CrowdStrike Falcon을 Google SecOps와 통합
이 문서에서는 CrowdStrike Falcon을 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
통합 버전: 56.0
이 통합은 오픈소스 구성요소를 하나 이상 사용합니다. Cloud Storage 버킷에서 이 통합의 전체 소스 코드 사본을 다운로드할 수 있습니다.
사용 사례
Google SecOps 플랫폼에서 CrowdStrike Falcon 통합은 다음 사용 사례를 해결합니다.
자동 멀웨어 격리: Google SecOps 플랫폼의 기능을 사용하여 영향을 받는 엔드포인트를 자동으로 격리하고, 추가 분석을 위해 파일 해시를 검색하고, 멀웨어 확산을 방지합니다. 피싱 이메일로 인해 의심스러운 파일 다운로드에 대한 CrowdStrike Falcon 알림이 트리거되면 자동 멀웨어 차단이 활성화됩니다.
사고 대응 가속화: Google SecOps를 사용하여 프로세스 트리, 네트워크 연결과 같은 컨텍스트 데이터를 수집하고, 손상된 호스트를 격리하고, 조사를 위한 티켓을 생성합니다.
위협 헌팅 및 조사: Google SecOps 플랫폼의 기능을 사용하여 정의된 기간 동안 CrowdStrike Falcon에서 특정 사용자 작업, 파일 수정, 네트워크 연결을 쿼리합니다. 위협 헌팅 및 조사를 통해 보안 분석가는 조사 프로세스를 간소화하면서 잠재적인 내부자 위협을 조사하고 과거 엔드포인트 활동을 분석할 수 있습니다.
피싱 대응 및 해결: CrowdStrike Falcon 및 Google SecOps 플랫폼을 사용하여 이메일 첨부파일을 검사하고, 샌드박스 환경에서 열고, 악성 활동이 감지되면 발신자 이메일 주소를 자동으로 차단합니다.
취약점 관리: Google SecOps 플랫폼의 기능을 사용하여 취약한 시스템별로 티켓을 자동으로 생성하고, 심각도와 애셋 가치에 따라 우선순위를 지정하고, 자동 패치 워크플로를 트리거합니다. 취약점 관리를 사용하면 여러 엔드포인트에서 심각한 취약점을 식별할 수 있습니다.
시작하기 전에
Google SecOps에서 통합을 구성하기 전에 다음 단계를 완료하세요.
CrowdStrike Falcon API 클라이언트를 구성합니다.
작업 권한을 구성합니다.
커넥터 권한을 구성합니다.
CrowdStrike Falcon API 클라이언트 구성
CrowdStrike API 클라이언트를 정의하고 API 클라이언트 또는 키를 보거나 만들거나 수정하려면 FalconAdministrator 역할이 있어야 합니다.
시크릿은 새 API 클라이언트를 만들거나 API 클라이언트를 재설정할 때만 표시됩니다.
CrowdStrike Falcon API 클라이언트를 구성하려면 다음 단계를 완료하세요.
- Falcon UI에서 지원 및 리소스 > 리소스 및 도구 > API 클라이언트 및 키로 이동합니다. 이 페이지에서 기존 클라이언트를 찾거나, 새 API 클라이언트를 추가하거나, 감사 로그를 볼 수 있습니다.
- API 클라이언트 만들기를 클릭합니다.
- 새 API 클라이언트의 이름을 입력합니다.
- 적절한 API 범위를 선택합니다.
만들기를 클릭합니다. 클라이언트 ID와 클라이언트 보안 비밀번호 값이 표시됩니다.
클라이언트 보안 비밀번호 값은 이번에만 표시됩니다. 안전하게 보관하세요. 클라이언트 보안 비밀번호를 분실한 경우 API 클라이언트를 재설정하고 클라이언트 보안 비밀번호를 사용하는 모든 애플리케이션을 새 사용자 인증 정보로 업데이트하세요.
CrowdStrike API 액세스에 관한 자세한 내용은 CrowdStrike 블로그의 Getting Access to the CrowdStrike API 가이드를 참고하세요.
작업 권한 구성
다음 표에 나열된 작업의 최소 권한을 참고하세요.
| 작업 | 필수 권한 |
|---|---|
| 감지에 댓글 추가 | Detections.ReadDetection.Write |
| ID 보호 감지 댓글 추가 | Alerts.ReadAlerts.Write |
| Add Incident Comment(인시던트 댓글 추가) | Incidents.Write |
| 감지 닫기 | Detections.ReadDetection.Write |
| 엔드포인트 격리 | Hosts.ReadHosts.Write |
| IOC 삭제 | IOC Management.ReadIOC Management.Write |
| 파일 다운로드 | Hosts.ReadReal time response.ReadReal time response.Write |
| 명령어 실행 | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write*(전체 권한 명령어)
|
| 이벤트 오프셋 가져오기 | Event streams.Read |
| IOC별 호스트 가져오기 | 사용할 수 없음: 지원 중단됨 |
| 호스트 정보 가져오기 | Hosts.Read |
| IOC로 프로세스 이름 가져오기 | 사용할 수 없음: 지원 중단됨 |
| 포함된 엔드포인트 리프트 | Hosts.ReadHosts.Write |
| 호스트 나열 | Hosts.Read |
| 호스트 취약점 나열 | Hosts.ReadSpotlight vulnerabilities.Read |
| 업로드된 IOC 나열 | IOC Management.Read |
| 주문형 스캔 | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| 핑 | Hosts.Read |
| 파일 제출 | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| URL 제출 | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| 감지 업데이트 | Detections.ReadDetection.WriteUser management.Read |
| ID 보호 감지 업데이트 | Alerts.ReadAlerts.Write |
| 사고 업데이트 | Incidents.Write |
| IOC 정보 업데이트 | IOC Management.ReadIOC Management.Write |
| IOC 업로드 | IOC Management.ReadIOC Management.Write |
커넥터 권한 구성
다음 표에 나열된 커넥터의 최소 권한을 참고하세요.
| 커넥터 | 필수 권한 |
|---|---|
| CrowdStrike 감지 커넥터 | Detection.Read |
| CrowdStrike Falcon 스트리밍 이벤트 커넥터 | Event streams.Read |
| CrowdStrike Identity Protection 감지 커넥터 | Alerts.Read |
| CrowdStrike Incidents Connector | Incidents.Read |
엔드포인트
CrowdStrike Falcon 통합은 다음 CrowdStrike Falcon API 엔드포인트와 상호작용합니다.
일반 API 엔드포인트:
/oauth2/token
호스트 및 기기:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
감지 및 이벤트:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
침해 지표 (IOC):
/intel/entities/indicators/v1/intel/queries/devices/v1
취약점:
/devices/combined/devices/vulnerabilities/v1
대응 및 봉쇄:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
이슈:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
파일 및 URL 분석:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
통합 매개변수
통합이 제대로 작동하려면 모든 기능을 갖춘 CrowdStrike Falcon의 프리미엄 버전이 필요합니다. 특정 작업은 CrowdStrike Falcon의 기본 버전에서 작동하지 않습니다.
CrowdStrike Falcon 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
API Root |
CrowdStrike 인스턴스의 API 루트입니다. 기본값은 |
Client API ID |
필수 CrowdStrike API의 클라이언트 ID입니다. |
Client API Secret |
필수 CrowdStrike API의 클라이언트 보안 비밀번호입니다. |
Verify SSL |
선택하면 통합에서 CrowdStrike Falcon 서버에 연결하는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되지 않습니다. |
Customer ID |
선택사항 통합을 실행할 테넌트의 고객 ID입니다. 멀티 테넌트 (MSSP) 환경에서 사용됩니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 다중 인스턴스 지원을 참고하세요.
작업
통합 구성을 진행하기 전에 모든 통합 항목에 필요한 최소 권한을 구성합니다. 자세한 내용은 이 문서의 작업 권한 섹션을 참고하세요.
알림 댓글 추가
알림 댓글 추가 작업을 사용하여 CrowdStrike Falcon의 알림에 댓글을 추가합니다.
이 작업은 항목에서 실행되지 않습니다.
작업 입력
알림 댓글 추가 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Alert |
필수 업데이트할 알림의 ID입니다. |
Comment |
필수 알림에 추가할 댓글입니다. |
작업 출력
알림 댓글 추가 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
알림 댓글 추가 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
작업이 완료되었습니다. |
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 알림 댓글 추가 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
감지에 댓글 추가
감지에 댓글 추가 작업을 사용하여 CrowdStrike Falcon의 감지에 댓글을 추가합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
감지에 댓글 추가 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Detection ID |
필수
댓글을 추가할 감지의 ID입니다. |
Comment |
필수
감지에 추가할 댓글입니다. |
작업 출력
감지에 댓글 추가 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 감지에 댓글 추가 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
ID 보호 감지 댓글 추가
ID 보호 감지 댓글 추가 작업을 사용하여 CrowdStrike의 ID 보호 감지에 댓글을 추가합니다.
이 작업을 수행하려면 Identity Protection 라이선스가 필요합니다.
이 작업은 항목에서 실행되지 않습니다.
작업 입력
ID 보호 감지 주석 추가 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Detection ID |
필수
업데이트할 감지의 ID입니다. |
Comment |
필수
감지에 추가할 댓글입니다. |
작업 출력
ID 보호 감지 댓글 추가 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
ID 보호 감지 댓글 추가 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
작업이 완료되었습니다. |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
작업이 실패했습니다. 맞춤법을 확인하세요. |
스크립트 결과
다음 표에서는 ID 보호 감지 댓글 추가 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
Add Incident Comment(인시던트 댓글 추가)
Add Incident Comment(인시던트 댓글 추가) 작업을 사용하여 CrowdStrike의 인시던트에 댓글을 추가합니다.
이 작업은 항목에서 실행되지 않습니다.
작업 입력
Add Incident Comment(인시던트 댓글 추가) 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Incident ID |
필수
업데이트할 인시던트의 ID입니다. |
Comment |
필수
인시던트에 추가할 댓글입니다. |
작업 출력
Add Incident Comment(인시던트 댓글 추가) 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
Add Incident Comment(인시던트 댓글 추가) 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
작업이 완료되었습니다. |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
작업이 실패했습니다. 맞춤법을 확인하세요. |
스크립트 결과
다음 표에서는 인시던트 댓글 추가 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
감지 닫기
감지 닫기 작업을 사용하여 CrowdStrike Falcon 감지를 닫습니다.
업데이트 감지 작업은 이 사용 사례에 가장 적합한 방법입니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
감지 종료 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Detection ID |
필수
종료할 감지의 ID입니다. |
Hide Detection |
선택사항
선택하면 작업이 UI에서 감지를 숨깁니다. 기본적으로 선택됩니다. |
작업 출력
감지 닫기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 닫기 감지 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트 격리
엔드포인트 포함 작업을 사용하여 CrowdStrike Falcon에서 엔드포인트를 포함합니다.
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 입력
엔드포인트 포함 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Fail If Timeout |
필수
선택되었는데 일부 엔드포인트가 포함되지 않으면 작업이 실패합니다. 기본적으로 선택되어 있습니다. |
작업 출력
엔드포인트 포함 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
항목 보강
엔드포인트 포함 작업은 다음 엔티티 보강 로직을 지원합니다.
| 보강 필드 | 논리 |
|---|---|
status |
JSON 결과에 존재하는 경우에 반환 |
modified_timestamp |
JSON 결과에 존재하는 경우에 반환 |
major_version |
JSON 결과에 존재하는 경우에 반환 |
policies |
JSON 결과에 존재하는 경우에 반환 |
config_id_platform |
JSON 결과에 존재하는 경우에 반환 |
bios_manufacturer |
JSON 결과에 존재하는 경우에 반환 |
system_manufacturer |
JSON 결과에 존재하는 경우에 반환 |
device_policies |
JSON 결과에 존재하는 경우에 반환 |
meta |
JSON 결과에 존재하는 경우에 반환 |
pointer_size |
JSON 결과에 존재하는 경우에 반환 |
last_seen |
JSON 결과에 존재하는 경우에 반환 |
agent_local_time |
JSON 결과에 존재하는 경우에 반환 |
first_seen |
JSON 결과에 존재하는 경우에 반환 |
service_pack_major |
JSON 결과에 존재하는 경우에 반환 |
slow_changing_modified_timestamp |
JSON 결과에 존재하는 경우에 반환 |
service_pack_minor |
JSON 결과에 존재하는 경우에 반환 |
system_product_name |
JSON 결과에 존재하는 경우에 반환 |
product_type_desc |
JSON 결과에 존재하는 경우에 반환 |
build_number |
JSON 결과에 존재하는 경우에 반환 |
cid |
JSON 결과에 존재하는 경우에 반환 |
local_ip |
JSON 결과에 존재하는 경우에 반환 |
external_ip |
JSON 결과에 존재하는 경우에 반환 |
hostname |
JSON 결과에 존재하는 경우에 반환 |
config_id_build |
JSON 결과에 존재하는 경우에 반환 |
minor_version |
JSON 결과에 존재하는 경우에 반환 |
platform_id |
JSON 결과에 존재하는 경우에 반환 |
os_version |
JSON 결과에 존재하는 경우에 반환 |
config_id_base |
JSON 결과에 존재하는 경우에 반환 |
provision_status |
JSON 결과에 존재하는 경우에 반환 |
mac_address |
JSON 결과에 존재하는 경우에 반환 |
bios_version |
JSON 결과에 존재하는 경우에 반환 |
platform_name |
JSON 결과에 존재하는 경우에 반환 |
agent_load_flags |
JSON 결과에 존재하는 경우에 반환 |
device_id |
JSON 결과에 존재하는 경우에 반환 |
product_type |
JSON 결과에 존재하는 경우에 반환 |
agent_version |
JSON 결과에 존재하는 경우에 반환 |
JSON 결과
다음 예에서는 Contain Endpoint 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
출력 메시지
엔드포인트 포함 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
작업이 실패했습니다. 엔드포인트 상태와 |
스크립트 결과
다음 표에서는 엔드포인트 포함 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
IOC 삭제
IOC 삭제 작업을 사용하여 CrowdStrike Falcon에서 맞춤 IOC를 삭제합니다.
이 작업은 호스트 이름 항목을 도메인 IOC로 처리하고 URL에서 도메인 부분을 추출합니다. 이 작업은 MD5 및 SHA-256 해시만 지원합니다.
IOC 삭제 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
- URL
- 해시
작업 입력
없음
작업 출력
IOC 삭제 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 IOC 삭제 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
출력 메시지
케이스 월에서 IOC 삭제 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
파일 다운로드
파일 다운로드 작업을 사용하여 CrowdStrike Falcon의 호스트에서 파일을 다운로드합니다.
이 작업을 수행하려면 파일 이름과 IP 주소 또는 호스트 이름 항목이 Google SecOps 알림 범위에 있어야 합니다.
다운로드한 파일은 비밀번호로 보호된 ZIP 패키지에서 찾을 수 있습니다. 파일에 액세스하려면 infected 비밀번호를 입력하세요.
파일 다운로드 작업은 다음 항목에서 실행됩니다.
- 파일 이름
- IP 주소
- 호스트
작업 입력
파일 다운로드 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Download Folder Path |
필수
다운로드한 파일을 저장하는 폴더의 경로입니다. 형식은 배포에 따라 다릅니다.
|
Overwrite |
필수
선택하면 작업에서 같은 이름의 파일을 덮어씁니다. 기본적으로 선택되지 않습니다. |
작업 출력
파일 다운로드 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 표 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
항목 표
파일 다운로드 작업은 다음 항목 표를 제공합니다.
| 항목 | |
|---|---|
filepath |
파일의 절대 경로입니다. |
JSON 결과
다음 예에서는 파일 다운로드 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
출력 메시지
파일 다운로드 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Download
File". Reason: ERROR_REASON
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
작업이 실패했습니다.
|
Waiting for results for the following
entities: ENTITY_ID |
비동기 메시지입니다. |
스크립트 결과
다음 표에서는 파일 다운로드 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
명령어 실행
명령어 실행 작업을 사용하여 CrowdStrike Falcon의 호스트에서 명령어를 실행합니다.
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 입력
명령어 실행 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Command |
필수
호스트에서 실행할 명령어입니다. |
Admin Command |
선택사항
기본적으로 |
작업 출력
명령어 실행 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
케이스 월에서 명령어 실행 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
작업이 완료되었습니다. |
Error executing action "Execute Command". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Waiting for results for the following
entities: ENTITY_ID |
비동기 메시지입니다. |
스크립트 결과
다음 표에서는 명령어 실행 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
알림 세부정보 가져오기
알림 세부정보 가져오기 작업을 사용하여 CrowdStrike Falcon의 알림 세부정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
알림 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수 항목입니다. 세부정보를 가져올 알림의 고유 ID입니다. |
작업 출력
알림 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 알림 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
출력 메시지
알림 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 알림 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
이벤트 오프셋 가져오기
이벤트 오프셋 가져오기 작업을 사용하여 스트리밍 이벤트 커넥터에서 사용되는 이벤트 오프셋을 가져옵니다.
이 작업은 30일 전부터 이벤트 처리를 시작합니다.
이 작업은 항목에서 실행되지 않습니다.
작업 입력
이벤트 오프셋 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Max Events To Process |
필수
작업이 30일 전부터 처리해야 하는 이벤트 수입니다. 기본값은 |
작업 출력
이벤트 오프셋 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예에서는 이벤트 오프셋 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
출력 메시지
이벤트 오프셋 가져오기 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
작업이 완료되었습니다. |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 이벤트 오프셋 가져오기 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
호스트 정보 가져오기
호스트 정보 가져오기 작업을 사용하여 CrowdStrike Falcon에서 호스트 이름에 관한 정보를 가져옵니다.
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- IP 주소
작업 입력
호스트 정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Create Insight |
선택사항
선택하면 작업에서 항목에 관한 정보가 포함된 통계를 만듭니다. 기본적으로 선택되어 있습니다. |
작업 출력
호스트 정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
항목 보강
호스트 정보 가져오기 작업은 다음 엔티티 보강 로직을 지원합니다.
| 보강 필드 | 논리 |
|---|---|
modified_timestamp |
JSON 결과에 존재하는 경우에 반환 |
major_version |
JSON 결과에 존재하는 경우에 반환 |
site_name |
JSON 결과에 존재하는 경우에 반환 |
platform_id |
JSON 결과에 존재하는 경우에 반환 |
config_id_platform |
JSON 결과에 존재하는 경우에 반환 |
system_manufacturer |
JSON 결과에 존재하는 경우에 반환 |
meta |
JSON 결과에 존재하는 경우에 반환 |
first_seen |
JSON 결과에 존재하는 경우에 반환 |
service_pack_minor |
JSON 결과에 존재하는 경우에 반환 |
product_type_desc |
JSON 결과에 존재하는 경우에 반환 |
build_number |
JSON 결과에 존재하는 경우에 반환 |
hostname |
JSON 결과에 존재하는 경우에 반환 |
config_id_build |
JSON 결과에 존재하는 경우에 반환 |
minor_version |
JSON 결과에 존재하는 경우에 반환 |
os_version |
JSON 결과에 존재하는 경우에 반환 |
provision_status |
JSON 결과에 존재하는 경우에 반환 |
mac_address |
JSON 결과에 존재하는 경우에 반환 |
bios_version |
JSON 결과에 존재하는 경우에 반환 |
agent_load_flags |
JSON 결과에 존재하는 경우에 반환 |
status |
JSON 결과에 존재하는 경우에 반환 |
bios_manufacturer |
JSON 결과에 존재하는 경우에 반환 |
machine_domain |
JSON 결과에 존재하는 경우에 반환 |
agent_local_time |
JSON 결과에 존재하는 경우에 반환 |
slow_changing_modified_timestamp |
JSON 결과에 존재하는 경우에 반환 |
service_pack_major |
JSON 결과에 존재하는 경우에 반환 |
device_id |
JSON 결과에 존재하는 경우에 반환 |
system_product_name |
JSON 결과에 존재하는 경우에 반환 |
product_type |
JSON 결과에 존재하는 경우에 반환 |
local_ip |
JSON 결과에 존재하는 경우에 반환 |
external_ip |
JSON 결과에 존재하는 경우에 반환 |
cid |
JSON 결과에 존재하는 경우에 반환 |
platform_name |
JSON 결과에 존재하는 경우에 반환 |
config_id_base |
JSON 결과에 존재하는 경우에 반환 |
last_seen |
JSON 결과에 존재하는 경우에 반환 |
pointer_size |
JSON 결과에 존재하는 경우에 반환 |
agent_version |
JSON 결과에 존재하는 경우에 반환 |
JSON 결과
다음 예에서는 호스트 정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
출력 메시지
호스트 정보 가져오기 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 호스트 정보 가져오기 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
IOC별 호스트 가져오기 - 지원 중단됨
CrowdStrike Falcon의 IOC와 관련된 호스트를 나열합니다. 지원되는 항목:
호스트 이름, URL, IP 주소, 해시
참고: 호스트 이름 항목은 도메인 IOC로 취급됩니다. 이 작업은 URL에서 도메인 부분을 추출합니다. MD5 및 SHA-256 해시만 지원됩니다.
항목
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
- URL
- 해시
작업 입력
해당 사항 없음
작업 출력
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
항목 보강
| 보강 필드 | 논리 |
|---|---|
| modified_timestamp | JSON 결과에 존재하는 경우에 반환 |
| major_version | JSON 결과에 존재하는 경우에 반환 |
| site_name | JSON 결과에 존재하는 경우에 반환 |
| platform_id | JSON 결과에 존재하는 경우에 반환 |
| config_id_platform | JSON 결과에 존재하는 경우에 반환 |
| system_manufacturer | JSON 결과에 존재하는 경우에 반환 |
| meta | JSON 결과에 존재하는 경우에 반환 |
| first_seen | JSON 결과에 존재하는 경우에 반환 |
| service_pack_minor | JSON 결과에 존재하는 경우에 반환 |
| product_type_desc | JSON 결과에 존재하는 경우에 반환 |
| build_number | JSON 결과에 존재하는 경우에 반환 |
| 호스트 이름 | JSON 결과에 존재하는 경우에 반환 |
| config_id_build | JSON 결과에 존재하는 경우에 반환 |
| minor_version | JSON 결과에 존재하는 경우에 반환 |
| os_version | JSON 결과에 존재하는 경우에 반환 |
| provision_status | JSON 결과에 존재하는 경우에 반환 |
| mac_address | JSON 결과에 존재하는 경우에 반환 |
| bios_version | JSON 결과에 존재하는 경우에 반환 |
| agent_load_flags | JSON 결과에 존재하는 경우에 반환 |
| 상태 | JSON 결과에 존재하는 경우에 반환 |
| bios_manufacturer | JSON 결과에 존재하는 경우에 반환 |
| machine_domain | JSON 결과에 존재하는 경우에 반환 |
| Device_policies | JSON 결과에 존재하는 경우에 반환 |
| agent_local_time | JSON 결과에 존재하는 경우에 반환 |
| slow_changing_modified_timestamp | JSON 결과에 존재하는 경우에 반환 |
| service_pack_major | JSON 결과에 존재하는 경우에 반환 |
| system_product_name | JSON 결과에 존재하는 경우에 반환 |
| product_type | JSON 결과에 존재하는 경우에 반환 |
| local_ip | JSON 결과에 존재하는 경우에 반환 |
| external_ip | JSON 결과에 존재하는 경우에 반환 |
| cid | JSON 결과에 존재하는 경우에 반환 |
| platform_name | JSON 결과에 존재하는 경우에 반환 |
| config_id_base | JSON 결과에 존재하는 경우에 반환 |
| 정책 | JSON 결과에 존재하는 경우에 반환 |
| last_seen | JSON 결과에 존재하는 경우에 반환 |
| pointer_size | JSON 결과에 존재하는 경우에 반환 |
| agent_version | JSON 결과에 존재하는 경우에 반환 |
항목 통계
해당 사항 없음
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다. 성공하고 제공된 IOC와 관련된 호스트가 하나 이상 발견된 경우 (is_success=true): 'CrowdStrike Falcon에서 제공된 IOC와 관련된 호스트를 가져왔습니다.' 관련 호스트가 없는 경우 (is_success=false): 'CrowdStrike Falcon에서 제공된 IOC와 관련된 호스트가 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 심각한 오류가 보고된 경우: "{작업 이름} 작업을 실행하는 동안 오류가 발생했습니다. 이유: {traceback}.' |
일반 |
IOC로 프로세스 이름 가져오기 - 지원 중단됨
CrowdStrike Falcon에서 IOC 및 제공된 기기와 관련된 프로세스를 가져옵니다. 지원되는 항목: 호스트 이름, URL, IP 주소, 해시
참고: 호스트 이름 항목은 도메인 IOC로 취급됩니다. 이 작업은 URL에서 도메인 부분을 추출합니다. MD5, SHA-1, SHA-256 해시만 지원됩니다. IP 주소 항목은 IOC로 처리됩니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기기 이름 | 11 | 해당 사항 없음 | 예 | 엔티티와 관련된 프로세스를 가져올 기기를 쉼표로 구분된 목록으로 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- URL
- 해시
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 프로세스 이름 | JSON 결과에 존재하는 경우에 반환 |
| 표시기 | JSON 결과에 존재하는 경우에 반환 |
| 호스트 이름 | JSON 결과에 존재하는 경우에 반환 |
항목 통계
해당 사항 없음
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다. 하나 이상의 엔드포인트에 대한 항목과 관련된 프로세스를 찾은 경우(is_success=true): 'CrowdStrike Falcon: {device name}의 다음 엔드포인트에서 IOC와 관련된 프로세스를 가져왔습니다.' 하나 이상의 엔드포인트에 프로세스가 없거나 기기를 찾을 수 없는 경우 (is_success=true): "CrowdStrike Falcon의 다음 엔드포인트에 관련 프로세스가 없습니다. {device name}" 모든 엔드포인트에 프로세스가 없거나 기기가 없는 경우 (is_success=false): 'CrowdStrike Falcon에서 제공된 엔드포인트에 관련 프로세스가 없습니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. 심각한 오류가 보고된 경우: '{작업 이름}을 실행하는 중에 오류가 발생했습니다. 이유: {trace back}.' |
Vertex 세부정보 가져오기
Vertex 세부정보 가져오기 작업을 사용하여 특정 표시기와 연결된 모든 속성을 나열합니다.
Google SecOps 항목은 IOC로 간주됩니다.
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- URL
- 해시
작업 입력
없음
작업 출력
Vertex 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
항목 보강
Vertex 세부정보 가져오기 작업은 다음 보강을 지원합니다.
| 보강 필드 | 논리 |
|---|---|
vertex_type |
JSON 결과에 존재하는 경우에 반환 |
timestamp |
JSON 결과에 존재하는 경우에 반환 |
object_id |
JSON 결과에 존재하는 경우에 반환 |
properties |
JSON 결과에 존재하는 경우에 반환 |
edges |
JSON 결과에 존재하는 경우에 반환 |
scope |
JSON 결과에 존재하는 경우에 반환 |
customer_id |
JSON 결과에 존재하는 경우에 반환 |
id |
JSON 결과에 존재하는 경우에 반환 |
device_id |
JSON 결과에 존재하는 경우에 반환 |
JSON 결과
다음 예에서는 Vertex 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
스크립트 결과
다음 표에서는 Vertex 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
포함된 엔드포인트 리프트
격리된 엔드포인트 해제 작업을 사용하여 CrowdStrike Falcon에서 엔드포인트 격리를 해제합니다.
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 입력
포함된 엔드포인트 리프트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Fail If Timeout |
필수
선택되었는데 모든 엔드포인트에서 격리가 해제되지 않으면 작업이 실패합니다. 기본적으로 선택되어 있습니다. |
작업 출력
포함된 엔드포인트 리프트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
항목 보강
포함된 엔드포인트 리프트 작업은 다음 엔티티 강화를 지원합니다.
| 보강 필드 | 논리 |
|---|---|
status |
JSON 결과에 존재하는 경우에 반환 |
modified_timestamp |
JSON 결과에 존재하는 경우에 반환 |
major_version |
JSON 결과에 존재하는 경우에 반환 |
config_id_platform |
JSON 결과에 존재하는 경우에 반환 |
system_manufacturer |
JSON 결과에 존재하는 경우에 반환 |
device_policies |
JSON 결과에 존재하는 경우에 반환 |
meta |
JSON 결과에 존재하는 경우에 반환 |
pointer_size |
JSON 결과에 존재하는 경우에 반환 |
last_seen |
JSON 결과에 존재하는 경우에 반환 |
agent_local_time |
JSON 결과에 존재하는 경우에 반환 |
first_seen |
JSON 결과에 존재하는 경우에 반환 |
service_pack_major |
JSON 결과에 존재하는 경우에 반환 |
slow_changing_modified_timestamp |
JSON 결과에 존재하는 경우에 반환 |
service_pack_minor |
JSON 결과에 존재하는 경우에 반환 |
system_product_name |
JSON 결과에 존재하는 경우에 반환 |
product_type_desc |
JSON 결과에 존재하는 경우에 반환 |
build_number |
JSON 결과에 존재하는 경우에 반환 |
cid |
JSON 결과에 존재하는 경우에 반환 |
local_ip |
JSON 결과에 존재하는 경우에 반환 |
external_ip |
JSON 결과에 존재하는 경우에 반환 |
hostname |
JSON 결과에 존재하는 경우에 반환 |
config_id_build |
JSON 결과에 존재하는 경우에 반환 |
minor_version |
JSON 결과에 존재하는 경우에 반환 |
platform_id |
JSON 결과에 존재하는 경우에 반환 |
os_version |
JSON 결과에 존재하는 경우에 반환 |
config_id_base |
JSON 결과에 존재하는 경우에 반환 |
provision_status |
JSON 결과에 존재하는 경우에 반환 |
mac_address |
JSON 결과에 존재하는 경우에 반환 |
bios_version |
JSON 결과에 존재하는 경우에 반환 |
platform_name |
JSON 결과에 존재하는 경우에 반환 |
agent_load_flags |
JSON 결과에 존재하는 경우에 반환 |
device_id |
JSON 결과에 존재하는 경우에 반환 |
product_type |
JSON 결과에 존재하는 경우에 반환 |
agent_version |
JSON 결과에 존재하는 경우에 반환 |
JSON 결과
다음 예에서는 포함된 엔드포인트 리프트 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
출력 메시지
포함된 엔드포인트 리프트 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
비동기 메시지입니다. |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
작업이 실패했습니다. 엔드포인트 상태와 |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 포함된 엔드포인트 해제 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
호스트 취약점 나열
호스트 취약점 나열 작업을 사용하여 CrowdStrike Falcon의 호스트에서 발견된 취약점을 나열합니다.
이 작업에는 Falcon Spotlight 라이선스와 권한이 필요합니다.
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 입력
호스트 취약점 목록 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Severity Filter |
선택사항
쉼표로 구분된 취약점 심각도 목록입니다. 값을 제공하지 않으면 작업에서 모든 관련 취약점을 인그레션합니다. 가능한 값은 다음과 같습니다.
|
Create Insight |
선택사항
선택하면 작업에서 관련 취약점에 관한 통계 정보가 포함된 모든 항목에 대한 통계를 만듭니다. 기본적으로 선택되어 있습니다. |
Max Vulnerabilities To Return |
선택사항
단일 호스트에 대해 반환할 취약점 수입니다. 값을 제공하지 않으면 작업에서 관련된 모든 취약점을 처리합니다. 기본값은 |
작업 출력
호스트 취약점 나열 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
케이스 월에서 호스트 취약점 나열 작업은 다음 표를 제공합니다.
유형: 항목
열:
- 이름
- 점수
- 심각도
- 상태
- 앱
- 해결 있음
JSON 결과
다음 예에서는 호스트 취약점 목록 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
출력 메시지
호스트 취약점 나열 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
작업이 실패했습니다.
|
스크립트 결과
다음 표에서는 호스트 취약점 목록 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
호스트 나열
호스트 나열 작업을 사용하여 CrowdStrike Falcon에서 사용 가능한 호스트를 나열합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
호스트 나열 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Filter Logic |
선택사항
호스트를 검색할 때 사용할 논리입니다. 기본값은
|
Filter Value |
선택사항
호스트 필터링에 사용할 값입니다. |
Max Hosts To Return |
선택사항
반환할 호스트 수입니다. 기본값은 최댓값은 |
작업 출력
호스트 나열 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예에서는 호스트 나열 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
출력 메시지
호스트 나열 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "List Hosts".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 호스트 나열 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
업로드된 IOC 나열
업로드된 IOC 나열 작업을 사용하여 CrowdStrike Falcon에서 사용 가능한 맞춤 IOC를 나열합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
업로드된 IOC 나열 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
IOC Type Filter |
선택사항
반환할 IOC 유형을 쉼표로 구분한 목록입니다. 기본값은
|
Value Filter Logic |
선택사항
필터 로직의 값입니다. 기본값은
|
Value Filter String |
선택사항
IOC 중에서 검색할 문자열입니다. |
Max IOCs To Return |
선택사항
반환할 IOC의 수입니다. 기본값은 최댓값은 500입니다. |
작업 출력
업로드된 IOC 목록 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
케이스 월에서 업로드된 IOC 목록 작업을 사용하면 다음 표가 제공됩니다.
열:
- 작업
- 심각도
- 서명됨
- AV 조회수
- 플랫폼
- 태그
- 생성일
- 작성자
JSON 결과
다음 예에서는 업로드된 IOC 목록 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
출력 메시지
업로드된 IOC 나열 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
작업이 완료되었습니다. |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
작업이 실패했습니다. 맞춤법과 |
스크립트 결과
다음 표에서는 업로드된 IOC 목록 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
주문형 스캔
주문형 스캔 작업을 사용하여 CrowdStrike에서 주문형으로 엔드포인트를 스캔합니다.
이 작업은 Windows 호스트와 다음 항목에서만 실행됩니다.
- IP 주소
- 호스트 이름
주문형 검사 작업은 비동기식으로 실행됩니다. 필요한 경우 Google SecOps IDE에서 스크립트 제한 시간 값을 조정합니다.
작업 입력
주문형 검사 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
File Paths To Scan |
필수 검사할 경로의 쉼표로 구분된 목록입니다. 기본값은 |
File Paths To Exclude From Scan |
선택사항 검색에서 제외할 경로의 쉼표로 구분된 목록입니다. |
Host Group Name |
선택사항 검색을 시작할 호스트 그룹 이름을 쉼표로 구분한 목록입니다. 이 작업은 각 호스트 그룹에 대해 별도의 스캔 프로세스를 만듭니다. |
Scan Description |
선택사항 검색 프로세스에 사용할 설명입니다. 값을 설정하지 않으면 작업에서 설명을 |
CPU Priority |
선택사항 스캔 중에 기본 호스트에 사용할 CPU 양입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Sensor Anti-malware Detection Level |
선택사항 센서 멀웨어 방지 감지 수준의 값입니다. 감지 수준은 예방 수준 이상이어야 합니다. 가능한 값은 다음과 같습니다.
기본값은 |
Sensor Anti-malware Prevention Level |
선택사항 센서 멀웨어 방지 수준 값입니다. 감지 수준은 예방 수준 이상이어야 합니다. 가능한 값은 다음과 같습니다.
기본값은 |
Cloud Anti-malware Detection Level |
선택사항 클라우드 악성코드 방지 감지 수준의 값입니다. 감지 수준은 예방 수준 이상이어야 합니다. 가능한 값은 다음과 같습니다.
기본값은 |
Cloud Anti-malware Prevention Level |
선택사항 클라우드 멀웨어 방지 수준의 값입니다. 감지 수준은 예방 수준 이상이어야 합니다. 가능한 값은 다음과 같습니다.
기본값은 |
Quarantine Hosts |
선택사항 선택하면 작업에서 스캔의 일부로 기본 호스트를 격리합니다. 기본적으로 선택되지 않습니다. |
Create Endpoint Notification |
선택사항 선택하면 스캔 프로세스에서 엔드포인트 알림을 만듭니다. 기본적으로 선택되어 있습니다. |
Max Scan Duration |
선택사항 스캔을 실행할 시간입니다. 값을 제공하지 않으면 스캔이 계속 실행됩니다. |
작업 출력
주문형 스캔 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예에서는 주문형 검사 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
출력 메시지
주문형 스캔 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 주문형 검사 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
핑
Ping 작업을 사용하여 CrowdStrike Falcon과의 연결을 테스트합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에서는 Ping 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
스크립트 실행
스크립트 실행 작업을 사용하여 CrowdStrike의 엔드포인트에서 PowerShell 스크립트를 실행합니다.
이 작업은 비동기식입니다. 필요한 경우 Google SecOps IDE에서 스크립트 제한 시간 값을 조정합니다.
이 작업은 IP 주소 및 호스트 이름 항목에서 실행됩니다.
작업 입력
스크립트 실행 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Customer ID |
선택사항 작업을 실행할 고객의 ID입니다. |
Script Name |
선택사항 실행할 스크립트 파일의 이름입니다.
|
Raw Script |
선택사항 엔드포인트에서 실행할 원시 PowerShell 스크립트 페이로드입니다.
|
작업 출력
스크립트 실행 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
케이스 월에서 스크립트 실행 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 스크립트 실행 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
이벤트 검색
이 작업을 사용하여 CrowdStrike에서 이벤트를 검색합니다. 참고: 작업이 비동기로 실행되고 있습니다. 필요한 경우 Google SecOps IDE에서 작업의 스크립트 시간 제한 값을 조정하세요.
이 작업은 항목에서 실행되지 않습니다.
작업 입력
이벤트 검색 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Repository |
필수
검색해야 하는 저장소입니다. 가능한 값은 다음과 같습니다.
|
Query |
필수
CrowdStrike에서 실행해야 하는 쿼리입니다. 참고: 쿼리의 일부로 'head'를 제공하지 마세요. 작업은 '반환할 최대 결과 수' 매개변수에 제공된 값을 기반으로 자동으로 제공합니다. |
Time Frame |
선택사항
결과 기간입니다. '맞춤'을 선택한 경우 '시작 시간'도 제공해야 합니다. Last Hour(지난 1시간)에 가능한 값은 다음과 같습니다.
|
Start Time |
선택사항
결과의 시작 시간입니다. '기간' 매개변수에 '맞춤'을 선택한 경우 이 매개변수는 필수입니다. 형식: ISO 8601. |
End Time |
선택사항
쿼리에 대해 반환할 결과 수입니다. 작업은 제공된 쿼리에 'head'를 추가합니다. 기본값: 50 최대: 1,000 |
작업 출력
이벤트 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
케이스 월에서 이벤트 검색 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
|
작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다. |
|
|
작업이 실패했습니다. |
스크립트 결과
다음 표에서는 이벤트 검색 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
파일 제출
파일 제출 작업을 사용하여 CrowdStrike의 샌드박스에 파일을 제출합니다.
이 작업을 수행하려면 Falcon Sandbox 라이선스가 필요합니다.
이 작업은 항목에서 실행되지 않습니다.
지원되는 파일 및 보관 파일 형식
CrowdStrike 포털에 따르면 샌드박스는 다음 파일 형식을 지원합니다.
| 지원되는 파일 형식 | |
|---|---|
.exe, .scr, .pif,
.dll, .com, .cpl |
포터블 실행 파일 |
.doc, .docx, .ppt,
.pps, .pptx, .ppsx,
.xls, .xlsx, .rtf,
.pub |
Office 문서 |
.pdf |
|
.apk |
APK |
.jar |
실행 가능한 JAR |
.sct |
Windows 스크립트 구성요소 |
.lnk |
Windows 바로가기 |
.chm |
Windows 도움말 |
.hta |
HTML 애플리케이션 |
.wsf |
Windows 스크립트 파일 |
.js |
자바스크립트 |
.vbs, .vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1, .psd1, .psm1 |
Powershell |
.svg |
확장 가능한 벡터 그래픽 |
.py |
Python |
.elf |
Linux ELF 실행 파일 |
.eml |
이메일 파일: MIME RFC 822 |
.msg |
이메일 파일: Outlook |
CrowdStrike 포털에 따르면 샌드박스는 다음 보관 파일 형식을 지원합니다.
.zip.7z
작업 입력
파일 제출 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
File Paths |
필수
제출된 파일의 절대 경로 목록입니다. 형식은 배포에 따라 다릅니다.
지원되는 파일 형식 목록은 지원되는 파일 및 보관 파일 형식을 참고하세요. |
Sandbox Environment |
선택사항
분석할 샌드박스 환경입니다. 기본값은
|
Network Environment |
선택사항
분석할 네트워크 환경입니다. 기본값은
|
Archive Password |
선택사항
보관 파일로 작업할 때 사용할 비밀번호입니다. |
Document Password |
선택사항
Adobe 또는 Office 파일로 작업할 때 사용할 비밀번호입니다. 비밀번호의 최대 길이는 32자입니다. |
Check Duplicate |
선택사항
선택하면 이 작업은 파일이 이전에 이미 제출되었는지 확인하고 사용 가능한 보고서를 반환합니다. 유효성 검사 중에 작업은 기본적으로 선택되어 있습니다. |
Comment |
선택사항
제출할 댓글입니다. |
Confidential Submission |
선택사항
선택하면 파일이 고객 계정 내 사용자에게만 표시됩니다. 기본적으로 선택되지 않습니다. |
작업 출력
파일 제출 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
케이스 월에서 파일 제출 작업을 수행하면 다음 표가 제공됩니다.
열:
- 결과
- 이름
- 위협 점수
- 결과
- 태그
출력 메시지
파일 제출 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
|
작업에서 오류가 반환되었습니다. 이 작업에 지원되는 파일 형식을 확인하세요. |
Waiting for results for the following
files: PATHS |
비동기 메시지입니다. |
Error executing action "Submit File".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
작업이 실패했습니다. IDE에서 제한 시간을 늘립니다. |
스크립트 결과
다음 표에서는 파일 제출 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
URL 제출
URL 제출 작업을 사용하여 CrowdStrike의 샌드박스에 URL을 제출합니다.
이 작업을 수행하려면 Falcon Sandbox 라이선스가 필요합니다. 샌드박스에서 지원하는 파일 형식을 확인하려면 이 문서의 지원되는 파일 및 보관 파일 형식 섹션을 참고하세요.
이 작업은 항목에서 실행되지 않습니다.
작업 입력
URL 제출 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
URLs |
필수
제출할 URL입니다. |
Sandbox Environment |
선택사항
분석할 샌드박스 환경입니다. 기본값은
|
Network Environment |
선택사항
분석할 네트워크 환경입니다. 기본값은
|
Check Duplicate |
선택사항
선택하면 이 작업은 URL이 이전에 제출되었는지 확인하고 사용 가능한 보고서를 반환합니다. 유효성 검사 중에 작업은 기본적으로 선택되어 있습니다. |
작업 출력
URL 제출 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
URL 제출 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Waiting for results for the following
URLs: PATHS |
비동기 메시지입니다. |
Error executing action "Submit URL".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
작업이 실패했습니다. IDE에서 제한 시간을 늘립니다. |
스크립트 결과
다음 표에서는 URL 제출 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
알림 업데이트
알림 업데이트 작업을 사용하여 CrowdStrike Falcon에서 알림을 업데이트합니다.
이 작업은 항목에서 실행되지 않습니다.
작업 입력
알림 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Alert ID |
필수 업데이트할 알림의 ID입니다. |
Status |
선택사항 알림의 상태입니다. 가능한 값은 다음과 같습니다.
|
Verdict |
선택사항 알림에 대한 평결입니다. 가능한 값은 다음과 같습니다.
|
Assign To |
선택사항 알림을 할당할 분석가의 이름입니다.
제공된 사용자가 시스템에 없더라도 API는 모든 값을 허용합니다. |
작업 출력
업데이트 알림 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예에서는 알림 업데이트 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
출력 메시지
업데이트 알림 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
작업이 완료되었습니다. |
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에서는 알림 업데이트 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
감지 업데이트
감지 업데이트 작업을 사용하여 CrowdStrike Falcon에서 감지를 업데이트합니다.
이 작업은 모든 항목에서 실행됩니다.
작업 입력
감지 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Detection ID |
필수
업데이트할 감지의 ID입니다. |
Status |
필수
감지 상태입니다. 기본값은
|
Assign Detection to |
선택사항
감지의 할당자인 CrowdStrike Falcon 사용자의 이메일 주소입니다. |
작업 출력
업데이트 감지 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
업데이트 감지 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
작업이 완료되었습니다. |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
작업이 실패했습니다.
|
스크립트 결과
다음 표에서는 감지 업데이트 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
ID 보호 감지 업데이트
Update Identity Protection Detection을 사용하여 CrowdStrike에서 ID 보호 감지를 업데이트합니다.
이 작업을 수행하려면 Identity Protection 라이선스가 필요합니다.
이 작업은 항목에서 실행되지 않습니다.
작업 입력
Update Identity Protection Detection 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Detection ID |
필수
업데이트할 감지의 ID입니다. |
Status |
선택사항
감지의 상태입니다. 기본값은 가능한 값은 다음과 같습니다.
|
Assign to |
선택사항
할당된 분석가의 이름입니다.
잘못된 값이 제공되면 작업에서 현재 할당자를 변경하지 않습니다. |
작업 출력
ID 보호 감지 업데이트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예에서는 Update Identity Protection Detection 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
출력 메시지
케이스 월에서 Update Identity Protection Detection 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
작업이 완료되었습니다. |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
작업이 실패했습니다. 맞춤법을 확인하세요. |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
작업이 실패했습니다.
|
스크립트 결과
다음 표에서는 ID 보호 감지 업데이트 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
사고 업데이트
Update Incident 작업을 사용하여 CrowdStrike에서 인시던트를 업데이트합니다.
이 작업은 항목에서 실행되지 않습니다.
작업 입력
인시던트 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Incident ID |
필수
업데이트할 인시던트의 ID입니다. |
Status |
선택사항
인시던트의 상태입니다. 가능한 값은 다음과 같습니다.
|
Assign to |
선택사항
할당된 분석가의 이름 또는 이메일 주소입니다.
이름을 지정하려면 분석가의 성과 이름을 다음 형식으로 입력합니다.
|
작업 출력
인시던트 업데이트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예에서는 Update Incident 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
출력 메시지
Update Incident(인시던트 업데이트) 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
작업이 완료되었습니다. |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
작업이 실패했습니다. 맞춤법을 확인하세요. |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
작업이 실패했습니다. 맞춤법을 확인하세요. |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
작업이 실패했습니다. 입력 매개변수를 확인합니다. |
스크립트 결과
다음 표에서는 인시던트 업데이트 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
IOC 정보 업데이트
IOC 정보 업데이트 작업을 사용하여 CrowdStrike Falcon의 맞춤 IOC에 관한 정보를 업데이트합니다.
이 작업은 호스트 이름 항목을 도메인 IOC로 처리하고 URL에서 도메인 부분을 추출합니다. 이 작업은 MD5 및 SHA-256 해시만 지원합니다.
IOC 정보 업데이트 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- URL
- IP 주소
- 해시
작업 입력
IOC 정보 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Description |
선택사항
맞춤 IOC에 대한 새로운 설명입니다. |
Source |
선택사항
맞춤 IOC의 소스입니다. |
Expiration days |
선택사항
만료일까지 남은 일수입니다. 이 매개변수는 URL, IP 주소, 호스트 이름 항목에만 영향을 미칩니다. |
Detect policy |
선택사항
선택하면 작업에서 식별된 IOC에 대한 알림을 보냅니다. 선택하지 않으면 작업에서 알림을 전송하지 않습니다. 기본적으로 선택되어 있습니다. |
작업 출력
IOC 정보 업데이트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예에서는 IOC 정보 업데이트 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
출력 메시지
케이스 월에서 IOC 정보 업데이트 작업은 다음과 같은 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
작업이 실패했습니다. 서버 연결, 입력 매개변수 또는 사용자 인증 정보를 확인합니다. |
스크립트 결과
다음 표에서는 IOC 정보 업데이트 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
IOC 업로드
IOC 업로드 작업을 사용하여 CrowdStrike Falcon에 맞춤 IOC를 추가합니다.
이 작업은 호스트 이름 항목을 도메인 IOC로 처리하고 URL에서 도메인 부분을 추출합니다. 이 작업은 MD5 및 SHA-256 해시만 지원합니다.
IOC 업로드 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
- URL
- 해시
작업 입력
IOC 업로드 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Platform |
필수
IOC와 관련된 플랫폼의 쉼표로 구분된 목록입니다. 기본값은
|
Severity |
필수
IOC의 심각도입니다. 기본값은
|
Comment |
선택사항
IOC와 관련된 추가 컨텍스트가 포함된 댓글입니다. |
Host Group Name |
필수
호스트 그룹의 이름입니다. |
Action |
선택사항
업로드된 IOC의 작업입니다. 기본값은 가능한 값은 다음과 같습니다.
|
작업 출력
IOC 업로드 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
IOC 업로드 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
작업이 실패했습니다.
|
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
작업이 실패했습니다.
|
스크립트 결과
다음 표에서는 IOC 업로드 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
커넥터
모든 CrowdStrike 커넥터에 최소 권한이 구성되어 있는지 확인합니다. 자세한 내용은 이 문서의 커넥터 권한 섹션을 참고하세요.
Google SecOps에서 커넥터를 구성하는 방법은 데이터 수집(커넥터)을 참고하세요.
CrowdStrike 이벤트
이벤트는 호스트의 Falcon 센서에서 수집한 정보입니다. CrowdStrike에는 네 가지 유형의 이벤트가 있습니다.
| CrowdStrike 이벤트 유형 | |
|---|---|
| 인증 활동 감사 이벤트 | 엔드포인트에서 승인이 요청되거나, 허용되거나, 완료될 때마다 생성되는 이벤트입니다. |
| 감지 요약 이벤트 | 엔드포인트에서 위협이 감지될 때 생성되는 이벤트입니다. |
| 원격 응답 세션 종료 이벤트 | 엔드포인트의 원격 세션에서 생성된 이벤트입니다. |
| 사용자 활동 감사 이벤트 | 활성 사용자가 엔드포인트에서 실행한 활동을 모니터링하기 위해 생성된 이벤트입니다. |
커넥터는 Google SecOps에 이벤트를 수집하여 알림을 만들고 이벤트 데이터로 케이스를 보강합니다. Google SecOps에 수집할 이벤트를 선택할 수 있습니다(모든 이벤트 유형 또는 선택한 이벤트 유형).
CrowdStrike 감지 커넥터
CrowdStrike 감지 커넥터를 사용하여 CrowdStrike에서 감지를 가져옵니다.
동적 목록은 CrowdStrike API에서 지원하는 필터와 함께 작동합니다.
동적 목록 사용 방법
동적 목록을 사용할 때는 다음 권장사항을 준수하세요.
- CrowdStrike FQL 언어를 사용하여 커넥터에서 전송된 필터를 수정합니다.
- 각 필터에 대해 동적 목록에 별도의 항목을 제공합니다.
특정 분석가에게 할당된 모든 감지를 수집하려면 분석가가 다음 동적 목록 항목을 제공해야 합니다.
assigned_to_name:'ANALYST_USER_NAME'
동적 목록은 다음 매개변수를 지원합니다.
| 지원되는 매개변수 | |
|---|---|
q |
모든 메타데이터 필드에 대한 전체 텍스트 검색입니다. |
date_updated |
가장 최근 감지 업데이트 날짜입니다. |
assigned_to_name |
감지 담당자의 사람이 읽을 수 있는 사용자 이름입니다. |
max_confidence |
감지에 신뢰도 수준이 다양한 연결된 동작이 두 개 이상 있는 경우 이 필드는 모든 동작의 가장 높은 신뢰도 값을 캡처합니다. 매개변수 값은 1~100 사이의 정수일 수 있습니다. |
detection_id |
감지 세부정보 API 또는 감지 해결 API와 같은 다른 API와 함께 사용할 수 있는 감지 ID입니다. |
max_severity |
감지에 심각도 수준이 다양한 연결된 동작이 두 개 이상 있는 경우 이 필드는 모든 동작의 가장 높은 심각도 값을 캡처합니다. 매개변수 값은 1~100 사이의 정수일 수 있습니다. |
max_severity_displayname |
감지 심각도를 확인하기 위해 UI에서 사용되는 이름입니다. 가능한 값은 다음과 같습니다.
|
seconds_to_triaged |
감지에서 상태를 new에서 in_progress로 변경하는 데 필요한 시간입니다. |
seconds_to_resolved |
감지에서 상태를 new에서 해결된 상태 (true_positive, false_positive, ignored, closed)로 변경하는 데 필요한 시간입니다. |
status |
감지의 현재 상태입니다. 가능한 값은 다음과 같습니다.
|
adversary_ids |
CrowdStrike Falcon Intelligence에서 추적하는 공격자는 탐지에서 기여된 동작 또는 지표와 연결된 ID를 보유합니다. 이러한 ID는 감지 세부정보 API를 통해 액세스할 수 있는 감지 메타데이터에 있습니다. |
cid |
조직의 고객 ID (CID)입니다. |
커넥터 매개변수
CrowdStrike 감지 커넥터에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Product Field Name |
필수
기본값은 |
Event Field Name |
필수
기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 기본 환경이 사용됩니다. 기본값은 |
Environment Regex Pattern |
선택사항
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Script Timeout (Seconds) |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수
CrowdStrike 인스턴스의 API 루트입니다. 기본값은 |
Client ID |
필수
CrowdStrike 계정의 클라이언트 ID입니다. |
Client Secret |
필수
CrowdStrike 계정의 클라이언트 보안 비밀번호입니다. |
Lowest Severity Score To Fetch |
선택사항
가져올 감지의 가장 낮은 심각도 점수입니다. 값이 제공되지 않으면 커넥터가 이 필터를 적용하지 않습니다. 최댓값은 기본값은 |
Lowest Confidence Score To Fetch |
선택사항
가져올 감지의 가장 낮은 신뢰도 점수입니다. 값이 제공되지 않으면 커넥터가 이 필터를 적용하지 않습니다. 최댓값은 기본값은 |
Max Hours Backwards |
선택사항
감지를 가져올 시간입니다. 기본값은 |
Max Detections To Fetch |
선택사항
단일 커넥터 반복에서 처리할 감지 수입니다. 기본값은 |
Disable Overflow |
선택사항 선택하면 커넥터가 오버플로 메커니즘을 무시합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수
선택하면 통합에서 CrowdStrike 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되지 않습니다. |
Proxy Server Address |
선택사항
사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항
인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항
인증할 프록시 비밀번호입니다. |
Case Name Template |
선택사항
제공된 경우 커넥터는 Google SecOps 이벤트에 [ 참고: 커넥터는 자리표시자에 첫 번째 Google SecOps 이벤트를 사용합니다. 이 매개변수는 문자열 값이 있는 키만 허용합니다. |
Alert Name Template |
선택사항
제공된 경우 커넥터는 이 값을 Google SecOps Alert Name에 사용합니다. [ 참고: 값을 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터에서 기본 알림 이름을 사용합니다. 커넥터는 자리표시자에 첫 번째 Google SecOps 이벤트를 사용합니다. 이 매개변수는 문자열 값이 있는 키만 허용합니다. |
Padding Period |
선택사항
커넥터가 패딩에 사용하는 시간 수입니다. 최댓값은 |
Include Hidden Alerts |
선택사항
사용 설정된 경우 커넥터는 CrowdStrike에서 '숨김'으로 라벨이 지정된 알림도 가져옵니다. |
Fallback Severity |
선택사항
심각도 정보가 누락된 CrowdStrike 알림에 적용해야 하는 Google SecOps 알림의 대체 심각도입니다. 가능한 값: Informational, Low, Medium, High, Critical 아무것도 제공되지 않으면 커넥터는 'Informational' 심각도를 사용합니다. |
Customer ID |
선택사항 커넥터를 실행할 테넌트의 고객 ID입니다. 멀티 테넌트 (MSSP) 환경에서 사용됩니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
커넥터 이벤트
커넥터 이벤트의 예는 다음과 같습니다.
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
CrowdStrike Falcon 스트리밍 이벤트 커넥터
CrowdStrike Falcon 스트리밍 이벤트 커넥터는 다음 사용 사례를 해결합니다.
감지 이벤트 데이터 수집
CrowdStrike Falcon이 엔드포인트에서 악성
SophosCleanM.exe파일을 실행하려는 시도를 감지합니다. CrowdStrike는 작업을 중지하고 이벤트 데이터에 파일 해시가 포함된 알림을 생성합니다.파일 평판에 관심이 있는 분석가가 VirusTotal에서 발견된 해시를 실행하고 해시가 악성임을 확인합니다. 다음 단계로 McAfee EDR 작업이 악성 파일을 격리합니다.
사용자 활동 감사 이벤트 데이터 수집
CrowdStrike 사용자 Dani가 감지 상태를
new에서false-positive로 업데이트합니다. 이 사용자 작업은 detection_update라는 이벤트를 생성합니다.분석가는 다니가 작업을 거짓양성으로 표시한 이유를 파악하기 위해 후속 조치를 취하고 다니의 신원 정보를 포함하는 수집된 이벤트를 확인합니다.
다음 단계로 분석가는 Active Directory Enrich Entities(엔티티 보강) 작업을 실행하여 인시던트에 대한 자세한 정보를 확인하고 Dani를 더 쉽게 추적합니다.
인증 활동 감사 이벤트 데이터 수집
이벤트는 Dani가 새 사용자 계정을 만들고 사용자 역할을 부여했음을 나타냅니다.
이벤트를 조사하고 사용자가 생성된 이유를 파악하기 위해 분석가는 Dani의 사용자 ID를 사용하여 Active Directory 엔티티 보강 작업을 실행하고 Dani의 사용자 역할을 파악하여 새 사용자를 추가할 권한이 있는지 확인합니다.
원격 응답 종료 이벤트 데이터 수집
원격 이벤트는 Dani가 특정 호스트에 원격으로 연결하고 루트 사용자로 명령어를 실행하여 웹 서버 디렉터리에 액세스했음을 나타냅니다.
분석가는 Dani와 관련 호스트에 관한 자세한 정보를 얻기 위해 Active Directory 작업을 실행하여 사용자와 호스트를 모두 보강합니다. 반환된 정보를 바탕으로 분석가는 원격 연결의 목적이 명확해질 때까지 Dani의 계정을 정지하기로 결정할 수 있습니다.
커넥터 입력
CrowdStrike Falcon 스트리밍 이벤트 커넥터에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Product Field Name |
필수
기본값은 |
Event Field Name |
필수
기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 기본 환경이 사용됩니다. 기본값은 |
Environment Regex Pattern |
선택사항
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Alert Name Template |
선택사항
제공된 경우 커넥터는 이 값을 Google SecOps Alert Name에 사용합니다. [ 참고: 값을 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터에서 기본 알림 이름을 사용합니다. 커넥터는 자리표시자에 첫 번째 Google SecOps 이벤트를 사용합니다. 이 매개변수는 문자열 값이 있는 키만 허용합니다. |
API Root |
필수
CrowdStrike 인스턴스의 API 루트입니다. 기본값은 |
Client ID |
필수
CrowdStrike 계정의 클라이언트 ID입니다. |
Client Secret |
필수
CrowdStrike 계정의 클라이언트 보안 비밀번호입니다. |
Event types |
선택사항
쉼표로 구분된 이벤트 유형 목록입니다. 이벤트 유형의 예는 다음과 같습니다.
|
Max Days Backwards |
선택사항
오늘로부터 며칠 전의 감지를 가져올지 나타냅니다. 기본값은 |
Max Events Per Cycle |
선택사항
단일 커넥터 반복에서 처리할 이벤트 수입니다. 기본값은 |
Min Severity |
선택사항 이벤트 심각도(감지 이벤트)에 따라 수집할 이벤트입니다. 값의 범위는 0~5입니다. 감지 외 다른 이벤트 유형이 수집되면 심각도가 |
Disable Overflow |
선택사항 선택하면 커넥터가 오버플로 메커니즘을 무시합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수
선택하면 통합에서 CrowdStrike 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되지 않습니다. |
Script Timeout (Seconds) |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. 기본값은 60초입니다. |
Proxy Server Address |
선택사항
사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항
인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항
인증할 프록시 비밀번호입니다. |
Rule Generator Template |
선택사항
제공된 경우 커넥터는 Google SecOps 규칙 생성기에 이 값을 사용합니다. [ 값을 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터에서 기본 규칙 생성기를 사용합니다. 커넥터는 자리표시자에 첫 번째 Google SecOps 이벤트를 사용합니다. 이 매개변수는 문자열 값이 있는 키만 허용합니다. |
Customer ID |
선택사항 커넥터를 실행할 테넌트의 고객 ID입니다. 멀티 테넌트 (MSSP) 환경에서 사용됩니다. |
커넥터 규칙
이 커넥터는 프록시를 지원합니다.
이 커넥터는 동적 목록을 지원하지 않습니다.
CrowdStrike Identity Protection 감지 커넥터
CrowdStrike Identity Protection Detections Connector를 사용하여 CrowdStrike에서 ID 보호 감지를 가져옵니다. 동적 목록은 display_name 매개변수와 함께 작동합니다.
이 커넥터에는 Identity Protection 라이선스가 필요합니다.
커넥터 입력
CrowdStrike Identity Protection Detections Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Product Field Name |
필수
기본값은 |
Event Field Name |
필수
기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 기본 환경이 사용됩니다. 기본값은 |
Environment Regex Pattern |
선택사항
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Script Timeout (Seconds) |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수
CrowdStrike 인스턴스의 API 루트입니다. 기본값은 |
Client ID |
필수
CrowdStrike 계정의 클라이언트 ID입니다. |
Client Secret |
필수
CrowdStrike 계정의 클라이언트 보안 비밀번호입니다. |
Lowest Severity Score To Fetch |
선택사항
가져올 감지의 가장 낮은 심각도 점수입니다. 값이 제공되지 않으면 커넥터가 이 필터를 적용하지 않습니다. 최댓값은 기본값은 커넥터는 이 매개변수에 대해 다음 값도 지원합니다.
|
Lowest Confidence Score To Fetch |
선택사항
가져올 감지의 가장 낮은 신뢰도 점수입니다. 값이 제공되지 않으면 커넥터가 이 필터를 적용하지 않습니다. 최댓값은 기본값은 |
Max Hours Backwards |
선택사항
현재로부터 몇 시간 전의 감지를 가져올지 나타냅니다. 기본값은 |
Max Detections To Fetch |
선택사항
단일 커넥터 반복에서 처리할 감지 수입니다. 기본값은 |
Case Name Template |
선택사항
제공된 경우 커넥터는 Google SecOps 이벤트에 [ 참고: 커넥터는 자리표시자에 첫 번째 Google SecOps 이벤트를 사용합니다. 이 매개변수는 문자열 값이 있는 키만 허용합니다. |
Alert Name Template |
선택사항
제공된 경우 커넥터는 이 값을 Google SecOps Alert Name에 사용합니다. [ 참고: 값을 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터에서 기본 알림 이름을 사용합니다. 커넥터는 자리표시자에 첫 번째 Google SecOps 이벤트를 사용합니다. 이 매개변수는 문자열 값이 있는 키만 허용합니다. |
Disable Overflow |
선택사항 선택하면 커넥터가 오버플로 메커니즘을 무시합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수
선택하면 통합에서 CrowdStrike 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되지 않습니다. |
Proxy Server Address |
선택사항
사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항
인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항
인증할 프록시 비밀번호입니다. |
Customer ID |
선택사항 커넥터를 실행할 테넌트의 고객 ID입니다. 멀티 테넌트 (MSSP) 환경에서 사용됩니다. |
커넥터 규칙
이 커넥터는 프록시를 지원합니다.
커넥터 이벤트
커넥터 이벤트의 예는 다음과 같습니다.
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
CrowdStrike Incidents Connector
CrowdStrike Incidents Connector를 사용하여 CrowdStrike에서 인시던트 및 관련 동작을 가져옵니다.
동적 목록은 incident_type 매개변수와 함께 작동합니다.
커넥터 매개변수
CrowdStrike Incidents Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Product Field Name |
필수
기본값은 |
Event Field Name |
필수
기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 기본 환경이 사용됩니다. 기본값은 |
Environment Regex Pattern |
선택사항
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Script Timeout (Seconds) |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수
CrowdStrike 인스턴스의 API 루트입니다. 기본값은 |
Client ID |
필수
CrowdStrike 계정의 클라이언트 ID입니다. |
Client Secret |
필수
CrowdStrike 계정의 클라이언트 보안 비밀번호입니다. |
Lowest Severity Score To Fetch |
선택사항
가져올 인시던트의 가장 낮은 심각도 점수입니다. 값을 제공하지 않으면 커넥터가 모든 심각도의 인시던트를 수집합니다. 최댓값은
|
Max Hours Backwards |
선택사항
현재로부터 몇 시간 전부터 인시던트를 가져올지 나타냅니다. 기본값은 |
Max Incidents To Fetch |
선택사항
단일 커넥터 반복에서 처리할 인시던트 수입니다. 최댓값은 기본값은 |
Use dynamic list as a blocklist |
필수
선택하면 동적 목록이 차단 목록으로 사용됩니다. 기본적으로 선택되지 않습니다. |
Disable Overflow |
선택사항 선택하면 커넥터가 오버플로 메커니즘을 무시합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수
선택하면 통합에서 CrowdStrike 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되지 않습니다. |
Proxy Server Address |
선택사항
사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항
인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항
인증할 프록시 비밀번호입니다. |
Customer ID |
선택사항 커넥터를 실행할 테넌트의 고객 ID입니다. 멀티 테넌트 (MSSP) 환경에서 사용됩니다. |
커넥터 규칙
이 커넥터는 프록시를 지원합니다.
커넥터 이벤트
CrowdStrike Incidents Connector에는 두 가지 유형의 이벤트가 있습니다. 하나는 인시던트를 기반으로 하고 다른 하나는 동작을 기반으로 합니다.
인시던트를 기반으로 한 이벤트의 예는 다음과 같습니다.
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
행동 기반 이벤트의 예는 다음과 같습니다.
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike - Alerts Connector
CrowdStrike – Alerts Connector를 사용하여 CrowdStrike에서 알림을 가져옵니다.
동적 목록은 display_name 매개변수와 함께 작동합니다.
ID 보호 감지를 가져오려면 ID 보호 감지 커넥터를 사용하세요.
커넥터 입력
CrowdStrike – Alerts Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | |
|---|---|
Product Field Name |
필수
기본값은 |
Event Field Name |
필수
기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 기본 환경이 사용됩니다. 기본값은 |
Environment Regex Pattern |
선택사항
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Script Timeout (Seconds) |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수
CrowdStrike 인스턴스의 API 루트입니다. 기본값은 |
Client ID |
필수
CrowdStrike 계정의 클라이언트 ID입니다. |
Client Secret |
필수
CrowdStrike 계정의 클라이언트 보안 비밀번호입니다. |
Case Name Template |
선택사항
제공된 경우 커넥터는 Google SecOps 이벤트에 [ 참고: 커넥터는 자리표시자에 첫 번째 Google SecOps 이벤트를 사용합니다. 이 매개변수는 문자열 값이 있는 키만 허용합니다. |
Alert Name Template |
선택사항
제공된 경우 커넥터는 이 값을 Google SecOps Alert Name에 사용합니다. [ 참고: 값을 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터에서 기본 알림 이름을 사용합니다. 커넥터는 자리표시자에 첫 번째 Google SecOps 이벤트를 사용합니다. 이 매개변수는 문자열 값이 있는 키만 허용합니다. |
Lowest Severity Score To Fetch |
선택사항
가져올 인시던트의 가장 낮은 심각도 점수입니다. 값을 제공하지 않으면 커넥터가 모든 심각도의 인시던트를 수집합니다. 최댓값은
CrowdStrike UI에서는 동일한 값이 10으로 나눈 값으로 표시됩니다. |
Max Hours Backwards |
선택사항
현재로부터 몇 시간 전부터 인시던트를 가져올지 나타냅니다. 기본값은 |
Max Alerts To Fetch |
선택사항
단일 커넥터 반복에서 처리할 알림 수입니다. 최댓값은 기본값은 |
Use dynamic list as a blocklist |
필수
선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 선택되지 않습니다. |
Disable Overflow |
선택사항 선택하면 커넥터가 오버플로 메커니즘을 무시합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수
선택하면 통합에서 CrowdStrike 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되지 않습니다. |
Proxy Server Address |
선택사항
사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항
인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항
인증할 프록시 비밀번호입니다. |
Customer ID |
선택사항 커넥터를 실행할 테넌트의 고객 ID입니다. 멀티 테넌트 (MSSP) 환경에서 사용됩니다. |
커넥터 규칙
이 커넥터는 프록시를 지원합니다.
커넥터 이벤트
경고 기반 이벤트의 예는 다음과 같습니다.
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.