Integrar o CrowdStrike Falcon ao Google SecOps
Este documento explica como integrar o CrowdStrike Falcon ao Google Security Operations (Google SecOps).
Versão da integração: 56.0
Essa integração usa um ou mais componentes de código aberto. Faça o download de uma cópia do código-fonte completo dessa integração no bucket do Cloud Storage.
Casos de uso
Na plataforma Google SecOps, a integração do CrowdStrike Falcon resolve os seguintes casos de uso:
Contenção automática de malware: use os recursos da plataforma Google SecOps para colocar automaticamente em quarentena o endpoint afetado, recuperar o hash do arquivo para análise posterior e impedir a propagação do malware. A contenção automatizada de malware é ativada quando um e-mail de phishing aciona um alerta do CrowdStrike Falcon para um download de arquivo suspeito.
Resposta acelerada a incidentes: use o Google SecOps para coletar dados contextuais, como árvores de processos e conexões de rede, isolar o host comprometido e criar um tíquete para investigação.
Detecção e investigação de ameaças: use os recursos da plataforma Google SecOps para consultar o CrowdStrike Falcon sobre ações específicas do usuário, modificações de arquivos e conexões de rede em um período definido. Com a busca e investigação de ameaças, seus analistas de segurança podem investigar uma possível ameaça interna e analisar uma atividade histórica de endpoint, além de simplificar o processo de investigação.
Resposta e correção de phishing: use o CrowdStrike Falcon e a plataforma Google SecOps para verificar os anexos de e-mail, abri-los em um ambiente de sandbox e bloquear automaticamente o endereço de e-mail do remetente se uma atividade maliciosa for detectada.
Gerenciamento de vulnerabilidades: use os recursos da plataforma Google SecOps para criar automaticamente tíquetes para cada sistema vulnerável, priorizar com base na gravidade e no valor do recurso e acionar fluxos de trabalho de correção automatizados. O gerenciamento de vulnerabilidades ajuda a identificar uma vulnerabilidade crítica em vários endpoints.
Antes de começar
Antes de configurar a integração no Google SecOps, siga estas etapas:
Configure o cliente da API do CrowdStrike Falcon.
Configure as permissões de ação.
Configure as permissões do conector.
Configurar o cliente da API do CrowdStrike Falcon
Para definir um cliente da API CrowdStrike e ver, criar ou modificar clientes ou chaves de API, você precisa ter uma função FalconAdministrator.
Os segredos só são mostrados quando você cria ou redefine um cliente de API.
Para configurar o cliente da API CrowdStrike Falcon, siga estas etapas:
- Na interface do Falcon, navegue até Suporte e recursos > Recursos e ferramentas > Clientes e chaves de API. Nesta página, você pode encontrar clientes atuais, adicionar novos clientes de API ou ver o registro de auditoria.
- Clique em Criar cliente de API.
- Dê um nome ao novo cliente de API.
- Selecione os escopos de API adequados.
Clique em Criar. Os valores de ID do cliente e Chave secreta do cliente vão aparecer.
Essa é a única vez que o valor da chave secreta do cliente é mostrado. Armazene com segurança. Se você perder a chave secreta do cliente, redefina o cliente de API e atualize todos os aplicativos que dependem dela com novas credenciais.
Para mais detalhes sobre o acesso à API do CrowdStrike, consulte o guia Como acessar a API do CrowdStrike no blog da CrowdStrike.
Configurar permissões de ação
Consulte as permissões mínimas para ações, conforme listado na tabela a seguir:
| Ação | Permissões necessárias |
|---|---|
| Adicionar comentário à detecção | Detections.ReadDetection.Write |
| Adicionar comentário de detecção de proteção de identidade | Alerts.ReadAlerts.Write |
| Adicionar comentário do incidente | Incidents.Write |
| Detecção de proximidade | Detections.ReadDetection.Write |
| Contenção de endpoint | Hosts.ReadHosts.Write |
| Excluir IOC | IOC Management.ReadIOC Management.Write |
| Baixar o arquivo | Hosts.ReadReal time response.ReadReal time response.Write |
| Executar comando | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write* para comandos de privilégio total.
|
| Receber o deslocamento do evento | Event streams.Read |
| Receber hosts por IOC | Indisponível: descontinuado |
| Receber informações do host | Hosts.Read |
| Receber nome do processo por IOC | Indisponível: descontinuado |
| Endpoint de Lift Contained | Hosts.ReadHosts.Write |
| Listar hosts | Hosts.Read |
| Listar vulnerabilidades do host | Hosts.ReadSpotlight vulnerabilities.Read |
| Listar IOCs enviados | IOC Management.Read |
| Verificação sob demanda | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| Ping | Hosts.Read |
| Enviar arquivo | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Enviar URL | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Atualizar detecção | Detections.ReadDetection.WriteUser management.Read |
| Atualizar a detecção de proteção de identidade | Alerts.ReadAlerts.Write |
| Atualizar incidente | Incidents.Write |
| Atualizar informações de IOC | IOC Management.ReadIOC Management.Write |
| Fazer upload de IOCs | IOC Management.ReadIOC Management.Write |
Configurar permissões de conector
Consulte as permissões mínimas para conectores, conforme listado na tabela a seguir:
| Conector | Permissões necessárias |
|---|---|
| Conector de detecções da CrowdStrike | Detection.Read |
| Conector de eventos de streaming do CrowdStrike Falcon | Event streams.Read |
| Conector de detecções de proteção de identidade da CrowdStrike | Alerts.Read |
| Conector de incidentes da CrowdStrike | Incidents.Read |
Endpoints
A integração do CrowdStrike Falcon interage com os seguintes endpoints da API do CrowdStrike Falcon:
Endpoints gerais da API:
/oauth2/token
Hosts e dispositivos:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
Detecções e eventos:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
Indicadores de comprometimento (IOCs):
/intel/entities/indicators/v1/intel/queries/devices/v1
Vulnerabilidades:
/devices/combined/devices/vulnerabilities/v1
Resposta e contenção:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
Incidentes:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
Análise de arquivos e URLs:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
Parâmetros de integração
Para que a integração funcione corretamente, é necessária uma versão premium do CrowdStrike Falcon com recursos completos. Algumas ações não funcionam com uma versão básica do CrowdStrike Falcon.
A integração do CrowdStrike Falcon exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
API Root |
Uma raiz de API da instância do CrowdStrike. O valor padrão é |
Client API ID |
Obrigatório O ID do cliente da API CrowdStrike. |
Client API Secret |
Obrigatório A chave secreta do cliente para a API CrowdStrike. |
Verify SSL |
Se selecionada, a integração verifica se o certificado SSL para conexão com o servidor do CrowdStrike Falcon é válido. Não selecionada por padrão. |
Customer ID |
Opcional O ID do cliente do locatário em que a integração será executada. Para uso em ambientes multilocatários (MSSP). |
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Antes de continuar com a configuração da integração, configure as permissões mínimas necessárias para cada item de integração. Para mais detalhes, consulte a seção Permissões de ação deste documento.
Adicionar comentário de alerta
Use a ação Adicionar comentário de alerta para adicionar um comentário a um alerta no CrowdStrike Falcon.
Essa ação não é executada em entidades.
Entradas de ação
A ação Adicionar comentário de alerta exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Alert |
Obrigatório O ID do alerta a ser atualizado. |
Comment |
Obrigatório O comentário a ser adicionado ao alerta. |
Saídas de ação
A ação Adicionar comentário de alerta fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar comentário de alerta fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
A ação foi concluída. |
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Adicionar comentário de alerta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicionar comentário à detecção
Use a ação Adicionar comentário à detecção para adicionar um comentário à detecção no CrowdStrike Falcon.
Essa ação é executada em todas as entidades.
Entradas de ação
A ação Adicionar comentário à detecção exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Detection ID |
Obrigatório
O ID da detecção a que um comentário será adicionado. |
Comment |
Obrigatório
O comentário a ser adicionado à detecção. |
Saídas de ação
A ação Adicionar comentário à detecção fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Adicionar comentário à detecção:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicionar comentário de detecção de proteção de identidade
Use a ação Adicionar comentário de detecção de proteção de identidade para adicionar um comentário à detecção de proteção de identidade na CrowdStrike.
Essa ação requer uma licença do Identity Protection.
Essa ação não é executada em entidades.
Entradas de ação
A ação Adicionar comentário de detecção do Identity Protection exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Detection ID |
Obrigatório
O ID da detecção a ser atualizada. |
Comment |
Obrigatório
O comentário a ser adicionado à detecção. |
Saídas de ação
A ação Adicionar comentário de detecção de proteção de identidade fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar comentário de detecção de proteção de identidade fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
A ação foi concluída. |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
Falha na ação. Verifique a ortografia. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Adicionar comentário de detecção de proteção de identidade:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicionar comentário do incidente
Use a ação Adicionar comentário ao incidente para adicionar um comentário a um incidente no CrowdStrike.
Essa ação não é executada em entidades.
Entradas de ação
A ação Adicionar comentário ao incidente exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Incident ID |
Obrigatório
ID do incidente a ser atualizado. |
Comment |
Obrigatório
O comentário a ser adicionado ao incidente. |
Saídas de ação
A ação Adicionar comentário ao incidente fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar comentário ao incidente fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
A ação foi concluída. |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Falha na ação. Verifique a ortografia. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Adicionar comentário ao incidente:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Detecção de proximidade
Use a ação Fechar detecção para fechar uma detecção do CrowdStrike Falcon.
A ação Detecção de atualizações é a prática recomendada para esse caso de uso.
Essa ação é executada em todas as entidades.
Entradas de ação
A ação Close Detection exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Detection ID |
Obrigatório
O ID da detecção a ser fechada. |
Hide Detection |
Opcional
Se selecionada, a ação vai ocultar a detecção na UI. Essa configuração é selecionada por padrão. |
Saídas de ação
A ação Detecção de fechamento fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Detecção de fechamento:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Contenção de endpoint
Use a ação Conter endpoint para conter o endpoint no CrowdStrike Falcon.
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Entradas de ação
A ação Conter endpoint exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Fail If Timeout |
Obrigatório
Se essa opção for selecionada e nem todos os endpoints estiverem contidos, a ação vai falhar. Essa opção é selecionada por padrão. |
Saídas de ação
A ação Conter endpoint fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Enriquecimento de entidade
A ação Contém endpoint é compatível com a seguinte lógica de enriquecimento de entidade:
| Campo de aprimoramento | Lógica |
|---|---|
status |
Retorna se ele existe no resultado JSON |
modified_timestamp |
Retorna se ele existe no resultado JSON |
major_version |
Retorna se ele existe no resultado JSON |
policies |
Retorna se ele existe no resultado JSON |
config_id_platform |
Retorna se ele existe no resultado JSON |
bios_manufacturer |
Retorna se ele existe no resultado JSON |
system_manufacturer |
Retorna se ele existe no resultado JSON |
device_policies |
Retorna se ele existe no resultado JSON |
meta |
Retorna se ele existe no resultado JSON |
pointer_size |
Retorna se ele existe no resultado JSON |
last_seen |
Retorna se ele existe no resultado JSON |
agent_local_time |
Retorna se ele existe no resultado JSON |
first_seen |
Retorna se ele existe no resultado JSON |
service_pack_major |
Retorna se ele existe no resultado JSON |
slow_changing_modified_timestamp |
Retorna se ele existe no resultado JSON |
service_pack_minor |
Retorna se ele existe no resultado JSON |
system_product_name |
Retorna se ele existe no resultado JSON |
product_type_desc |
Retorna se ele existe no resultado JSON |
build_number |
Retorna se ele existe no resultado JSON |
cid |
Retorna se ele existe no resultado JSON |
local_ip |
Retorna se ele existe no resultado JSON |
external_ip |
Retorna se ele existe no resultado JSON |
hostname |
Retorna se ele existe no resultado JSON |
config_id_build |
Retorna se ele existe no resultado JSON |
minor_version |
Retorna se ele existe no resultado JSON |
platform_id |
Retorna se ele existe no resultado JSON |
os_version |
Retorna se ele existe no resultado JSON |
config_id_base |
Retorna se ele existe no resultado JSON |
provision_status |
Retorna se ele existe no resultado JSON |
mac_address |
Retorna se ele existe no resultado JSON |
bios_version |
Retorna se ele existe no resultado JSON |
platform_name |
Retorna se ele existe no resultado JSON |
agent_load_flags |
Retorna se ele existe no resultado JSON |
device_id |
Retorna se ele existe no resultado JSON |
product_type |
Retorna se ele existe no resultado JSON |
agent_version |
Retorna se ele existe no resultado JSON |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Contém endpoint:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Mensagens de saída
A ação Contém endpoint fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
Falha na ação. Verifique o status do endpoint e o valor do parâmetro |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Contém endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Excluir IOC
Use a ação Excluir IOC para excluir IOCs personalizados no CrowdStrike Falcon.
Essa ação trata entidades de nome do host como IOCs de domínio e extrai a parte do domínio dos URLs. Ela só é compatível com os hashes MD5 e SHA-256.
A ação Excluir IOC é executada nas seguintes entidades:
- Endereço IP
- Nome do host
- URL
- Hash
Entradas de ação
Nenhuma.
Saídas de ação
A ação Excluir IOC fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Excluir IOC:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Mensagens de saída
Em um painel de casos, a ação Excluir IOC fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Baixar o arquivo
Use a ação Fazer o download do arquivo para baixar arquivos dos hosts no CrowdStrike Falcon.
Essa ação exige que o nome do arquivo e o endereço IP ou uma entidade de nome do host estejam no escopo do alerta do Google SecOps.
O arquivo baixado está em um pacote ZIP protegido por senha. Para acessar
o arquivo, forneça a seguinte senha: infected.
A ação Fazer o download do arquivo é executada nas seguintes entidades:
- Nome do arquivo
- Endereço IP
- Host
Entradas de ação
A ação Fazer o download do arquivo exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Download Folder Path |
Obrigatório
O caminho para a pasta que armazena o arquivo baixado. O formato depende da sua implantação:
|
Overwrite |
Obrigatório
Se selecionada, a ação vai substituir o arquivo com o mesmo nome. Não selecionada por padrão. |
Saídas de ação
A ação Fazer o download do arquivo fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de entidades | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela de entidades
A ação Fazer o download do arquivo fornece a seguinte tabela de entidades:
| Entidade | |
|---|---|
filepath |
Caminho absoluto para o arquivo. |
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Fazer o download do arquivo:
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
Mensagens de saída
A ação Fazer o download do arquivo fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Download
File". Reason: ERROR_REASON
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
Falha na ação. Verifique o valor do parâmetro |
Waiting for results for the following
entities: ENTITY_ID |
Mensagem assíncrona. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Fazer o download do arquivo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar comando
Use a ação Executar comando para executar comandos nos hosts do CrowdStrike Falcon.
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Entradas de ação
A ação Executar comando exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Command |
Obrigatório
Um comando a ser executado em hosts. |
Admin Command |
Opcional
Se
|
Saídas de ação
A ação Executar comando fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
Em um painel de casos, a ação Executar comando fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
A ação foi concluída. |
Error executing action "Execute Command". Reason:
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Waiting for results for the following
entities: ENTITY_ID |
Mensagem assíncrona. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Executar comando:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber detalhes do alerta
Use a ação Receber detalhes do alerta para recuperar os detalhes de um alerta no CrowdStrike Falcon.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes do alerta exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Alert ID |
Obrigatório. O ID exclusivo do alerta de que os detalhes serão recuperados. |
Saídas de ação
A ação Receber detalhes do alerta fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Receber detalhes do alerta:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensagens de saída
A ação Receber detalhes do alerta pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do alerta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Receber o deslocamento do evento
Use a ação Receber o deslocamento do evento para extrair o deslocamento usado pelo conector de eventos de streaming.
Essa ação começa a processar eventos de 30 dias atrás.
Essa ação não é executada em entidades.
Entradas de ação
A ação Receber marcador de evento exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Max Events To Process |
Obrigatório
O número de eventos que a ação precisa processar a partir de 30 dias atrás. O valor padrão é |
Saídas de ação
A ação Receber o deslocamento do evento fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Get Event Offset:
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
Mensagens de saída
A ação Receber o deslocamento do evento fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
A ação foi concluída. |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Receber ajuste de evento:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber informações do host
Use a ação Receber informações do host para recuperar informações sobre o nome do host do CrowdStrike Falcon.
Essa ação é executada nas seguintes entidades:
- Nome do host
- Endereço IP
Entradas de ação
A ação Receber informações do host exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Create Insight |
Opcional
Se selecionada, a ação cria insights com informações sobre entidades. Essa opção é selecionada por padrão. |
Saídas de ação
A ação Receber informações do host fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Enriquecimento de entidade
A ação Receber informações do host é compatível com a seguinte lógica de enriquecimento de entidades:
| Campo de aprimoramento | Lógica |
|---|---|
modified_timestamp |
Retorna se ele existe no resultado JSON |
major_version |
Retorna se ele existe no resultado JSON |
site_name |
Retorna se ele existe no resultado JSON |
platform_id |
Retorna se ele existe no resultado JSON |
config_id_platform |
Retorna se ele existe no resultado JSON |
system_manufacturer |
Retorna se ele existe no resultado JSON |
meta |
Retorna se ele existe no resultado JSON |
first_seen |
Retorna se ele existe no resultado JSON |
service_pack_minor |
Retorna se ele existe no resultado JSON |
product_type_desc |
Retorna se ele existe no resultado JSON |
build_number |
Retorna se ele existe no resultado JSON |
hostname |
Retorna se ele existe no resultado JSON |
config_id_build |
Retorna se ele existe no resultado JSON |
minor_version |
Retorna se ele existe no resultado JSON |
os_version |
Retorna se ele existe no resultado JSON |
provision_status |
Retorna se ele existe no resultado JSON |
mac_address |
Retorna se ele existe no resultado JSON |
bios_version |
Retorna se ele existe no resultado JSON |
agent_load_flags |
Retorna se ele existe no resultado JSON |
status |
Retorna se ele existe no resultado JSON |
bios_manufacturer |
Retorna se ele existe no resultado JSON |
machine_domain |
Retorna se ele existe no resultado JSON |
agent_local_time |
Retorna se ele existe no resultado JSON |
slow_changing_modified_timestamp |
Retorna se ele existe no resultado JSON |
service_pack_major |
Retorna se ele existe no resultado JSON |
device_id |
Retorna se ele existe no resultado JSON |
system_product_name |
Retorna se ele existe no resultado JSON |
product_type |
Retorna se ele existe no resultado JSON |
local_ip |
Retorna se ele existe no resultado JSON |
external_ip |
Retorna se ele existe no resultado JSON |
cid |
Retorna se ele existe no resultado JSON |
platform_name |
Retorna se ele existe no resultado JSON |
config_id_base |
Retorna se ele existe no resultado JSON |
last_seen |
Retorna se ele existe no resultado JSON |
pointer_size |
Retorna se ele existe no resultado JSON |
agent_version |
Retorna se ele existe no resultado JSON |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Receber informações do host:
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
Mensagens de saída
A ação Receber informações do host fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Receber informações do host:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber hosts por IOC (descontinuado)
Liste os hosts relacionados aos IOCs no CrowdStrike Falcon. Entidades compatíveis: nome de host, URL, endereço IP e hash.
Observação:as entidades de nome de host são tratadas como IOCs de domínio. A ação extrai a parte do domínio dos URLs. Somente os hashes MD5 e SHA-256 são aceitos.
Entidades
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
- URL
- Hash
Entradas de ação
N/A
Saídas de ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
Enriquecimento de entidade
| Campo de aprimoramento | Lógica |
|---|---|
| modified_timestamp | Retorna se ele existe no resultado JSON |
| major_version | Retorna se ele existe no resultado JSON |
| site_name | Retorna se ele existe no resultado JSON |
| platform_id | Retorna se ele existe no resultado JSON |
| config_id_platform | Retorna se ele existe no resultado JSON |
| system_manufacturer | Retorna se ele existe no resultado JSON |
| meta | Retorna se ele existe no resultado JSON |
| first_seen | Retorna se ele existe no resultado JSON |
| service_pack_minor | Retorna se ele existe no resultado JSON |
| product_type_desc | Retorna se ele existe no resultado JSON |
| build_number | Retorna se ele existe no resultado JSON |
| nome do host | Retorna se ele existe no resultado JSON |
| config_id_build | Retorna se ele existe no resultado JSON |
| minor_version | Retorna se ele existe no resultado JSON |
| os_version | Retorna se ele existe no resultado JSON |
| provision_status | Retorna se ele existe no resultado JSON |
| mac_address | Retorna se ele existe no resultado JSON |
| bios_version | Retorna se ele existe no resultado JSON |
| agent_load_flags | Retorna se ele existe no resultado JSON |
| status | Retorna se ele existe no resultado JSON |
| bios_manufacturer | Retorna se ele existe no resultado JSON |
| machine_domain | Retorna se ele existe no resultado JSON |
| Device_policies | Retorna se ele existe no resultado JSON |
| agent_local_time | Retorna se ele existe no resultado JSON |
| slow_changing_modified_timestamp | Retorna se ele existe no resultado JSON |
| service_pack_major | Retorna se ele existe no resultado JSON |
| system_product_name | Retorna se ele existe no resultado JSON |
| product_type | Retorna se ele existe no resultado JSON |
| local_ip | Retorna se ele existe no resultado JSON |
| external_ip | Retorna se ele existe no resultado JSON |
| cid | Retorna se ele existe no resultado JSON |
| platform_name | Retorna se ele existe no resultado JSON |
| config_id_base | Retorna se ele existe no resultado JSON |
| políticas | Retorna se ele existe no resultado JSON |
| last_seen | Retorna se ele existe no resultado JSON |
| pointer_size | Retorna se ele existe no resultado JSON |
| agent_version | Retorna se ele existe no resultado JSON |
Insight de entidade
N/A
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedida e pelo menos um host relacionado aos IOCs fornecidos for encontrado (is_success=true): "Hosts relacionados aos IOCs fornecidos no CrowdStrike Falcon recuperados com sucesso". Se nenhum host relacionado for encontrado (is_success=false): "Nenhum host foi relacionado aos IOCs fornecidos no CrowdStrike Falcon." A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico for informado:Erro ao executar a ação "{nome da ação}". Motivo: {traceback}." |
Geral |
Receber nome do processo por IOC (descontinuado)
Recupere processos relacionados aos IOCs e dispositivos fornecidos no CrowdStrike Falcon. Entidades aceitas: nome de host, URL, endereço IP e hash.
Observação:as entidades de nome de host são tratadas como IOCs de domínio. A ação extrai a parte do domínio dos URLs. Somente os hashes MD5, SHA-1 e SHA-256 são aceitos. As entidades de endereço IP são tratadas como IOCs.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes dos dispositivos | 11 | N/A | Sim | Especifique uma lista separada por vírgulas de dispositivos para os quais você quer recuperar processos relacionados a entidades. |
Executar em
Essa ação é executada nas seguintes entidades:
- Nome do host
- URL
- Hash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Nome do processo | Retorna se ele existe no resultado JSON |
| Indicador | Retorna se ele existe no resultado JSON |
| Nome do host | Retorna se ele existe no resultado JSON |
Insights de entidades
N/A
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se forem encontrados processos relacionados a entidades em pelo menos um endpoint (is_success=true): "Os processos relacionados aos IOCs nos seguintes endpoints no CrowdStrike Falcon foram recuperados com sucesso: {nome do dispositivo}." Se nenhum processo for encontrado em pelo menos um endpoint ou se o dispositivo não for encontrado (is_success=true): "Nenhum processo relacionado foi encontrado nos seguintes endpoints no CrowdStrike Falcon: {nome do dispositivo}." Se nenhum processo for encontrado para todos os endpoints ou nenhum dos dispositivos for encontrado (is_success=false): "Nenhum processo relacionado foi encontrado nos endpoints fornecidos no CrowdStrike Falcon. A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico for informado : "Erro ao executar "{nome da ação}". Motivo: {trace back}." |
Receber detalhes da Vertex
Use a ação Receber detalhes do Vertex para listar todas as propriedades associadas a um indicador específico.
As entidades do Google SecOps são consideradas IOCs.
Essa ação é executada nas seguintes entidades:
- Nome do host
- URL
- Hash
Entradas de ação
Nenhuma.
Saídas de ação
A ação Receber detalhes do Vertex fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Resultado do script | Disponível |
Enriquecimento de entidade
A ação Receber detalhes da Vertex é compatível com o seguinte enriquecimento:
| Campo de aprimoramento | Lógica |
|---|---|
vertex_type |
Retorna se ele existe no resultado JSON |
timestamp |
Retorna se ele existe no resultado JSON |
object_id |
Retorna se ele existe no resultado JSON |
properties |
Retorna se ele existe no resultado JSON |
edges |
Retorna se ele existe no resultado JSON |
scope |
Retorna se ele existe no resultado JSON |
customer_id |
Retorna se ele existe no resultado JSON |
id |
Retorna se ele existe no resultado JSON |
device_id |
Retorna se ele existe no resultado JSON |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Receber detalhes do Vertex:
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Receber detalhes do Vertex:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Endpoint de Lift Contained
Use a ação Suspender endpoint contido para suspender uma contenção de endpoint no CrowdStrike Falcon.
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Entradas de ação
A ação Endpoint de Lift Contido exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Fail If Timeout |
Obrigatório
Se essa opção for selecionada e a contenção não for removida em todos os endpoints, a ação vai falhar. Essa opção é selecionada por padrão. |
Saídas de ação
A ação Lift Contained Endpoint fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Enriquecimento de entidade
A ação Endpoint de Lift Contido é compatível com o seguinte enriquecimento de entidade:
| Campo de aprimoramento | Lógica |
|---|---|
status |
Retorna se ele existe no resultado JSON |
modified_timestamp |
Retorna se ele existe no resultado JSON |
major_version |
Retorna se ele existe no resultado JSON |
config_id_platform |
Retorna se ele existe no resultado JSON |
system_manufacturer |
Retorna se ele existe no resultado JSON |
device_policies |
Retorna se ele existe no resultado JSON |
meta |
Retorna se ele existe no resultado JSON |
pointer_size |
Retorna se ele existe no resultado JSON |
last_seen |
Retorna se ele existe no resultado JSON |
agent_local_time |
Retorna se ele existe no resultado JSON |
first_seen |
Retorna se ele existe no resultado JSON |
service_pack_major |
Retorna se ele existe no resultado JSON |
slow_changing_modified_timestamp |
Retorna se ele existe no resultado JSON |
service_pack_minor |
Retorna se ele existe no resultado JSON |
system_product_name |
Retorna se ele existe no resultado JSON |
product_type_desc |
Retorna se ele existe no resultado JSON |
build_number |
Retorna se ele existe no resultado JSON |
cid |
Retorna se ele existe no resultado JSON |
local_ip |
Retorna se ele existe no resultado JSON |
external_ip |
Retorna se ele existe no resultado JSON |
hostname |
Retorna se ele existe no resultado JSON |
config_id_build |
Retorna se ele existe no resultado JSON |
minor_version |
Retorna se ele existe no resultado JSON |
platform_id |
Retorna se ele existe no resultado JSON |
os_version |
Retorna se ele existe no resultado JSON |
config_id_base |
Retorna se ele existe no resultado JSON |
provision_status |
Retorna se ele existe no resultado JSON |
mac_address |
Retorna se ele existe no resultado JSON |
bios_version |
Retorna se ele existe no resultado JSON |
platform_name |
Retorna se ele existe no resultado JSON |
agent_load_flags |
Retorna se ele existe no resultado JSON |
device_id |
Retorna se ele existe no resultado JSON |
product_type |
Retorna se ele existe no resultado JSON |
agent_version |
Retorna se ele existe no resultado JSON |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Endpoint de Lift Contido:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Mensagens de saída
A ação Lift Contained Endpoint fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
Mensagem assíncrona. |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
Falha na ação. Verifique o status do endpoint e o valor do parâmetro |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Elevar endpoint contido:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar vulnerabilidades do host
Use a ação Listar vulnerabilidades do host para listar as vulnerabilidades encontradas no host no CrowdStrike Falcon.
Essa ação requer uma licença e permissões do Falcon Spotlight.
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Entradas de ação
A ação List Host Vulnerabilities exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Severity Filter |
Opcional
Uma lista separada por vírgulas de gravidades de vulnerabilidade. Se você não fornecer um valor, a ação vai ingerir todas as vulnerabilidades relacionadas. Os valores possíveis são:
|
Create Insight |
Opcional
Se selecionada, a ação cria um insight para cada entidade que contém informações estatísticas sobre vulnerabilidades relacionadas. Essa opção é selecionada por padrão. |
Max Vulnerabilities To Return |
Opcional
O número de vulnerabilidades a serem retornadas para um único host. Se você não fornecer um valor, a ação vai processar todas as vulnerabilidades relacionadas. O valor padrão é |
Saídas de ação
A ação List Host Vulnerabilities fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
Em um painel de casos, a ação List Host Vulnerabilities fornece a seguinte tabela:
Tipo: Entity
Colunas:
- Nome
- Pontuação
- Gravidade
- Status
- App
- Tem correção
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação List Host Vulnerabilities:
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
Mensagens de saída
A ação List Host Vulnerabilities fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
Falha na ação. Verifique o valor do parâmetro |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List Host Vulnerabilities:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar hosts
Use a ação Listar hosts para listar os hosts disponíveis no CrowdStrike Falcon.
Essa ação é executada em todas as entidades.
Entradas de ação
A ação List Hosts exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Filter Logic |
Opcional
Uma lógica a ser usada ao pesquisar hosts. O valor padrão é
|
Filter Value |
Opcional
Um valor a ser usado para filtragem de host. |
Max Hosts To Return |
Opcional
O número de hosts que serão retornados. O valor padrão é O valor máximo é |
Saídas de ação
A ação List Hosts fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação List Hosts:
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
Mensagens de saída
A ação List Hosts fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "List Hosts".
Reason: ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List Hosts:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar IOCs enviados
Use a ação List Uploaded IOCs para listar os IOCs personalizados disponíveis no CrowdStrike Falcon.
Essa ação é executada em todas as entidades.
Entradas de ação
A ação List Uploaded IOCs exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
IOC Type Filter |
Opcional
Uma lista separada por vírgulas de tipos de IOC a serem retornados. O valor padrão é
|
Value Filter Logic |
Opcional
Um valor da lógica de filtro. O valor padrão é
Se |
Value Filter String |
Opcional
Uma string para pesquisar entre IOCs. |
Max IOCs To Return |
Opcional
O número de IOCs a serem retornados. O valor padrão é O valor máximo é 500. |
Saídas de ação
A ação List Uploaded IOCs fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
Em um painel de casos, a ação List Uploaded IOCs fornece a seguinte tabela:
Colunas:
- Ação
- Gravidade
- Assinado
- Sucessos de AV
- Plataformas
- Tags
- Criado em
- Criado por
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação List Uploaded IOCs:
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
Mensagens de saída
A ação List Uploaded IOCs fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
A ação foi concluída. |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
Falha na ação. Verifique a ortografia e o valor do parâmetro |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List Uploaded IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Verificação sob demanda
Use a ação Verificação sob demanda para verificar o endpoint sob demanda no CrowdStrike.
Essa ação só é executada em hosts Windows e nas seguintes entidades:
- Endereço IP
- Nome do host
A ação Verificação sob demanda é executada de forma assíncrona. Ajuste o valor de tempo limite do script no IDE do Google SecOps, se necessário.
Entradas de ação
A ação Verificação sob demanda exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
File Paths To Scan |
Obrigatório Uma lista separada por vírgulas de caminhos a serem verificados. O valor padrão é |
File Paths To Exclude From Scan |
Opcional Uma lista separada por vírgulas de caminhos a serem excluídos da verificação. |
Host Group Name |
Opcional Uma lista separada por vírgulas de nomes de grupos de hosts para iniciar a verificação. A ação cria um processo de verificação separado para cada grupo de hosts. |
Scan Description |
Opcional Uma descrição a ser usada no processo de verificação. Se você
não definir um valor, a ação vai definir a descrição como:
|
CPU Priority |
Opcional A quantidade de CPU a ser usada para o host subjacente durante a verificação. Os possíveis valores são os seguintes:
O valor padrão é |
Sensor Anti-malware Detection Level |
Opcional O valor do nível de detecção antimalware do sensor. O nível de detecção precisa ser igual ou maior que o nível de prevenção. Os possíveis valores são os seguintes:
O valor padrão é |
Sensor Anti-malware Prevention Level |
Opcional O valor do nível de prevenção antimalware do sensor. O nível de detecção precisa ser igual ou maior que o nível de prevenção. Os possíveis valores são os seguintes:
O valor padrão é |
Cloud Anti-malware Detection Level |
Opcional O valor do nível de detecção antimalware na nuvem. O nível de detecção precisa ser igual ou maior que o nível de prevenção. Os possíveis valores são os seguintes:
O valor padrão é |
Cloud Anti-malware Prevention Level |
Opcional O valor do nível de prevenção de antimalware na nuvem. O nível de detecção precisa ser igual ou maior que o nível de prevenção. Os possíveis valores são os seguintes:
O valor padrão é |
Quarantine Hosts |
Opcional Se selecionada, a ação coloca em quarentena os hosts subjacentes como parte da verificação. Não selecionada por padrão. |
Create Endpoint Notification |
Opcional Se selecionado, o processo de verificação cria uma notificação de endpoint. Essa opção é selecionada por padrão. |
Max Scan Duration |
Opcional O número de horas que uma verificação é executada. Se você não fornecer um valor, a verificação será executada continuamente. |
Saídas de ação
A ação Verificação sob demanda fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Verificação sob demanda:
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
Mensagens de saída
A ação Verificação sob demanda fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Verificação sob demanda:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade com o CrowdStrike Falcon.
Essa ação é executada em todas as entidades.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar script
Use a ação Executar script para executar um script do PowerShell nos endpoints do CrowdStrike.
Essa ação é assíncrona. Ajuste o valor de tempo limite do script no IDE do Google SecOps, se necessário.
Essa ação é executada nas entidades de endereço IP e nome do host.
Entradas de ação
A ação Executar script exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Customer ID |
Opcional O ID do cliente para executar a ação. |
Script Name |
Opcional O nome do arquivo de script a ser executado. Configure o parâmetro |
Raw Script |
Opcional Uma carga de script do PowerShell bruto para execução em endpoints. Configure o parâmetro |
Saídas de ação
A ação Executar script fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
Em um quadro de casos, a ação Executar script fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Executar script:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar eventos
Use essa ação para pesquisar eventos no CrowdStrike. Observação: a ação está sendo executada de forma assíncrona. Ajuste o valor de tempo limite do script no IDE do Google SecOps para a ação, conforme necessário.
Essa ação não é executada em entidades.
Entradas de ação
A ação Eventos de pesquisa exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Repository |
Obrigatório
Repositório que precisa ser pesquisado. Os possíveis valores são os seguintes:
|
Query |
Obrigatório
Consulta que precisa ser executada no CrowdStrike. Observação: não forneça "head" como parte da consulta. A ação vai fornecer isso automaticamente com base no valor fornecido no parâmetro "Máximo de resultados a serem retornados". |
Time Frame |
Opcional
Período dos resultados. Se "Personalizado" estiver selecionado, você também precisará informar o "Horário de início". Os valores possíveis para "Última hora" são:
|
Start Time |
Opcional
Horário de início dos resultados. Se "Personalizado" for selecionado para o parâmetro "Período", esse parâmetro será obrigatório. Formato: ISO 8601. |
End Time |
Opcional
Quantos resultados retornar para a consulta. A ação vai anexar "head" à consulta fornecida. Padrão: 50. Máximo: 1.000. |
Saídas de ação
A ação Pesquisar eventos fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
Em um painel de casos, a ação Pesquisar eventos fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
|
A ação não pode falhar nem interromper a execução de um playbook. |
|
|
Falha na ação. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Pesquisar eventos:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enviar arquivo
Use a ação Enviar arquivo para enviar arquivos a uma sandbox no CrowdStrike.
Essa ação requer uma licença do Falcon Sandbox.
Essa ação não é executada em entidades.
Formatos de arquivo e de arquivamento compatíveis
De acordo com o portal da CrowdStrike, o sandbox é compatível com os seguintes formatos de arquivo:
| Formatos de arquivo com suporte | |
|---|---|
.exe, .scr, .pif,
.dll, .com, .cpl |
Executáveis portáteis |
.doc, .docx, .ppt,
.pps, .pptx, .ppsx,
.xls, .xlsx, .rtf,
.pub |
Documentos do Microsoft Office |
.pdf |
|
.apk |
APK |
.jar |
JAR executável |
.sct |
Componente de script do Windows |
.lnk |
Atalho do Windows |
.chm |
Ajuda do Windows |
.hta |
Aplicativo HTML |
.wsf |
Arquivo de script do Windows |
.js |
JavaScript |
.vbs, .vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1, .psd1, .psm1 |
Powershell |
.svg |
Gráficos vetoriais escaláveis |
.py |
Python |
.elf |
Executáveis ELF do Linux |
.eml |
Arquivos de e-mail: MIME RFC 822 |
.msg |
Arquivos de e-mail: Outlook |
De acordo com o portal da CrowdStrike, o sandbox é compatível com os seguintes formatos de arquivo:
.zip.7z
Entradas de ação
A ação Enviar arquivo exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
File Paths |
Obrigatório
Uma lista de caminhos absolutos para os arquivos enviados. O formato depende da sua implantação:
Para uma lista dos formatos de arquivo compatíveis, consulte Formatos de arquivo e arquivo compactado compatíveis. |
Sandbox Environment |
Opcional
Um ambiente de sandbox para análise. O valor padrão é
|
Network Environment |
Opcional
Um ambiente de rede para analisar. O valor padrão é
|
Archive Password |
Opcional
Uma senha a ser usada ao trabalhar com arquivos compactados. |
Document Password |
Opcional
Uma senha para usar ao trabalhar com arquivos do Adobe ou do Office. O tamanho máximo da senha é de 32 caracteres. |
Check Duplicate |
Opcional
Se selecionada, a ação verifica se o arquivo já foi enviado antes e retorna o relatório disponível. Durante a validação, a ação não considera os parâmetros Essa opção é selecionada por padrão. |
Comment |
Opcional
Um comentário a ser enviado. |
Confidential Submission |
Opcional
Se selecionada, o arquivo só será mostrado para usuários na sua conta de cliente. Não selecionada por padrão. |
Saídas de ação
A ação Enviar arquivo oferece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
Em um quadro de casos, a ação Enviar arquivo fornece a seguinte tabela:
Colunas:
- Resultados
- Nome
- Pontuação de ameaça
- Veredito
- Tags
Mensagens de saída
A ação Enviar arquivo fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
A ação retornou um erro. Confira os formatos de arquivo compatíveis com essa ação. |
Waiting for results for the following
files: PATHS |
Mensagem assíncrona. |
Error executing action "Submit File".
Reason: ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
Falha na ação. Aumente o tempo limite no ambiente de desenvolvimento integrado. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Enviar arquivo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enviar URL
Use a ação Enviar URL para enviar URLs a uma sandbox no CrowdStrike.
Essa ação requer uma licença do Falcon Sandbox. Para verificar quais formatos de arquivo são compatíveis com a sandbox, consulte a seção Formatos de arquivo e arquivo compactado compatíveis deste documento.
Essa ação não é executada em entidades.
Entradas de ação
A ação Enviar URL exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
URLs |
Obrigatório
URLs a serem enviados. |
Sandbox Environment |
Opcional
Um ambiente de sandbox para análise. O valor padrão é
|
Network Environment |
Opcional
Um ambiente de rede para analisar. O valor padrão é
|
Check Duplicate |
Opcional
Se selecionada, a ação verifica se o URL já foi enviado antes e retorna o relatório disponível. Durante a validação, a ação não considera os parâmetros Essa opção é selecionada por padrão. |
Saídas de ação
A ação Enviar URL fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Enviar URL fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Waiting for results for the following
URLs: PATHS |
Mensagem assíncrona. |
Error executing action "Submit URL".
Reason: ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
Falha na ação. Aumente o tempo limite no ambiente de desenvolvimento integrado. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Enviar URL:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar alerta
Use a ação Atualizar alerta para atualizar os alertas no CrowdStrike Falcon.
Essa ação não é executada em entidades.
Entradas de ação
A ação Atualizar alerta exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Alert ID |
Obrigatório O ID do alerta a ser atualizado. |
Status |
Opcional O status do alerta. Os valores possíveis são os seguintes:
|
Verdict |
Opcional O veredito do alerta. Os valores possíveis são os seguintes:
|
Assign To |
Opcional O nome do analista a quem o alerta será atribuído. Se você fornecer A API aceita qualquer valor, mesmo que o usuário fornecido não exista no sistema. |
Saídas de ação
A ação Alerta de atualização fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Atualizar alerta:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensagens de saída
A ação Atualizar alerta fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
A ação foi concluída. |
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Atualizar alerta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar detecção
Use a ação Atualizar detecção para atualizar as detecções no CrowdStrike Falcon.
Essa ação é executada em todas as entidades.
Entradas de ação
A ação Atualizar detecção exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Detection ID |
Obrigatório
O ID da detecção a ser atualizada. |
Status |
Obrigatório
Um status de detecção. O valor padrão é
|
Assign Detection to |
Opcional
Um endereço de e-mail do usuário do CrowdStrike Falcon que é o destinatário da detecção. |
Saídas de ação
A ação Detecção de atualizações fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Detecção de atualizações fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
A ação foi concluída. |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
Falha na ação. Verifique os valores dos parâmetros |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Detecção de atualização:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar a detecção de proteção de identidade
Use a Atualização da detecção de proteção de identidade para atualizar uma detecção de proteção de identidade na CrowdStrike.
Essa ação requer uma licença do Identity Protection.
Essa ação não é executada em entidades.
Entradas de ação
A ação Atualizar detecção de proteção de identidade exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Detection ID |
Obrigatório
O ID da detecção a ser atualizada. |
Status |
Opcional
Um status da detecção. O valor padrão é Os valores possíveis são:
|
Assign to |
Opcional
O nome do analista atribuído. Se Se um valor inválido for fornecido, a ação não vai mudar o atribuidor atual. |
Saídas de ação
A ação Atualizar detecção de proteção de identidade fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Atualizar detecção de proteção de identidade:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensagens de saída
Em um painel de casos, a ação Atualizar detecção de proteção de identidade fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
A ação foi concluída. |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
Falha na ação. Verifique a ortografia. |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
Falha na ação. Verifique os valores dos parâmetros |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Atualizar detecção de proteção de identidade:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar incidente
Use a ação Atualizar incidente para atualizar incidentes no CrowdStrike.
Essa ação não é executada em entidades.
Entradas de ação
A ação Atualizar incidente exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Incident ID |
Obrigatório
O ID do incidente a ser atualizado. |
Status |
Opcional
O status do incidente. Os valores possíveis são:
|
Assign to |
Opcional
O nome ou endereço de e-mail do analista atribuído. Se Para especificar um nome, forneça o nome e o
sobrenome do analista no seguinte formato:
|
Saídas de ação
A ação Atualizar incidente fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Atualizar incidente:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Mensagens de saída
A ação Atualizar incidente fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
A ação foi concluída. |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Falha na ação. Verifique a ortografia. |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
Falha na ação. Verifique a ortografia. |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
Falha na ação. Verifique os parâmetros de entrada. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Atualizar incidente:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar informações de IOC
Use a ação Atualizar informações de IOC para atualizar informações sobre IOCs personalizados no CrowdStrike Falcon.
Essa ação trata as entidades de nome do host como IOCs de domínio e extrai a parte do domínio dos URLs. Ela só é compatível com os hashes MD5 e SHA-256.
A ação Atualizar informações de IOC é executada nas seguintes entidades:
- Nome do host
- URL
- Endereço IP
- Hash
Entradas de ação
A ação Atualizar informações de IOC exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Description |
Opcional
Uma nova descrição para IOCs personalizados. |
Source |
Opcional
Uma origem para IOCs personalizados. |
Expiration days |
Opcional
O número de dias restantes até a expiração. Esse parâmetro afeta apenas as entidades URL, endereço IP e nome de host. |
Detect policy |
Opcional
Se selecionada, a ação envia uma notificação para os IOCs identificados. Se não estiver selecionada, a ação não enviará uma notificação. Essa opção é selecionada por padrão. |
Saídas de ação
A ação Atualizar informações de IOC fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Atualizar informações de IOC:
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
Mensagens de saída
Em um painel de casos, a ação Atualizar informações de IOC fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Atualizar informações de IOC:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Fazer upload de IOCs
Use a ação Fazer upload de IOCs para adicionar IOCs personalizados no CrowdStrike Falcon.
Essa ação trata as entidades de nome do host como IOCs de domínio e extrai a parte do domínio dos URLs. Ela só é compatível com os hashes MD5 e SHA-256.
A ação Fazer upload de IOCs é executada nas seguintes entidades:
- Endereço IP
- Nome do host
- URL
- Hash
Entradas de ação
A ação Fazer upload de IOCs exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Platform |
Obrigatório
Uma lista separada por vírgulas de plataformas relacionadas ao IOC. O valor padrão é
|
Severity |
Obrigatório
A gravidade do IOC. O valor padrão é
|
Comment |
Opcional
Um comentário com mais contexto relacionado ao IOC. |
Host Group Name |
Obrigatório
O nome do grupo de hosts. |
Action |
Opcional
Uma ação para IOCs enviados. O valor padrão é Os valores possíveis são os seguintes:
O valor |
Saídas de ação
A ação Fazer upload de IOCs fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Fazer upload de IOCs fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
Falha na ação. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
Falha na ação. Verifique o valor do parâmetro |
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
Falha na ação. Verifique o valor do parâmetro |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Fazer upload de IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conectores
Confira se você configurou as permissões mínimas para cada conector do CrowdStrike. Para mais detalhes, consulte a seção Permissões do conector deste documento.
Para instruções sobre como configurar um conector no Google SecOps, consulte Ingerir seus dados (conectores).
Eventos da CrowdStrike
Os eventos são informações coletadas pelos sensores do Falcon nos seus hosts. Há quatro tipos de eventos no CrowdStrike:
| Tipos de eventos da CrowdStrike | |
|---|---|
| Eventos de auditoria de atividade de autenticação | Eventos gerados sempre que a autorização é solicitada, permitida ou concluída em endpoints. |
| Eventos de resumo da detecção | Eventos gerados quando ameaças são detectadas em endpoints. |
| Eventos de fim de sessão de resposta remota | Eventos gerados de sessões remotas em endpoints. |
| Eventos de auditoria de atividade do usuário | Eventos gerados para monitorar as atividades realizadas por usuários ativos em endpoints. |
Os conectores ingerem eventos no Google SecOps para criar alertas e enriquecer casos com dados de eventos. É possível selecionar quais eventos ingerir no Google SecOps: todos os tipos de eventos ou apenas alguns.
Conector de detecções da CrowdStrike
Use o conector de detecções da CrowdStrike para extrair detecções da CrowdStrike.
A lista dinâmica funciona com filtros compatíveis com a API do CrowdStrike.
Como trabalhar com a lista dinâmica
Ao trabalhar com a lista dinâmica, siga estas recomendações:
- Use a linguagem FQL do CrowdStrike para modificar o filtro enviado pelo conector.
- Forneça uma entrada separada na lista dinâmica para cada filtro.
Para ingerir todas as detecções atribuídas a um analista específico, verifique se ele forneceu a seguinte entrada de lista dinâmica:
assigned_to_name:'ANALYST_USER_NAME'
A lista dinâmica é compatível com os seguintes parâmetros:
| Parâmetros aceitos | |
|---|---|
q |
Uma pesquisa de texto completo em todos os campos de metadados. |
date_updated |
A data da atualização de detecção mais recente. |
assigned_to_name |
O nome de usuário legível do responsável pela detecção. |
max_confidence |
Quando uma detecção tem mais de um comportamento associado com níveis de confiança variados, esse campo captura o maior valor de confiança de todos os comportamentos. O valor do parâmetro pode ser qualquer número inteiro de 1 a 100. |
detection_id |
O ID de detecção que pode ser usado com outras APIs, como a API Detection Details ou a API Resolve Detection. |
max_severity |
Quando uma detecção tem mais de um comportamento associado com diferentes níveis de gravidade, esse campo captura o valor de gravidade mais alto de todos os comportamentos. O valor do parâmetro pode ser qualquer número inteiro de 1 a 100. |
max_severity_displayname |
O nome usado na UI para determinar a gravidade da detecção. Os valores possíveis são:
|
seconds_to_triaged |
O tempo necessário para que uma detecção mude o status de
new para in_progress. |
seconds_to_resolved |
O tempo necessário para uma detecção mudar o status de
new para qualquer um dos estados resolvidos (true_positive,
false_positive, ignored e
closed). |
status |
Um status atual da detecção. Os valores possíveis são os seguintes:
|
adversary_ids |
O invasor rastreado pelo CrowdStrike Falcon Intelligence tem um ID associado aos comportamentos ou indicadores atribuídos em uma detecção. Esses IDs estão localizados em metadados de detecção acessíveis pela API Detection Details. |
cid |
O ID de cliente (CID) da sua organização. |
Parâmetros do conector
O conector de detecções da CrowdStrike exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
O nome do campo de origem que contém o nome O valor padrão é |
Event Field Name |
Obrigatório
O nome do campo de origem que contém o nome O valor padrão é |
Environment Field Name |
Opcional
O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente padrão será usado. O valor padrão é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout (Seconds) |
Obrigatório O limite de tempo em segundos para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório
A raiz da API da instância do CrowdStrike. O valor padrão é |
Client ID |
Obrigatório
O ID do cliente da conta da CrowdStrike. |
Client Secret |
Obrigatório
A chave secreta do cliente da conta da CrowdStrike. |
Lowest Severity Score To Fetch |
Opcional
A menor pontuação de gravidade das detecções a serem buscadas. Se nenhum valor for fornecido, o conector não vai aplicar esse filtro. O valor máximo é O valor padrão é
|
Lowest Confidence Score To Fetch |
Opcional
A menor pontuação de confiança das detecções a serem buscadas. Se nenhum valor for fornecido, o conector não vai aplicar esse filtro. O valor máximo é O valor padrão é
|
Max Hours Backwards |
Opcional
O número de horas para buscar detecções. O valor padrão é |
Max Detections To Fetch |
Opcional
O número de detecções a serem processadas em uma única iteração do conector. O valor padrão é |
Disable Overflow |
Opcional Se selecionado, o conector vai ignorar o mecanismo de estouro. Não selecionada por padrão. |
Verify SSL |
Obrigatório
Se selecionada, a integração verifica se o certificado SSL da conexão com o servidor do CrowdStrike é válido. Não selecionada por padrão. |
Proxy Server Address |
Opcional
Um endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional
Um nome de usuário de proxy para autenticação. |
Proxy Password |
Opcional
Uma senha de proxy para autenticação. |
Case Name Template |
Opcional
Se fornecido, o conector adiciona uma nova chave chamada Você pode fornecer marcadores de posição
no seguinte formato: [ Observação: o conector usa o primeiro evento do Google SecOps para marcadores de posição. Esse parâmetro permite apenas chaves com um valor de string. |
Alert Name Template |
Opcional
Se fornecido, o conector usa esse valor para o nome do alerta do Google SecOps. Você pode fornecer marcadores de posição
no seguinte formato: [ Observação: se você não fornecer um valor ou um modelo inválido, o conector usará o nome de alerta padrão. O conector usa o primeiro evento do Google SecOps para marcadores de posição. Esse parâmetro permite apenas chaves com um valor de string. |
Padding Period |
Opcional
O número de horas que o conector usa para padding. O valor máximo é |
Include Hidden Alerts |
Opcional
Se ativado, o conector também vai buscar alertas marcados como "ocultos" pela CrowdStrike. |
Fallback Severity |
Opcional
Gravidade substituta para o alerta do Google SecOps que deve ser aplicada aos alertas do CrowdStrike, que não têm informações de gravidade. Valores possíveis: Informacional, Baixa, Média, Alta, Crítica. Se nada for fornecido, o conector vai usar a gravidade "Informativa". |
Customer ID |
Opcional O ID do cliente do locatário em que o conector será executado. Para uso em ambientes multilocatários (MSSP). |
Regras do conector
O conector é compatível com proxies.
Eventos do conector
Confira um exemplo de evento do conector:
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
Conector de eventos de streaming do CrowdStrike Falcon
O conector de eventos de streaming do CrowdStrike Falcon aborda os seguintes casos de uso:
Ingestão de dados de eventos de detecção.
O CrowdStrike Falcon detecta uma tentativa de executar o arquivo
SophosCleanM.exemalicioso em um endpoint. O CrowdStrike interrompe a operação e cria um alerta com hashes de arquivo nos dados do evento.Um analista interessado na reputação de arquivos executa hashes descobertos no VirusTotal e descobre que um hash é malicioso. Como uma etapa a seguir, a ação do McAfee EDR coloca o arquivo malicioso em quarentena.
Ingestão de dados de eventos de auditoria de atividade do usuário.
Uma usuária da CrowdStrike, Dani, atualiza o status da detecção de
newparafalse-positive. Essa ação do usuário cria um evento chamado detection_update.O analista faz um acompanhamento para entender por que Dani marcou a ação como um falso positivo e verifica o evento ingerido que contém as informações sobre a identidade dela.
Na etapa seguinte, o analista executa a ação Enriquecer entidades do Active Directory para obter mais detalhes sobre o incidente e simplificar o rastreamento de Dani.
Ingestão de dados de eventos de auditoria de atividade de autenticação.
Um evento indica que Dani criou uma nova conta de usuário e concedeu funções de usuário a ela.
Para investigar o evento e entender por que o usuário foi criado, o analista usa o ID de usuário de Dani para executar a ação Enriquecer entidades do Active Directory e descobrir a função do usuário de Dani para confirmar se ela tem autorização para adicionar novos usuários.
Ingestão de dados de eventos de término de resposta remota.
Um evento remoto indica que Dani tinha uma conexão remota com um host específico e executou comandos como um usuário root para acessar um diretório de servidor da Web.
Para mais informações sobre Dani e o host envolvido, o analista executa a ação do Active Directory para enriquecer o usuário e o host. Com base nas informações retornadas, o analista pode decidir suspender Dani até que o propósito da conexão remota seja esclarecido.
Entradas do conector
O conector de eventos de streaming do CrowdStrike Falcon exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
O nome do campo de origem que contém o nome O valor padrão é |
Event Field Name |
Obrigatório
O nome do campo de origem que contém o nome O valor padrão é |
Environment Field Name |
Opcional
O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente padrão será usado. O valor padrão é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Alert Name Template |
Opcional
Se fornecido, o conector usa esse valor para o nome do alerta do Google SecOps. Você pode fornecer marcadores de posição
no seguinte formato: [ Observação: se você não fornecer um valor ou um modelo inválido, o conector usará o nome de alerta padrão. O conector usa o primeiro evento do Google SecOps para marcadores de posição. Esse parâmetro permite apenas chaves com um valor de string. |
API Root |
Obrigatório
A raiz da API da instância do CrowdStrike. O valor padrão é |
Client ID |
Obrigatório
O ID do cliente da conta da CrowdStrike. |
Client Secret |
Obrigatório
A chave secreta do cliente da conta da CrowdStrike. |
Event types |
Opcional
Uma lista separada por vírgulas de tipos de eventos. Confira alguns exemplos de tipos de eventos:
|
Max Days Backwards |
Opcional
O número de dias antes de hoje para recuperar detecções. O valor padrão é |
Max Events Per Cycle |
Opcional
O número de eventos a serem processados em uma única iteração do conector. O valor padrão é |
Min Severity |
Opcional Eventos a serem ingeridos com base na gravidade do evento (eventos de detecção). O valor varia de 0 a 5. Se outros tipos de eventos além de detecções forem ingeridos, a gravidade deles será definida como |
Disable Overflow |
Opcional Se selecionado, o conector vai ignorar o mecanismo de estouro. Não selecionada por padrão. |
Verify SSL |
Obrigatório
Se selecionada, a integração verifica se o certificado SSL da conexão com o servidor do CrowdStrike é válido. Não selecionada por padrão. |
Script Timeout (Seconds) |
Obrigatório O limite de tempo limite para o processo Python que executa o script atual. O valor padrão é de 60 segundos. |
Proxy Server Address |
Opcional
Um endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional
Um nome de usuário de proxy para autenticação. |
Proxy Password |
Opcional
Uma senha de proxy para autenticação. |
Rule Generator Template |
Opcional
Se fornecido, o conector usa esse valor para o gerador de regras do Google SecOps. É possível fornecer
marcadores de posição
no seguinte formato: [ Se você não fornecer um valor ou um modelo inválido, o conector vai usar o gerador de regras padrão. O conector usa o primeiro evento do Google SecOps para marcadores de posição. Esse parâmetro permite apenas chaves com um valor de string. |
Customer ID |
Opcional O ID do cliente do locatário em que o conector será executado. Para uso em ambientes multilocatários (MSSP). |
Regras do conector
Esse conector é compatível com proxies.
Esse conector não é compatível com a lista dinâmica.
Conector de detecções de proteção de identidade da CrowdStrike
Use o conector de detecções de proteção de identidade da CrowdStrike para extrair as detecções de proteção de identidade da CrowdStrike. A lista dinâmica funciona com o parâmetro display_name.
Esse conector exige uma licença do Identity Protection.
Entradas do conector
O conector de detecções de proteção de identidade da CrowdStrike exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
O nome do campo de origem que contém o nome O valor padrão é |
Event Field Name |
Obrigatório
O nome do campo de origem que contém o nome O valor padrão é |
Environment Field Name |
Opcional
O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente padrão será usado. O valor padrão é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout (Seconds) |
Obrigatório O limite de tempo em segundos para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório
A raiz da API da instância do CrowdStrike. O valor padrão é |
Client ID |
Obrigatório
O ID do cliente da conta da CrowdStrike. |
Client Secret |
Obrigatório
A chave secreta do cliente da conta da CrowdStrike. |
Lowest Severity Score To Fetch |
Opcional
A menor pontuação de gravidade das detecções a serem buscadas. Se nenhum valor for fornecido, o conector não vai aplicar esse filtro. O valor máximo é O valor padrão é
O conector também aceita os seguintes valores para esse parâmetro:
|
Lowest Confidence Score To Fetch |
Opcional
a menor pontuação de confiança das detecções a serem buscadas. Se nenhum valor for fornecido, o conector não vai aplicar esse filtro. O valor máximo é O valor padrão é
|
Max Hours Backwards |
Opcional
O número de horas antes do momento atual para recuperar detecções. O valor padrão é |
Max Detections To Fetch |
Opcional
O número de detecções a serem processadas em uma única iteração do conector. O valor padrão é |
Case Name Template |
Opcional
Se fornecido, o conector adiciona uma nova chave chamada Você pode fornecer marcadores de posição
no seguinte formato: [ Observação: o conector usa o primeiro evento do Google SecOps para marcadores de posição. Esse parâmetro permite apenas chaves com um valor de string. |
Alert Name Template |
Opcional
Se fornecido, o conector usa esse valor para o nome do alerta do Google SecOps. Você pode fornecer marcadores de posição
no seguinte formato: [ Observação: se você não fornecer um valor ou um modelo inválido, o conector usará o nome de alerta padrão. O conector usa o primeiro evento do Google SecOps para marcadores de posição. Esse parâmetro permite apenas chaves com um valor de string. |
Disable Overflow |
Opcional Se selecionado, o conector vai ignorar o mecanismo de estouro. Não selecionada por padrão. |
Verify SSL |
Obrigatório
Se selecionada, a integração verifica se o certificado SSL da conexão com o servidor do CrowdStrike é válido. Não selecionada por padrão. |
Proxy Server Address |
Opcional
Um endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional
Um nome de usuário de proxy para autenticação. |
Proxy Password |
Opcional
Uma senha de proxy para autenticação. |
Customer ID |
Opcional O ID do cliente do locatário em que o conector será executado. Para uso em ambientes multilocatários (MSSP). |
Regras do conector
Esse conector é compatível com proxies.
Evento do conector
Confira um exemplo de evento do conector:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Conector de incidentes da CrowdStrike
Use o Conector de incidentes da CrowdStrike para extrair incidentes e comportamentos relacionados da CrowdStrike.
A lista dinâmica funciona com o parâmetro incident_type.
Parâmetros do conector
O conector de incidentes do CrowdStrike exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
O nome do campo de origem que contém o nome O valor padrão é |
Event Field Name |
Obrigatório
O nome do campo de origem que contém o nome O valor padrão é |
Environment Field Name |
Opcional
O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente padrão será usado. O valor padrão é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a ser executado no valor encontrado no campo Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout (Seconds) |
Obrigatório O limite de tempo em segundos para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório
A raiz da API da instância do CrowdStrike. O valor padrão é |
Client ID |
Obrigatório
O ID do cliente da conta da CrowdStrike. |
Client Secret |
Obrigatório
A chave secreta do cliente da conta da CrowdStrike. |
Lowest Severity Score To Fetch |
Opcional
A menor pontuação de gravidade dos incidentes a serem buscados. Se nenhum valor for fornecido, o conector vai ingerir incidentes com todas as gravidades. O valor máximo é
|
Max Hours Backwards |
Opcional
O número de horas antes de agora para recuperar incidentes. O valor padrão é |
Max Incidents To Fetch |
Opcional
O número de incidentes a serem processados em uma única iteração do conector. O valor máximo é O valor padrão é
|
Use dynamic list as a blocklist |
Obrigatório
Se selecionada, a lista dinâmica será usada como uma lista de bloqueio. Não selecionada por padrão. |
Disable Overflow |
Opcional Se selecionado, o conector vai ignorar o mecanismo de estouro. Não selecionada por padrão. |
Verify SSL |
Obrigatório
Se selecionada, a integração verifica se o certificado SSL da conexão com o servidor do CrowdStrike é válido. Não selecionada por padrão. |
Proxy Server Address |
Opcional
Um endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional
Um nome de usuário de proxy para autenticação. |
Proxy Password |
Opcional
Uma senha de proxy para autenticação. |
Customer ID |
Opcional O ID do cliente do locatário em que o conector será executado. Para uso em ambientes multilocatários (MSSP). |
Regras do conector
Esse conector é compatível com proxies.
Eventos do conector
O conector de incidentes da CrowdStrike tem dois tipos de eventos: um baseado em incidentes e outro em comportamento.
Confira um exemplo de evento com base em incidente:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Exemplo de um evento com base no comportamento:
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike – conector de alertas
Use o Conector de alertas do CrowdStrike para extrair alertas do CrowdStrike.
A lista dinâmica funciona com o parâmetro display_name.
Para buscar detecções de proteção de identidade, use o conector de detecções de proteção de identidade.
Entradas do conector
O Conector de alertas da CrowdStrike exige os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
O nome do campo de origem que contém o nome O valor padrão é |
Event Field Name |
Obrigatório
O nome do campo de origem que contém o nome O valor padrão é |
Environment Field Name |
Opcional
O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente padrão será usado. O valor padrão é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout (Seconds) |
Obrigatório Limite de tempo em segundos para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório
A raiz da API da instância do CrowdStrike. O valor padrão é |
Client ID |
Obrigatório
O ID do cliente da conta da CrowdStrike. |
Client Secret |
Obrigatório
A chave secreta do cliente da conta da CrowdStrike. |
Case Name Template |
Opcional
Se fornecido, o conector adiciona uma nova chave chamada Você pode fornecer marcadores de posição
no seguinte formato: [ Observação: o conector usa o primeiro evento do Google SecOps para marcadores de posição. Esse parâmetro permite apenas chaves com um valor de string. |
Alert Name Template |
Opcional
Se fornecido, o conector usa esse valor para o nome do alerta do Google SecOps. Você pode fornecer marcadores de posição
no seguinte formato: [ Observação: se você não fornecer um valor ou um modelo inválido, o conector usará o nome de alerta padrão. O conector usa o primeiro evento do Google SecOps para marcadores de posição. Esse parâmetro permite apenas chaves com um valor de string. |
Lowest Severity Score To Fetch |
Opcional
A menor pontuação de gravidade dos incidentes a serem buscados. Se nenhum valor for fornecido, o conector vai ingerir incidentes com todas as gravidades. O valor máximo é
Na interface do CrowdStrike, o mesmo valor é apresentado dividido por 10. |
Max Hours Backwards |
Opcional
O número de horas antes de agora para recuperar incidentes. O valor padrão é |
Max Alerts To Fetch |
Opcional
O número de alertas a serem processados em uma única iteração do conector. O valor máximo é O valor padrão é
|
Use dynamic list as a blocklist |
Obrigatório
Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão. |
Disable Overflow |
Opcional Se selecionado, o conector vai ignorar o mecanismo de estouro. Não selecionada por padrão. |
Verify SSL |
Obrigatório
Se selecionada, a integração verifica se o certificado SSL da conexão com o servidor do CrowdStrike é válido. Não selecionada por padrão. |
Proxy Server Address |
Opcional
Um endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional
Um nome de usuário de proxy para autenticação. |
Proxy Password |
Opcional
Uma senha de proxy para autenticação. |
Customer ID |
Opcional O ID do cliente do locatário em que o conector será executado. Para uso em ambientes multilocatários (MSSP). |
Regras do conector
Esse conector é compatível com proxies.
Eventos do conector
Confira um exemplo de evento baseado em alertas:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.