato: [ Nota: se non fornisci alcun valore o un modello non valido, il connettore utilizza il nome dell'avviso predefinito. Il connettore utilizza il primo evento Google SecOps per i segnaposto. Questo parametro consente solo chiavi con un valore stringa. |
Lowest Severity Score To Fetch |
Optional
Il punteggio di gravità più basso degli incidenti da recuperare. Se non viene fornito alcun valore, il connettore acquisisce gli incidenti con tutte le gravità. Il valore massimo è
Nell'interfaccia utente di CrowdStrike, lo stesso valore viene presentato diviso per 10. |
Max Hours Backwards |
Optional
Il numero di ore prima di ora da cui recuperare gli incidenti. Il valore predefinito è |
Max Alerts To Fetch |
Optional
Il numero di avvisi da elaborare in una singola iterazione del connettore. Il valore massimo è Il valore predefinito è
|
Use dynamic list as a blocklist |
Obbligatorio
Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Non selezionato per impostazione predefinita. |
Disable Overflow |
Optional Se selezionata, il connettore ignora il meccanismo di overflow. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio
Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server CrowdStrike sia valido. Non selezionato per impostazione predefinita. |
Proxy Server Address |
Optional
Un indirizzo del server proxy da utilizzare. |
Proxy Username |
Optional
Un nome utente proxy per l'autenticazione. |
Proxy Password |
Optional
Una password proxy per l'autenticazione. |
Customer ID |
Optional L'ID cliente del tenant in cui eseguire il connettore. Per l'utilizzo in ambienti multi-tenant (MSSP). |
Regole del connettore
Questo connettore supporta i proxy.
Eventi del connettore
Ecco un esempio di evento basato sugli avvisi:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.