Integre o CrowdStrike Falcon com o Google SecOps
Este documento explica como integrar o CrowdStrike Falcon com o Google Security Operations (Google SecOps).
Versão da integração: 56.0
Esta integração usa um ou mais componentes de código aberto. Pode transferir uma cópia do código-fonte completo desta integração a partir do contentor do Cloud Storage.
Exemplos de utilização
Na plataforma Google SecOps, a integração do CrowdStrike Falcon resolve os seguintes exemplos de utilização:
Contenção de software malicioso automatizada: use as capacidades da plataforma Google SecOps para colocar automaticamente em quarentena o ponto final afetado, obter o hash do ficheiro para análise adicional e impedir a propagação de software malicioso. A contenção automática de software malicioso é ativada quando um email de phishing aciona um alerta do CrowdStrike Falcon para uma transferência de ficheiro suspeita.
Resposta a incidentes acelerada: use o Google SecOps para recolher dados contextuais, como árvores de processos e ligações de rede, isolar o anfitrião comprometido e criar um pedido para investigação.
Procura e investigação de ameaças: use as capacidades da plataforma Google SecOps para consultar o CrowdStrike Falcon para ações específicas do utilizador, modificações de ficheiros e ligações de rede durante um período definido. A procura e a investigação de ameaças permitem que os seus analistas de segurança investiguem uma potencial ameaça interna e analisem uma atividade histórica de um ponto final, ao mesmo tempo que simplificam o processo de investigação.
Resposta e remediação de phishing: use o CrowdStrike Falcon e a plataforma Google SecOps para analisar os anexos de email, abri-los num ambiente de sandbox e bloquear automaticamente o endereço de email do remetente se for detetada atividade maliciosa.
Gestão de vulnerabilidades: use as capacidades da plataforma Google SecOps para criar automaticamente pedidos para cada sistema vulnerável, priorizá-los com base na gravidade e no valor do recurso, e acionar fluxos de trabalho de aplicação de patches automatizados. A gestão de vulnerabilidades ajuda a identificar uma vulnerabilidade crítica em vários pontos finais.
Antes de começar
Antes de configurar a integração no Google SecOps, conclua os seguintes passos:
Configure o cliente da API CrowdStrike Falcon.
Configure as autorizações de ações.
Configure as autorizações do conetor.
Configure o cliente da API CrowdStrike Falcon
Para definir um cliente da API CrowdStrike e ver, criar ou modificar clientes da API ou chaves, tem de ter a função FalconAdministrator.
Os segredos só são apresentados quando cria um novo cliente da API ou repõe o cliente da API.
Para configurar o cliente da API CrowdStrike Falcon, conclua os seguintes passos:
- Na IU do Falcon, navegue para Apoio técnico e recursos > Recursos e ferramentas > Clientes e chaves de API. Nesta página, pode encontrar clientes existentes, adicionar novos clientes da API ou ver o registo de auditoria.
- Clique em Criar cliente da API.
- Indique um nome para o novo cliente API.
- Selecione os âmbitos da API adequados.
Clique em Criar. Os valores do ID de cliente e do segredo do cliente são apresentados.
Esta é a única vez que vê o valor do segredo do cliente. Certifique-se de que o guarda em segurança. Se perder o segredo do cliente, reponha o cliente API e atualize todas as aplicações que dependem do segredo do cliente com novas credenciais.
Para ver mais detalhes sobre o acesso à API CrowdStrike, consulte o guia Como obter acesso à API CrowdStrike no blogue da CrowdStrike.
Configure as autorizações de ações
Consulte as autorizações mínimas para ações, conforme indicado na tabela seguinte:
| Ação | Autorizações necessárias |
|---|---|
| Adicionar comentário à deteção | Detections.ReadDetection.Write |
| Adicione um comentário de deteção da proteção de identidade | Alerts.ReadAlerts.Write |
| Adicionar comentário de incidente | Incidents.Write |
| Deteção de proximidade | Detections.ReadDetection.Write |
| Ponto final de contenção | Hosts.ReadHosts.Write |
| Eliminar IOC | IOC Management.ReadIOC Management.Write |
| Transferir ficheiro | Hosts.ReadReal time response.ReadReal time response.Write |
| Executar comando | Hosts.ReadReal time response.ReadReal time response.WriteReal time response (admin).Write* para comandos com privilégios completos.
|
| Get Event Offset | Event streams.Read |
| Obtenha anfitriões por COI | Não disponível: descontinuado |
| Receba informações do anfitrião | Hosts.Read |
| Obtenha o nome do processo por IOC | Não disponível: descontinuado |
| Ponto final com aumento contido | Hosts.ReadHosts.Write |
| Apresentar anfitriões | Hosts.Read |
| Listar vulnerabilidades do anfitrião | Hosts.ReadSpotlight vulnerabilities.Read |
| Apresente IOCs carregados | IOC Management.Read |
| Procura a pedido | On-demand scans (ODS).ReadOn-demand scans (ODS).Write |
| Tchim-tchim | Hosts.Read |
| Enviar ficheiro | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Enviar URL | Reports (Falcon Intelligence).ReadSandbox (Falcon Intelligence).ReadSandbox (Falcon Intelligence).Write |
| Atualização da deteção | Detections.ReadDetection.WriteUser management.Read |
| Atualize a Deteção de proteção de identidade | Alerts.ReadAlerts.Write |
| Atualizar incidente | Incidents.Write |
| Atualize as informações de IOC | IOC Management.ReadIOC Management.Write |
| Carregue IOCs | IOC Management.ReadIOC Management.Write |
Configure as autorizações do conetor
Consulte as autorizações mínimas para conectores, conforme indicado na tabela seguinte:
| Conetor | Autorizações necessárias |
|---|---|
| Conetor de deteções do CrowdStrike | Detection.Read |
| Conetor de eventos de streaming do CrowdStrike Falcon | Event streams.Read |
| Conetor de deteções de proteção de identidade da CrowdStrike | Alerts.Read |
| Conetor de incidentes do CrowdStrike | Incidents.Read |
Pontos finais
A integração do CrowdStrike Falcon interage com os seguintes pontos finais da API CrowdStrike Falcon:
Endpoints gerais da API:
/oauth2/token
Anfitriões e dispositivos:
/devices/entities/devices/v1/devices/entities/devices-actions/v2
Deteções e eventos:
/detections/entities/detections/v2/detections/entities/summaries/GET/v1/protection/entities/detections/v1
Indicadores de comprometimento (IOCs):
/intel/entities/indicators/v1/intel/queries/devices/v1
Vulnerabilidades:
/devices/combined/devices/vulnerabilities/v1
Resposta e contenção:
/respond/entities/command-queues/v1/respond/entities/extracted-files/v1
Incidentes:
/incidents/entities/incidents/GET/v1/incidents/entities/incidents/comments/GET/v1/incidents/entities/incidents/GET/v1
Análise de ficheiros e URLs:
/malware-uploads/entities/submissions/v2/url/entities/scans/v1
Parâmetros de integração
Para que a integração funcione corretamente, é necessária uma versão premium do CrowdStrike Falcon com capacidades completas. Determinadas ações não funcionam com uma versão básica do CrowdStrike Falcon.
A integração do CrowdStrike Falcon requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
API Root |
Uma raiz da API da instância do CrowdStrike. O valor predefinido é |
Client API ID |
Obrigatório O ID de cliente da API CrowdStrike. |
Client API Secret |
Obrigatório O segredo do cliente para a API CrowdStrike. |
Verify SSL |
Se estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao servidor do CrowdStrike Falcon é válido. Não selecionado por predefinição. |
Customer ID |
Opcional O ID de cliente do inquilino no qual executar a integração. Para utilização em ambientes multi-inquilino (MSSP). |
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Antes de avançar com a configuração da integração, configure as autorizações mínimas necessárias para cada item de integração. Para ver mais detalhes, consulte a secção Autorizações de ações deste documento.
Adicionar comentário de alerta
Use a ação Adicionar comentário de alerta para adicionar um comentário a um alerta no CrowdStrike Falcon.
Esta ação não é executada em entidades.
Dados de ações
A ação Adicionar comentário de alerta requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Alert |
Obrigatório O ID do alerta a atualizar. |
Comment |
Obrigatório O comentário a adicionar ao alerta. |
Resultados da ação
A ação Adicionar comentário de alerta fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar comentário de alerta fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully added comment to the alert with ID
ALERT_ID in CrowdStrike |
Ação efetuada com êxito. |
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Add Alert Comment:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicionar comentário à deteção
Use a ação Adicionar comentário à deteção para adicionar um comentário à deteção no CrowdStrike Falcon.
Esta ação é executada em todas as entidades.
Dados de ações
A ação Adicionar comentário à deteção requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Detection ID |
Obrigatório
O ID da deteção à qual quer adicionar um comentário. |
Comment |
Obrigatório
O comentário a adicionar à deteção. |
Resultados da ação
A ação Adicionar comentário à deteção fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Adicionar comentário à deteção:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicione um comentário de deteção da proteção de identidade
Use a ação Adicionar comentário de deteção de proteção de identidade para adicionar um comentário à deteção de proteção de identidade no CrowdStrike.
Esta ação requer uma licença do Identity Protection.
Esta ação não é executada em entidades.
Dados de ações
A ação Adicionar comentário de deteção de proteção de identidade requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Detection ID |
Obrigatório
O ID da deteção a atualizar. |
Comment |
Obrigatório
O comentário a adicionar à deteção. |
Resultados da ação
A ação Adicionar comentário de deteção de proteção de identidade fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar comentário de deteção de proteção de identidade fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully added comment to the
identity protection detection with ID
DETECTION_ID in CrowdStrike |
Ação efetuada com êxito. |
Error executing action "Add Identity
Protection Detection Comment". Reason:
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Add Identity
Protection Detection Comment". Reason: identity protection detection with
ID DETECTION_ID wasn't found in
CrowdStrike. Please check the
spelling. |
Falha na ação. Verifique a ortografia. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Adicionar comentário de deteção de proteção de identidade:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicionar comentário de incidente
Use a ação Adicionar comentário ao incidente para adicionar um comentário a um incidente no CrowdStrike.
Esta ação não é executada em entidades.
Dados de ações
A ação Add Incident Comment requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Incident ID |
Obrigatório
ID do incidente a atualizar. |
Comment |
Obrigatório
O comentário a adicionar ao incidente. |
Resultados da ação
A ação Adicionar comentário ao incidente fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar comentário ao incidente fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully added comment to the
incident INCIDENT_ID in CrowdStrike
|
Ação efetuada com êxito. |
Error executing action "Add Incident Comment". Reason:
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Add Incident Comment". Reason: incident
with ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Falha na ação. Verifique a ortografia. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Adicionar comentário ao incidente:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Deteção de proximidade
Use a ação Deteção de fecho para fechar uma deteção do CrowdStrike Falcon.
A ação Update Detection é a prática recomendada para este exemplo de utilização.
Esta ação é executada em todas as entidades.
Dados de ações
A ação Close Detection requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Detection ID |
Obrigatório
O ID da deteção a fechar. |
Hide Detection |
Opcional
Se estiver selecionada, a ação oculta a deteção na IU. Selecionado por predefinição. |
Resultados da ação
A ação Close Detection fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte descreve os valores para o resultado do script quando usa a ação Close Detection:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ponto final de contenção
Use a ação Contain Endpoint para conter o ponto final no CrowdStrike Falcon.
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Dados de ações
A ação Contain Endpoint requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Fail If Timeout |
Obrigatório
Se esta opção estiver selecionada e nem todos os pontos finais estiverem contidos, a ação falha. Selecionado por predefinição. |
Resultados da ação
A ação Contain Endpoint fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Enriquecimento de entidades
A ação Contain Endpoint suporta a seguinte lógica de enriquecimento de entidades:
| Campo de enriquecimento | Lógica |
|---|---|
status |
Devolve se existir no resultado JSON |
modified_timestamp |
Devolve se existir no resultado JSON |
major_version |
Devolve se existir no resultado JSON |
policies |
Devolve se existir no resultado JSON |
config_id_platform |
Devolve se existir no resultado JSON |
bios_manufacturer |
Devolve se existir no resultado JSON |
system_manufacturer |
Devolve se existir no resultado JSON |
device_policies |
Devolve se existir no resultado JSON |
meta |
Devolve se existir no resultado JSON |
pointer_size |
Devolve se existir no resultado JSON |
last_seen |
Devolve se existir no resultado JSON |
agent_local_time |
Devolve se existir no resultado JSON |
first_seen |
Devolve se existir no resultado JSON |
service_pack_major |
Devolve se existir no resultado JSON |
slow_changing_modified_timestamp |
Devolve se existir no resultado JSON |
service_pack_minor |
Devolve se existir no resultado JSON |
system_product_name |
Devolve se existir no resultado JSON |
product_type_desc |
Devolve se existir no resultado JSON |
build_number |
Devolve se existir no resultado JSON |
cid |
Devolve se existir no resultado JSON |
local_ip |
Devolve se existir no resultado JSON |
external_ip |
Devolve se existir no resultado JSON |
hostname |
Devolve se existir no resultado JSON |
config_id_build |
Devolve se existir no resultado JSON |
minor_version |
Devolve se existir no resultado JSON |
platform_id |
Devolve se existir no resultado JSON |
os_version |
Devolve se existir no resultado JSON |
config_id_base |
Devolve se existir no resultado JSON |
provision_status |
Devolve se existir no resultado JSON |
mac_address |
Devolve se existir no resultado JSON |
bios_version |
Devolve se existir no resultado JSON |
platform_name |
Devolve se existir no resultado JSON |
agent_load_flags |
Devolve se existir no resultado JSON |
device_id |
Devolve se existir no resultado JSON |
product_type |
Devolve se existir no resultado JSON |
agent_version |
Devolve se existir no resultado JSON |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Contain Endpoint:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6",
"policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "3",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": ""
},
"prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{
"Version":"12765"
},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name": "Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "",
"config_id_build": "example-id",
"minor_version": "3",
"platform_id": "x",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-config",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"Agent_load_flags":"1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Mensagens de saída
A ação Contain Endpoint (Contém ponto final) fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "Contain
Endpoint". Reason: ERROR_REASON
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Contain
Endpoint". Reason: the following endpoints initiated containment, but were
not able to finish it during action execution:
ENTITY_ID
|
Falha na ação. Verifique o estado do ponto final e o valor do parâmetro |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Contain Endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Eliminar IOC
Use a ação Eliminar IOC para eliminar IOCs personalizados no CrowdStrike Falcon.
Esta ação trata as entidades de nome do anfitrião como IOCs de domínio e extrai a parte do domínio dos URLs. Esta ação só suporta os hashes MD5 e SHA-256.
A ação Eliminar IOC é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
- URL
- Hash
Dados de ações
Nenhum.
Resultados da ação
A ação Eliminar IOC fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Delete IOC:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Mensagens de saída
Num mural de registos, a ação Eliminar IOC fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "Delete IOC".
Reason: ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Transferir ficheiro
Use a ação Transferir ficheiro para transferir ficheiros dos anfitriões no CrowdStrike Falcon.
Esta ação requer que o nome do ficheiro e o endereço IP ou uma entidade de nome de anfitrião estejam no âmbito do alerta do Google SecOps.
Pode encontrar o ficheiro transferido num pacote ZIP protegido por palavra-passe. Para aceder
ao ficheiro, indique a seguinte palavra-passe: infected.
A ação Transferir ficheiro é executada nas seguintes entidades:
- Nome do ficheiro
- Endereço IP
- Anfitrião
Dados de ações
A ação Transferir ficheiro requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Download Folder Path |
Obrigatório
O caminho para a pasta que armazena o ficheiro transferido. O formato depende da sua implementação:
|
Overwrite |
Obrigatório
Se estiver selecionada, a ação substitui o ficheiro com o mesmo nome. Não selecionado por predefinição. |
Resultados da ação
A ação Transferir ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de entidades | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela de entidades
A ação Transferir ficheiro fornece a seguinte tabela de entidades:
| Entidade | |
|---|---|
filepath |
Caminho absoluto para o ficheiro. |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Transferir ficheiro:
{
"absolute_paths": ["/opt/file_1", "opt_file_2"]
}
Mensagens de saída
A ação Transferir ficheiro apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "Download
File". Reason: ERROR_REASON
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Download
File". Reason: file with path PATH
already exists. Please delete the file or set "Overwrite" to true.
|
Falha na ação. Verifique o valor do parâmetro |
Waiting for results for the following
entities: ENTITY_ID |
Mensagem assíncrona. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Transferir ficheiro:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar comando
Use a ação Execute Command para executar comandos nos anfitriões no CrowdStrike Falcon.
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Dados de ações
A ação Execute Command requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Command |
Obrigatório
Um comando a executar nos anfitriões. |
Admin Command |
Opcional
Se
|
Resultados da ação
A ação Execute Command (Executar comando) fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
Numa Case Wall, a ação Execute Command apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully executed command
"COMMAND" on the following
endpoints in CrowdStrike Falcon:
ENTITY_ID |
Ação efetuada com êxito. |
Error executing action "Execute Command". Reason:
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Waiting for results for the following
entities: ENTITY_ID |
Mensagem assíncrona. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Execute Command:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha detalhes do alerta
Use a ação Get Alert Details para obter os detalhes de um alerta no CrowdStrike Falcon.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Alert Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Alert ID |
Obrigatório. O ID exclusivo do alerta a partir do qual pretende obter detalhes. |
Resultados da ação
A ação Get Alert Details (Obter detalhes do alerta) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra as saídas de resultados JSON recebidas quando usa a ação Get Alert Details:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"assigned_to_uid": "analyst@example.com",
"cid": "CID_VALUE",
"composite_id": "CID_VALUE:ind:CID_VALUE:COMPOSITE_ID_VALUE",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"EDGE_ID_1_OBFUSCATED_STRING",
"EDGE_ID_2_OBFUSCATED_STRING",
"EDGE_ID_3_OBFUSCATED_STRING"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:CID_VALUE:AGGREGATE_ID_VALUE",
"idpind:CID_VALUE:IDP_DETECTION_ID",
"ind:CID_VALUE:DETECTION_ID",
"uid:CID_VALUE:SOURCE_SID_VALUE"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/DETECTION_ID?cid=CID_VALUE",
"id": "ind:CID_VALUE:DETECTION_ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.LOCAL",
"source_account_name": "TEST_MAILBOX",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensagens de saída
A ação Get Alert Details pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Alert Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Alert Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Get Event Offset
Use a ação Get Event Offset para obter a compensação de eventos usada pelo Streaming Events Connector.
Esta ação começa a processar eventos de há 30 dias.
Esta ação não é executada em entidades.
Dados de ações
A ação Get Event Offset requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Max Events To Process |
Obrigatório
O número de eventos que a ação tem de processar a partir de há 30 dias. O valor predefinido é |
Resultados da ação
A ação Get Event Offset (Obter desvio do evento) fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Event Offset:
{
"offset": 100000
"timestamp": "<code><var>EVENT_TIMESTAMP</var></code>"
}
Mensagens de saída
A ação Get Event Offset fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully retrieved event offset in CrowdStrike Falcon.
|
Ação efetuada com êxito. |
Error executing action "Get Event
Offset". Reason: ERROR_REASON
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Event Offset:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receba informações do anfitrião
Use a ação Get Host Information para obter informações sobre o nome do anfitrião do CrowdStrike Falcon.
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Endereço IP
Dados de ações
A ação Get Host Information requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Create Insight |
Opcional
Se selecionada, a ação cria estatísticas com informações sobre entidades. Selecionado por predefinição. |
Resultados da ação
A ação Get Host Information (Obter informações do anfitrião) fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Enriquecimento de entidades
A ação Get Host Information suporta a seguinte lógica de enriquecimento de entidades:
| Campo de enriquecimento | Lógica |
|---|---|
modified_timestamp |
Devolve se existir no resultado JSON |
major_version |
Devolve se existir no resultado JSON |
site_name |
Devolve se existir no resultado JSON |
platform_id |
Devolve se existir no resultado JSON |
config_id_platform |
Devolve se existir no resultado JSON |
system_manufacturer |
Devolve se existir no resultado JSON |
meta |
Devolve se existir no resultado JSON |
first_seen |
Devolve se existir no resultado JSON |
service_pack_minor |
Devolve se existir no resultado JSON |
product_type_desc |
Devolve se existir no resultado JSON |
build_number |
Devolve se existir no resultado JSON |
hostname |
Devolve se existir no resultado JSON |
config_id_build |
Devolve se existir no resultado JSON |
minor_version |
Devolve se existir no resultado JSON |
os_version |
Devolve se existir no resultado JSON |
provision_status |
Devolve se existir no resultado JSON |
mac_address |
Devolve se existir no resultado JSON |
bios_version |
Devolve se existir no resultado JSON |
agent_load_flags |
Devolve se existir no resultado JSON |
status |
Devolve se existir no resultado JSON |
bios_manufacturer |
Devolve se existir no resultado JSON |
machine_domain |
Devolve se existir no resultado JSON |
agent_local_time |
Devolve se existir no resultado JSON |
slow_changing_modified_timestamp |
Devolve se existir no resultado JSON |
service_pack_major |
Devolve se existir no resultado JSON |
device_id |
Devolve se existir no resultado JSON |
system_product_name |
Devolve se existir no resultado JSON |
product_type |
Devolve se existir no resultado JSON |
local_ip |
Devolve se existir no resultado JSON |
external_ip |
Devolve se existir no resultado JSON |
cid |
Devolve se existir no resultado JSON |
platform_name |
Devolve se existir no resultado JSON |
config_id_base |
Devolve se existir no resultado JSON |
last_seen |
Devolve se existir no resultado JSON |
pointer_size |
Devolve se existir no resultado JSON |
agent_version |
Devolve se existir no resultado JSON |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Get Host Information:
[
{
"EntityResult": [
{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Default-First-Site-Name",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {
"version": "1111"
},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "111",
"hostname": "name",
"config_id_build": "8104",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "64-00-6a-2a-43-3f",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Domain name",
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0",
"device_id": "example-id",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "example-cid",
"platform_name": "Windows",
"config_id_base": "65994753",
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0",
"recent_logins": [
{
"user_name": "test",
"login_time": "2022-08-10T07:36:38Z"
},
{
"user_name": "test",
"login_time": "2022-08-10T07:36:35Z"
}
],
"online_status": "offline"
}
],
"Entity": "198.51.100.255"
}
]
Mensagens de saída
A ação Get Host Information (Obter informações do anfitrião) fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "Get Host
Information". Reason: ERROR_REASON
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Obter informações do anfitrião:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Get Hosts by IOC - Deprecated
Liste os anfitriões relacionados com os IOCs no CrowdStrike Falcon. Entidades suportadas:
Nome do anfitrião, URL, endereço IP e hash.
Nota: as entidades de nomes de anfitriões são tratadas como IOCs de domínio. A ação
extrai a parte do domínio dos URLs. Apenas são suportados os hashes MD5 e SHA-256.
Entidades
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
- URL
- Hash
Dados de ações
N/A
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"hash":
[{
"modified_timestamp": "2019-01-17T13: 44: 57Z",
"major_version": "10",
"site_name": "Example-Name",
"platform_id": "ExampleID",
"config_id_platform": "3",
"system_manufacturer": "ExampleInc.",
"meta": {"version": "49622"},
"first_seen": "2018-04-22T13: 06: 53Z",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "14393",
"hostname": "name",
"config_id_build": "ExampleID",
"minor_version": "0",
"os_version": "Windows10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "1",
"status": "normal",
"bios_manufacturer": "ExampleInc.",
"machine_domain": "Example Domain",
"Device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2018-12-11T23: 09: 18.071417837Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2018-12-11T23: 08: 38.16990705Z",
"policy_id": "Example ID"
}
},
"agent_local_time": "2019-01-14T19: 41: 09.738Z",
"slow_changing_modified_timestamp": "2019-01-14T17: 44: 40Z",
"service_pack_major": "0", "device_id": "2653595a063e4566519ef4fc813fcc56",
"system_product_name": "OptiPlex7040",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"platform_name": "Windows",
"config_id_base": "ExampleID",
"policies":
[{
"applied": true,
"applied_date": "2019-01-02T22: 45: 21.315392338Z",
"settings_hash": "18db1203",
"policy_type": "prevention",
"assigned_date": "2019-01-02T22: 45: 11.214774996Z",
"policy_id": "Example ID"
}],
"last_seen": "2019-01-17T13: 44: 46Z",
"pointer_size": "8",
"agent_version": "4.18.8104.0"
}]
}
Enriquecimento de entidades
| Campo de enriquecimento | Lógica |
|---|---|
| modified_timestamp | Devolve se existir no resultado JSON |
| major_version | Devolve se existir no resultado JSON |
| site_name | Devolve se existir no resultado JSON |
| platform_id | Devolve se existir no resultado JSON |
| config_id_platform | Devolve se existir no resultado JSON |
| system_manufacturer | Devolve se existir no resultado JSON |
| meta | Devolve se existir no resultado JSON |
| first_seen | Devolve se existir no resultado JSON |
| service_pack_minor | Devolve se existir no resultado JSON |
| product_type_desc | Devolve se existir no resultado JSON |
| build_number | Devolve se existir no resultado JSON |
| hostname | Devolve se existir no resultado JSON |
| config_id_build | Devolve se existir no resultado JSON |
| minor_version | Devolve se existir no resultado JSON |
| os_version | Devolve se existir no resultado JSON |
| provision_status | Devolve se existir no resultado JSON |
| mac_address | Devolve se existir no resultado JSON |
| bios_version | Devolve se existir no resultado JSON |
| agent_load_flags | Devolve se existir no resultado JSON |
| estado | Devolve se existir no resultado JSON |
| bios_manufacturer | Devolve se existir no resultado JSON |
| machine_domain | Devolve se existir no resultado JSON |
| Device_policies | Devolve se existir no resultado JSON |
| agent_local_time | Devolve se existir no resultado JSON |
| slow_changing_modified_timestamp | Devolve se existir no resultado JSON |
| service_pack_major | Devolve se existir no resultado JSON |
| system_product_name | Devolve se existir no resultado JSON |
| product_type | Devolve se existir no resultado JSON |
| local_ip | Devolve se existir no resultado JSON |
| external_ip | Devolve se existir no resultado JSON |
| cid | Devolve se existir no resultado JSON |
| platform_name | Devolve se existir no resultado JSON |
| config_id_base | Devolve se existir no resultado JSON |
| políticas | Devolve se existir no resultado JSON |
| last_seen | Devolve se existir no resultado JSON |
| pointer_size | Devolve se existir no resultado JSON |
| agent_version | Devolve se existir no resultado JSON |
Estatísticas da entidade
N/A
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guião: Se for bem-sucedida e for encontrado, pelo menos, um anfitrião relacionado com os IOCs fornecidos (is_success=true): "Hosts relacionados com os IOCs fornecidos no CrowdStrike Falcon obtidos com êxito." Se não forem encontrados anfitriões relacionados (is_success=false): "Não foram encontrados anfitriões relacionados com os IOCs fornecidos no CrowdStrike Falcon." A ação deve falhar e parar a execução de um playbook: Se for comunicado um erro crítico: "Erro ao executar a ação "{action name}". Motivo: {traceback}." |
Geral |
Obtenha o nome do processo por IOC – Descontinuado
Recuperar processos relacionados com os IOCs e os dispositivos fornecidos no CrowdStrike Falcon. Entidades suportadas: nome do anfitrião, URL, endereço IP e hash.
Nota: as entidades de nomes de anfitriões são tratadas como IOCs de domínio. A ação extrai a parte do domínio dos URLs. Apenas são suportados os hashes MD5, SHA-1 e SHA-256. As entidades de endereço IP são tratadas como IOCs.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes dos dispositivos | 11 | N/A | Sim | Especifique uma lista de dispositivos separados por vírgulas para os quais quer obter processos relacionados com entidades. |
Executar em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- URL
- Hash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"EntityResult":
[{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306", "Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
},{
"Process Name": "example.exe",
"Indicator": "986a4715113359b527b15efe1ee09306",
"Host Name": "example-name"
}],
"Entity": "example_entity"
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Nome do processo | Devolve se existir no resultado JSON |
| Indicador | Devolve se existir no resultado JSON |
| Nome do anfitrião | Devolve se existir no resultado JSON |
Estatísticas de entidades
N/A
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um manual de procedimentos: Se forem encontrados processos relacionados com entidades para, pelo menos, um ponto final (is_success=true): "Foram obtidos com êxito processos relacionados com os IOCs nos seguintes pontos finais no CrowdStrike Falcon: {device name}." Se não forem encontrados processos para, pelo menos, um ponto final ou o dispositivo não for encontrado (is_success=true): "Não foram encontrados processos relacionados nos seguintes pontos finais no CrowdStrike Falcon: {device name}." Se não forem encontrados processos para todos os pontos finais ou não forem encontrados dispositivos (is_success=false): "Não foram encontrados processos relacionados nos pontos finais fornecidos no CrowdStrike Falcon. A ação deve falhar e parar a execução de um manual de procedimentos: Se for comunicado um erro crítico: "Erro ao executar "{action name}". Motivo: {trace back}." |
Obtenha detalhes dos vértices
Use a ação Get Vertex Details para listar todas as propriedades associadas a um indicador específico.
As entidades do Google SecOps são consideradas IOCs.
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- URL
- Hash
Dados de ações
Nenhum.
Resultados da ação
A ação Get Vertex Details fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Resultado do script | Disponível |
Enriquecimento de entidades
A ação Get Vertex Details suporta o seguinte enriquecimento:
| Campo de enriquecimento | Lógica |
|---|---|
vertex_type |
Devolve se existir no resultado JSON |
timestamp |
Devolve se existir no resultado JSON |
object_id |
Devolve se existir no resultado JSON |
properties |
Devolve se existir no resultado JSON |
edges |
Devolve se existir no resultado JSON |
scope |
Devolve se existir no resultado JSON |
customer_id |
Devolve se existir no resultado JSON |
id |
Devolve se existir no resultado JSON |
device_id |
Devolve se existir no resultado JSON |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Vertex Details:
[{
"EntityResult":
[{
"vertex_type": "module",
"timestamp": "2019-01-17T10: 52: 40Z",
"object_id":"example_id",
"properties":
{
"SHA256HashData": "7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"MD5HashData": "54cb91395cdaad9d47882533c21fc0e9",
"SHA1HashData": "3b1333f826e5fe36395042fe0f1b895f4a373f1b"
},
"edges":
{
"primary_module":
[{
"direction": "in",
"timestamp": "2019-01-13T10: 58: 51Z",
"object_id": "example-id",
"id": "pid: cb4493e4af2742b068efd16cb48b7260: 3738513791849",
"edge_type": "primary_module",
"path": "example-path",
"scope": "device",
"properties": {},
"device_id": "example-id"
}]
},
"scope": "device",
"customer_id": "example-id",
"id": "mod: cb4493e4af2742b068efd16cb48b7260: 7afb56dd48565c3c9804f683c80ef47e5333f847f2d3211ec11ed13ad36061e1",
"device_id": "example-id"
}],
"Entity": "198.51.100.255"
}]
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Vertex Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ponto final com aumento contido
Use a ação Lift Contained Endpoint para anular uma contenção de ponto final no CrowdStrike Falcon.
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Dados de ações
A ação Lift Contained Endpoint requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Fail If Timeout |
Obrigatório
Se esta opção for selecionada e a contenção não for anulada em todos os pontos finais, a ação falha. Selecionado por predefinição. |
Resultados da ação
A ação Lift Contained Endpoint fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Enriquecimento de entidades
A ação Lift Contained Endpoint suporta o seguinte enriquecimento de entidades:
| Campo de enriquecimento | Lógica |
|---|---|
status |
Devolve se existir no resultado JSON |
modified_timestamp |
Devolve se existir no resultado JSON |
major_version |
Devolve se existir no resultado JSON |
config_id_platform |
Devolve se existir no resultado JSON |
system_manufacturer |
Devolve se existir no resultado JSON |
device_policies |
Devolve se existir no resultado JSON |
meta |
Devolve se existir no resultado JSON |
pointer_size |
Devolve se existir no resultado JSON |
last_seen |
Devolve se existir no resultado JSON |
agent_local_time |
Devolve se existir no resultado JSON |
first_seen |
Devolve se existir no resultado JSON |
service_pack_major |
Devolve se existir no resultado JSON |
slow_changing_modified_timestamp |
Devolve se existir no resultado JSON |
service_pack_minor |
Devolve se existir no resultado JSON |
system_product_name |
Devolve se existir no resultado JSON |
product_type_desc |
Devolve se existir no resultado JSON |
build_number |
Devolve se existir no resultado JSON |
cid |
Devolve se existir no resultado JSON |
local_ip |
Devolve se existir no resultado JSON |
external_ip |
Devolve se existir no resultado JSON |
hostname |
Devolve se existir no resultado JSON |
config_id_build |
Devolve se existir no resultado JSON |
minor_version |
Devolve se existir no resultado JSON |
platform_id |
Devolve se existir no resultado JSON |
os_version |
Devolve se existir no resultado JSON |
config_id_base |
Devolve se existir no resultado JSON |
provision_status |
Devolve se existir no resultado JSON |
mac_address |
Devolve se existir no resultado JSON |
bios_version |
Devolve se existir no resultado JSON |
platform_name |
Devolve se existir no resultado JSON |
agent_load_flags |
Devolve se existir no resultado JSON |
device_id |
Devolve se existir no resultado JSON |
product_type |
Devolve se existir no resultado JSON |
agent_version |
Devolve se existir no resultado JSON |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Lift Contained Endpoint:
{
"EntityResult":
{
"status": "contained",
"modified_timestamp": "2019-06-24T07:47:37Z",
"major_version": "6", "policies":
[{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
}],
"config_id_platform": "example-id",
"bios_manufacturer": "Example Inc.",
"system_manufacturer": "Example Corporation",
"Device_policies":
{
"global_config":
{
"applied": "True",
"applied_date": "2019-06-03T23:24:04.893780991Z",
"settings_hash": "a75911b0",
"policy_type": "globalconfig",
"assigned_date": "2019-06-03T23:23:17.184432743Z",
"policy_id": ""
},
"Sensor_update":
{
"applied": "True",
"applied_date": "2019-05-30T23:13:55.23597658Z",
"settings_hash": "65994753|3|2|automatic;101",
"uninstall_protection": "ENABLED",
"policy_type": "sensor-update",
"assigned_date": "2019-05-30T23:04:31.485311459Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Prevention":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": ""
},
"device_control":
{
"applied": "True",
"applied_date": "2019-06-03T23:14:29.800434222Z",
"policy_type": "device-control",
"assigned_date": "2019-06-03T23:05:17.425127539Z",
"policy_id": ""
},
"Remote_response":
{
"applied": "True",
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": ""
}
},
"meta":
{"version": "12765"},
"pointer_size": "8",
"last_seen": "2019-06-24T07:45:34Z",
"agent_local_time": "2019-06-18T12:17:06.259Z",
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_major": "0",
"slow_changing_modified_timestamp": "2019-06-23T11:20:42Z",
"service_pack_minor": "0",
"system_product_name":"Virtual Machine",
"product_type_desc": "Server",
"build_number": "9600",
"cid": "",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"hostname": "example-hostname",
"config_id_build": "9106",
"minor_version": "3",
"platform_id": "0",
"os_version": "Windows Server 2012 R2",
"config_id_base": "example-id",
"provision_status": "Provisioned",
"mac_address": "01-23-45-ab-cd-ef",
"bios_version": "090007 ",
"platform_name": "Windows",
"agent_load_flags": "1",
"device_id": "",
"product_type": "3",
"agent_version": "5.10.9106.0"
},
"Entity": "198.51.100.255"
}
Mensagens de saída
A ação Lift Contained Endpoint fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Waiting for containment lift to finish for the following
endpoints: ENTITY_ID |
Mensagem assíncrona. |
Error executing action "Lift
Contained Endpoint". Reason: the following endpoints initiated containment
lift, but were not able to finish it during action execution:
ENTITY_ID |
Falha na ação. Verifique o estado do ponto final e o valor do parâmetro |
Error executing action "Lift Contained Endpoint". Reason:
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Lift Contained Endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar vulnerabilidades do anfitrião
Use a ação List Host Vulnerabilities para listar as vulnerabilidades encontradas no anfitrião no CrowdStrike Falcon.
Esta ação requer uma licença e autorizações do Falcon Spotlight.
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Dados de ações
A ação List Host Vulnerabilities requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Severity Filter |
Opcional
Uma lista de gravidades de vulnerabilidades separadas por vírgulas. Se não fornecer nenhum valor, a ação carrega todas as vulnerabilidades relacionadas. Os valores possíveis são os seguintes:
|
Create Insight |
Opcional
Se esta opção for selecionada, a ação cria uma estatística para cada entidade que contenha informações estatísticas sobre vulnerabilidades relacionadas. Selecionado por predefinição. |
Max Vulnerabilities To Return |
Opcional
O número de vulnerabilidades a devolver para um único anfitrião. Se não fornecer nenhum valor, a ação processa todas as vulnerabilidades relacionadas. O valor predefinido é |
Resultados da ação
A ação List Host Vulnerabilities fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
Numa Case Wall, a ação List Host Vulnerabilities apresenta a seguinte tabela:
Tipo: entidade
Colunas:
- Nome
- Pontuação
- Gravidade
- Estado
- App
- Tem remediação
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação List Host Vulnerabilities:
{
"statistics": {
"total": 123,
"severity": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"unknown": 1
},
"status": {
"open": 1,
"reopened": 1
},
"has_remediation": 1
},
"details": [
{
"id": "74089e36ac3a4271ab14abc076ed18eb_fff6de34c1b7352babdf7c7d240749e7",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "74089e36ac3a4271ab14abc076ed18eb",
"created_timestamp": "2021-05-12T22:45:47Z",
"updated_timestamp": "2021-05-12T22:45:47Z",
"status": "open",
"cve": {
"id": "CVE-2021-28476",
"base_score": 9.9,
"severity": "CRITICAL",
"exploit_status": 0
},
"app": {
"product_name_version": "Example 01"
},
"apps": [
{
"product_name_version": "Example 01",
"sub_status": "open",
"remediation": {
"ids": [
"acc34cd461023ff8a966420fa8839365"
]
}
}
],
"host_info": {
"hostname": "example-hostname",
"local_ip": "192.0.2.1",
"machine_domain": "",
"os_version": "Windows 10",
"ou": "",
"site_name": "",
"system_manufacturer": "Example Inc.",
"groups": [],
"tags": [],
"platform": "Windows"
},
"remediation": [
{
"id": "acc34cd461023ff8a966420fa8839365",
"reference": "KB5003169",
"title": "Update Microsoft Windows 10 1909",
"action": "Install patch for Microsoft Windows 10 1909 x64 (Workstation): Security Update ABCDEF",
"link": "https://example.com/ABCDEF"
}
]
}
]
}
Mensagens de saída
A ação List Host Vulnerabilities fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "List Host Vulnerabilities". Reason:
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "List Host
Vulnerabilities". Reason: Invalid value provided in the Severity Filter
parameter. Possible values: Critical, High, Medium, Low, Unknown.
|
Falha na ação. Verifique o valor do parâmetro |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação List Host Vulnerabilities:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Apresentar anfitriões
Use a ação List Hosts para listar os anfitriões disponíveis no CrowdStrike Falcon.
Esta ação é executada em todas as entidades.
Dados de ações
A ação List Hosts requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Filter Logic |
Opcional
Uma lógica a usar quando pesquisar anfitriões. O valor predefinido é
|
Filter Value |
Opcional
Um valor a usar para a filtragem de anfitriões. |
Max Hosts To Return |
Opcional
O número de anfitriões a devolver. O valor predefinido é
O valor máximo é |
Resultados da ação
A ação List Hosts fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação List Hosts:
[{
"modified_timestamp": "2019-05-15T15:03:12Z",
"platform_id": "0",
"config_id_platform": "3",
"system_manufacturer": "Example Corporation",
"meta": {"version": "4067"},
"first_seen": "2019-04-29T07:39:45Z",
"service_pack_minor": "0",
"product_type_desc": "Server",
"build_number": "9600",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "3",
"os_version": "Windows Server 2012 R2",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "090007 ",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"device_policies":
{
"Sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:05:09.577000651Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:03:36.804382667Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-04-29T07:40:04.469808388Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-04-29T07:39:55.218642441Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.896362608Z",
"assigned_date": "2019-04-29T07:39:55.218637999Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-04-29T07:45:18.94807838Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-04-29T07:45:08.165941325Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-02T22:05:00.015Z",
"slow_changing_modified_timestamp": "2019-05-02T22:05:09Z",
"service_pack_major": "0",
"device_id": "0ab8bc6d968b473b72a5d11a41a24c21",
"system_product_name": "Virtual Machine",
"product_type": "3",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "6",
"platform_name": "Windows",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-29T07:40:06.876850888Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-29T07:39:55.218651583Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-15T15:01:23Z"
},
{
"modified_timestamp": "2019-05-13T07:24:36Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Example Inc.",
"meta": {"version": "14706"},
"first_seen": "2018-04-17T11:02:20Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname": "example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.6.5",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-05T12:52:23.121596885Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-05T12:51:37.544605747Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"Remote_response":
{
"applied": true,
"applied_date": "2019-02-10T07:57:59.064362539Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-10T07:57:50.610924385Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-25T15:01:28.51681072Z",
"assigned_date": "2019-03-25T15:00:22.442519168Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"Prevention":
{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-10T07:57:53.70275875Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-10T07:57:50.610917888Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-05T15:52:08.172Z",
"slow_changing_modified_timestamp": "2019-05-12T12:37:35Z",
"service_pack_major": "0",
"device_id": "cb4493e4af2742b068efd16cb48b7260",
"system_product_name": "example-name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-04T06:54:06.909774295Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-04T06:53:57.135897343Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-13T07:21:30Z"
},
{
"modified_timestamp": "2019-05-09T14:22:50Z",
"site_name": "Example-Site-Name",
"config_id_platform": "3",
"system_manufacturer": "Dell Inc.",
"meta": {"version": "77747"},
"first_seen": "2018-07-01T12:19:23Z",
"platform_name": "Windows",
"service_pack_minor": "0",
"product_type_desc": "Workstation",
"build_number": "17134",
"hostname":"example-hostname",
"config_id_build": "8904",
"minor_version": "0",
"os_version": "Windows 10",
"provision_status": "Provisioned",
"mac_address": "01:23:45:ab:cd:ef",
"bios_version": "1.2.1",
"agent_load_flags": "0",
"status": "normal",
"bios_manufacturer": "Example Inc.",
"machine_domain": "example.com",
"device_policies":
{
"sensor_update":
{
"applied": true,
"applied_date": "2019-05-02T22:10:50.336101107Z",
"settings_hash": "65994753|3|2|automatic",
"policy_type": "sensor-update",
"assigned_date": "2019-05-02T22:10:50.336100731Z",
"policy_id": "9d1e405846de4ebdb63f674866d390dc"
},
"remote_response":
{
"applied": true,
"applied_date": "2019-02-08T02:46:31.919442939Z",
"settings_hash": "f472bd8e",
"policy_type": "remote-response",
"assigned_date": "2019-02-08T02:46:22.219718098Z",
"policy_id": "21e4fb4dedd74c6fb0bcd6a348aa046c"
},
"device_control":
{
"applied": true,
"applied_date": "2019-03-24T16:43:31.777981725Z",
"assigned_date": "2019-03-24T16:42:21.395540493Z",
"policy_type": "device-control",
"policy_id": "c360df7193364b23aa4fc47f0238c899"
},
"prevention":
{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
},
"global_config":
{
"applied": true,
"applied_date": "2019-02-08T01:14:14.810607774Z",
"settings_hash": "3d78f9ab",
"policy_type": "globalconfig",
"assigned_date": "2019-02-08T01:14:05.585922067Z",
"policy_id": "985b1a25afcb489ea442d2d1430b1679"
}
},
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_local_time": "2019-05-03T01:10:29.340Z",
"slow_changing_modified_timestamp": "2019-05-02T22:10:46Z",
"service_pack_major": "0",
"device_id": "1c2f1a7f88f8457f532f1c615f07617b",
"system_product_name": "Example Name",
"product_type": "1",
"local_ip": "192.0.2.1",
"external_ip": "203.0.113.1",
"major_version": "10",
"platform_id": "0",
"config_id_base": "65994753",
"policies":
[{
"applied": true,
"applied_date": "2019-04-03T23:58:50.870694195Z",
"settings_hash": "ce17279e",
"policy_type": "prevention",
"assigned_date": "2019-04-03T23:57:22.534513932Z",
"policy_id": "7efdf97d7805402186b61151e8abd745"
}],
"agent_version": "4.26.8904.0",
"pointer_size": "8",
"last_seen": "2019-05-09T14:20:53Z"
}]
Mensagens de saída
A ação List Hosts apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "List Hosts".
Reason: ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação List Hosts:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Apresente IOCs carregados
Use a ação List Uploaded IOCs para listar os IOCs personalizados disponíveis no CrowdStrike Falcon.
Esta ação é executada em todas as entidades.
Dados de ações
A ação List Uploaded IOCs requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
IOC Type Filter |
Opcional
Uma lista separada por vírgulas de tipos de IOC a devolver. O valor predefinido é
|
Value Filter Logic |
Opcional
Um valor da lógica de filtro. O valor predefinido é
Se |
Value Filter String |
Opcional
Uma string para pesquisar entre IOCs. |
Max IOCs To Return |
Opcional
O número de IOCs a devolver. O valor predefinido é
O valor máximo é 500. |
Resultados da ação
A ação List Uploaded IOCs fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
Num mural de registos, a ação Listar IOCs carregados apresenta a seguinte tabela:
Colunas:
- Ação
- Gravidade
- Assinado
- Êxitos de AV
- Plataformas
- Etiquetas
- Criada em
- Criado Por
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação List Uploaded IOCs:
{
"id": "fbe8c2739f3c6df95e62e0ae54569974437b2d9306eaf6740134ccf1a05e23d3",
"type": "sha256",
"value": "8a86c4eecf12446ff273afc03e1b3a09a911d0b7981db1af58cb45c439161295",
"action": "no_action",
"severity": "",
"metadata": {
"signed": false,
"av_hits": -1
},
"platforms": [
"windows"
],
"tags": [
"Hashes 22.Nov.20 15:29 (Windows)"
],
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-04-22T03:54:09.235120463Z",
"modified_by": "internal@example.com"
}
Mensagens de saída
A ação List Uploaded IOCs fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully found custom IOCs for the provided criteria in
CrowdStrike Falcon. |
Ação efetuada com êxito. |
Error executing action "List Uploaded IOCs". Reason:
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "List Uploaded IOCs". Reason: "IOC Type
Filter" contains an invalid value. Please check the spelling. Possible
values: ipv4, ipv6, md5, sha1, sha256, domain. |
Falha na ação. Verifique a ortografia e o valor do parâmetro |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação List Uploaded IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Procura a pedido
Use a ação Análise a pedido para analisar o ponto final a pedido no CrowdStrike.
Esta ação só é executada em anfitriões Windows e nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
A ação Análise a pedido é executada de forma assíncrona. Ajuste o valor do limite de tempo do script no IDE do Google SecOps, se necessário.
Dados de ações
A ação Análise a pedido requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
File Paths To Scan |
Obrigatório Uma lista de caminhos a analisar separada por vírgulas. O valor predefinido é |
File Paths To Exclude From Scan |
Opcional Uma lista de caminhos separados por vírgulas a excluir da análise. |
Host Group Name |
Opcional Uma lista separada por vírgulas de nomes de grupos de anfitriões para iniciar a análise. A ação cria um processo de análise separado para cada grupo de anfitriões. |
Scan Description |
Opcional Uma descrição a usar para o processo de análise. Se não
definir nenhum valor, a ação define a descrição para o seguinte:
|
CPU Priority |
Opcional A quantidade de CPU a usar para o anfitrião subjacente durante a análise. Os valores possíveis são os seguintes:
O valor predefinido é |
Sensor Anti-malware Detection Level |
Opcional O valor do nível de deteção de software antimalware do sensor. O nível de deteção tem de ser igual ou superior ao nível de prevenção. Os valores possíveis são os seguintes:
O valor predefinido é |
Sensor Anti-malware Prevention Level |
Opcional O valor do nível de prevenção de software malicioso do sensor. O nível de deteção tem de ser igual ou superior ao nível de prevenção. Os valores possíveis são os seguintes:
O valor predefinido é |
Cloud Anti-malware Detection Level |
Opcional O valor do nível de deteção de software antimalicioso na nuvem. O nível de deteção tem de ser igual ou superior ao nível de prevenção. Os valores possíveis são os seguintes:
O valor predefinido é |
Cloud Anti-malware Prevention Level |
Opcional O valor do nível de prevenção de software malicioso na nuvem. O nível de deteção tem de ser igual ou superior ao nível de prevenção. Os valores possíveis são os seguintes:
O valor predefinido é |
Quarantine Hosts |
Opcional Se selecionada, a ação coloca os anfitriões subjacentes em quarentena como parte da análise. Não selecionado por predefinição. |
Create Endpoint Notification |
Opcional Se selecionada, o processo de análise cria uma notificação de endpoint. Selecionado por predefinição. |
Max Scan Duration |
Opcional O número de horas durante as quais uma análise é executada. Se não fornecer nenhum valor, a análise é executada continuamente. |
Resultados da ação
A ação Procura a pedido fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Análise a pedido:
{
"id": "ID",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"profile_id": "c94149b9a52d4c76b027e63a88dcc710",
"description": "test APIS ",
"file_paths": [
"C:\\Windows"
],
"initiated_from": "falcon_adhoc",
"quarantine": true,
"cpu_priority": 1,
"preemption_priority": 1,
"metadata": [
{
"host_id": "HOST_ID",
"host_scan_id": "909262bd2fff664282a46464d8625a62",
"scan_host_metadata_id": "815dae51d8e543108ac01f6f139f42b1",
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"status": "completed",
"started_on": "2024-02-05T13:55:45.25066635Z",
"completed_on": "2024-02-05T14:11:18.092427363Z",
"last_updated": "2024-02-05T14:11:18.092431457Z"
}
],
"filecount": {
"scanned": 16992,
"malicious": 0,
"quarantined": 0,
"skipped": 124998,
"traversed": 198822
},
"targeted_host_count": 1,
"completed_host_count": 1,
"status": "completed",
"hosts": [
"86db81f390394cb080417a1ffb7d46fd"
],
"endpoint_notification": true,
"pause_duration": 2,
"max_duration": 1,
"max_file_size": 60,
"sensor_ml_level_detection": 2,
"sensor_ml_level_prevention": 2,
"cloud_ml_level_detection": 2,
"cloud_ml_level_prevention": 2,
"policy_setting": [
26439818674573,
],
"scan_started_on": "2024-02-05T13:55:45.25Z",
"scan_completed_on": "2024-02-05T14:11:18.092Z",
"created_on": "2024-02-05T13:55:43.436807525Z",
"created_by": "88f5d9e8284f4b85b92dab2389cb349d",
"last_updated": "2024-02-05T14:14:18.776620391Z"
}
Mensagens de saída
A ação Análise a pedido fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Análise a pedido:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Tchim-tchim
Use a ação Ping para testar a conetividade com o CrowdStrike Falcon.
Esta ação é executada em todas as entidades.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte descreve os valores para o resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar script
Use a ação Executar script para executar um script do PowerShell nos pontos finais no CrowdStrike.
Esta ação é assíncrona. Ajuste o valor do limite de tempo do script no IDE do Google SecOps, se necessário.
Esta ação é executada nas entidades de endereço IP e nome de anfitrião.
Dados de ações
A ação Executar script requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Customer ID |
Opcional O ID do cliente para o qual executar a ação. |
Script Name |
Opcional O nome do ficheiro de script a executar. Configure o parâmetro |
Raw Script |
Opcional Uma carga útil de script do PowerShell não processado para executar em endpoints. Configure o parâmetro |
Resultados da ação
A ação Executar script fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
Num mural de registos, a ação Executar script apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Executar script:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar eventos
Use esta ação para pesquisar eventos no CrowdStrike. Nota: a ação está a ser executada de forma assíncrona. Ajuste o valor de tempo limite do script no IDE do Google SecOps para a ação, conforme necessário.
Esta ação não é executada em entidades.
Dados de ações
A ação Eventos de pesquisa requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Repository |
Obrigatório
Repositório que deve ser pesquisado. Os valores possíveis são os seguintes:
|
Query |
Obrigatório
Consulta que tem de ser executada no CrowdStrike. Nota: não inclua "cabeça" na consulta. A ação fornece-o automaticamente com base no valor indicado no parâmetro "Max Results To Return" (Máximo de resultados a devolver). |
Time Frame |
Opcional
Intervalo de tempo para os resultados. Se a opção "Personalizado" estiver selecionada, também tem de indicar a "Hora de início". Os valores possíveis da última hora são os seguintes:
|
Start Time |
Opcional
Hora de início dos resultados. Se "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro é obrigatório. Formato: ISO 8601. |
End Time |
Opcional
O número de resultados a devolver para a consulta. A ação acrescenta "head" à consulta fornecida. Predefinição: 50. Máximo: 1000. |
Resultados da ação
A ação Eventos de pesquisa fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
Numa Case Wall, a ação Pesquisar eventos fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
|
A ação não deve falhar nem parar a execução de um manual de soluções. |
|
|
Falha na ação. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Pesquisar eventos:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enviar ficheiro
Use a ação Enviar ficheiro para enviar ficheiros para uma sandbox no CrowdStrike.
Esta ação requer uma licença do Falcon Sandbox.
Esta ação não é executada em entidades.
Formatos de ficheiros e arquivos suportados
De acordo com o portal do CrowdStrike, o sandbox suporta os seguintes formatos de ficheiros:
| Formatos de ficheiros suportados | |
|---|---|
.exe, .scr, .pif,
.dll, .com, .cpl |
Executáveis portáteis |
.doc, .docx, .ppt,
.pps, .pptx, .ppsx,
.xls, .xlsx, .rtf,
.pub |
Documentos do Microsoft Office |
.pdf |
|
.apk |
APK |
.jar |
JAR executável |
.sct |
Componente de script do Windows |
.lnk |
Atalho do Windows |
.chm |
Ajuda do Windows |
.hta |
Aplicação HTML |
.wsf |
Ficheiro de script do Windows |
.js |
JavaScript |
.vbs, .vbe |
Visual Basic |
.swf |
Shockwave Flash |
.pl |
Perl |
.ps1, .psd1, .psm1 |
Powershell |
.svg |
Gráficos de vetor dimensionáveis |
.py |
Python |
.elf |
Executáveis ELF do Linux |
.eml |
Ficheiros de email: MIME RFC 822 |
.msg |
Ficheiros de email: Outlook |
De acordo com o portal do CrowdStrike, o sandbox suporta os seguintes formatos de arquivo:
.zip.7z
Dados de ações
A ação Enviar ficheiro requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
File Paths |
Obrigatório
Uma lista de caminhos absolutos para os ficheiros enviados. O formato depende da sua implementação:
Para ver uma lista dos formatos de ficheiros suportados, consulte o artigo Formatos de ficheiros e arquivos suportados. |
Sandbox Environment |
Opcional
Um ambiente de sandbox para analisar. O valor predefinido é
|
Network Environment |
Opcional
Um ambiente de rede para analisar. O valor predefinido é
|
Archive Password |
Opcional
Uma palavra-passe a usar quando trabalha com ficheiros de arquivo. |
Document Password |
Opcional
Uma palavra-passe a usar quando trabalha com ficheiros do Adobe ou do Office. O comprimento máximo da palavra-passe é de 32 carateres. |
Check Duplicate |
Opcional
Se selecionada, a ação verifica se o ficheiro já foi enviado anteriormente e devolve o relatório disponível. Durante a validação, a ação não considera os parâmetros Selecionado por predefinição. |
Comment |
Opcional
Um comentário para enviar. |
Confidential Submission |
Opcional
Se estiver selecionada, o ficheiro só é apresentado aos utilizadores na sua conta de cliente. Não selecionado por predefinição. |
Resultados da ação
A ação Enviar ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
Numa página de registo, a ação Enviar ficheiro apresenta a seguinte tabela:
Colunas:
- Resultados
- Nome
- Pontuação de ameaças
- Veredito
- Etiquetas
Mensagens de saída
A ação Enviar ficheiro apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
|
A ação devolveu um erro. Verifique os formatos de ficheiros suportados para esta ação. |
Waiting for results for the following
files: PATHS |
Mensagem assíncrona. |
Error executing action "Submit File".
Reason: ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Submit File".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE.
|
Falha na ação. Aumente o limite de tempo no IDE. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Enviar ficheiro:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enviar URL
Use a ação Enviar URL para enviar URLs para uma sandbox no CrowdStrike.
Esta ação requer uma licença do Falcon Sandbox. Para verificar os formatos de ficheiros suportados pela sandbox, consulte a secção Formatos de ficheiros e arquivos suportados deste documento.
Esta ação não é executada em entidades.
Dados de ações
A ação Enviar URL requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
URLs |
Obrigatório
URLs a enviar. |
Sandbox Environment |
Opcional
Um ambiente de sandbox para analisar. O valor predefinido é
|
Network Environment |
Opcional
Um ambiente de rede para analisar. O valor predefinido é
|
Check Duplicate |
Opcional
Se selecionada, a ação verifica se o URL já foi enviado anteriormente e devolve o relatório disponível. Durante a validação, a ação não considera os parâmetros Selecionado por predefinição. |
Resultados da ação
A ação Enviar URL fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Enviar URL apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Waiting for results for the following
URLs: PATHS |
Mensagem assíncrona. |
Error executing action "Submit URL".
Reason: ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Submit URL".
Reason: action ran into a timeout during execution. Pending files:
FILES_IN_PROGRESS. Please increase
the timeout in IDE. |
Falha na ação. Aumente o limite de tempo no IDE. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Enviar URL:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar alerta
Use a ação Update Alert para atualizar alertas no CrowdStrike Falcon.
Esta ação não é executada em entidades.
Dados de ações
A ação Update Alert requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Alert ID |
Obrigatório O ID do alerta a atualizar. |
Status |
Opcional O estado do alerta. Os valores possíveis são os seguintes:
|
Verdict |
Opcional O veredito do alerta. Os valores possíveis são os seguintes:
|
Assign To |
Opcional O nome do analista ao qual atribuir o alerta. Se fornecer A API aceita qualquer valor, mesmo que o utilizador fornecido não exista no sistema. |
Resultados da ação
A ação Atualizar alerta fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Update Alert:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/ID",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensagens de saída
A ação Update Alert (Atualizar alerta) fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully updated alert with ID
ALERT_ID in CrowdStrike |
Ação efetuada com êxito. |
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Update Alert:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualização da deteção
Use a ação Atualizar deteção para atualizar as deteções no CrowdStrike Falcon.
Esta ação é executada em todas as entidades.
Dados de ações
A ação Update Detection requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Detection ID |
Obrigatório
O ID da deteção a atualizar. |
Status |
Obrigatório
Um estado de deteção. O valor predefinido é
|
Assign Detection to |
Opcional
Um endereço de email do utilizador do CrowdStrike Falcon que é o responsável pela deteção. |
Resultados da ação
A ação Update Detection (Atualizar deteção) fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Update Detection fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully updated detection
DETECTION_ID in CrowdStrike Falcon.
|
Ação efetuada com êxito. |
Error executing action "Update
Detection". Reason: ERROR_REASON
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Update
Detection". Reason: Either "Status" or "Assign Detection To" should have a
proper value. |
Falha na ação. Verifique os valores dos parâmetros |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Deteção de atualizações:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualize a Deteção de proteção de identidade
Use a atualização da deteção de proteção de identidade para atualizar uma deteção de proteção de identidade no CrowdStrike.
Esta ação requer uma licença do Identity Protection.
Esta ação não é executada em entidades.
Dados de ações
A ação Atualizar deteção de proteção de identidade requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Detection ID |
Obrigatório
O ID da deteção a atualizar. |
Status |
Opcional
Um estado da deteção. O valor predefinido é
Os valores possíveis são os seguintes:
|
Assign to |
Opcional
O nome do analista atribuído. Se Se for fornecido um valor inválido, a ação não altera o cessionário atual. |
Resultados da ação
A ação Atualizar deteção de proteção de identidade fornece as seguintes saídas:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Atualizar deteção de proteção de identidade:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:ID",
"assigned_to_uid": "example@example.com",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:ID",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:15.629Z",
"crawl_edge_ids": {
"Sensor": [
"N6KIZ`%V`&d#&#sRaHNV[f3[CA4lr/C_N;.JnbglJpdg8TCCTqnr!9D\\['ALM&eNbPq?kt$#@]+01Ac[&th0-0]E'J8:]mFV?'g5HZ/$B.%BC29_`4U_?%a)_&#k>,G>:=E>%[7^<aLSVj=`UCMcRUH[a9/*^hO_7Ft(js#P<M<(eG3(B=I8rr",
"XNXnKK.mi:ckQ^2c7AGRMK^'rd:p[_JkD_5ZM$W:d'J8oN:42nj.Ho1-^E5D16b0VALJ`2cDEEJTVdY\\n.-WQ^_B[7$1pH[Glgm@go]-LB%M1,c#2F)nli-Ge#V<=[!c_jh8e3D8E-S0FheDm*BHh-P/s6q!!*'!",
"N6L*L\">LGfi/.a$IkpaFlWjT.YU#P@Gu8Qe6'0SK=M]ChI,FQXqo=*M(QR+@6c8@m1pIc)Dqs+WLXjbpom5@$T+oqC5RJk!9atPF/<mG'H`V9P0YII;!>C8YL)XS&ATORi>!U.7<Ds\"<dT/Mkp\\V%!U[RS_YC/Wrn[Z`S(^4NU,lV#X3/#pP7K*>g!<<'"
]
},
"crawl_vertex_ids": {
"Sensor": [
"aggind:ID",
"idpind:ID",
"ind:ID",
"uid:ID"
]
},
"crawled_timestamp": "2022-11-15T13:58:17.251061883Z",
"created_timestamp": "2022-11-15T12:59:17.239585706Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:15.629Z",
"falcon_host_link": "https://example.com/",
"id": "ind:ID",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3595",
"start_time": "2022-11-15T12:58:15.629Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"tags": [
"red_team"
],
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:17.239Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-23T15:22:20.271100181Z"
}
Mensagens de saída
Numa Case Wall, a ação Atualizar deteção de proteção de identidade apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully updated identity protection detection with ID
DETECTION_ID in CrowdStrike.
|
Ação efetuada com êxito. |
Error executing action "Update Identity Protection Detection".
Reason: ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Update Identity Protection Detection".
Reason: identity protection detection with ID
DETECTION_ID wasn't found in
CrowdStrike. Please check the spelling. |
Falha na ação. Verifique a ortografia. |
Error executing action "Update
Identity Protection Detection". Reason: at least one of the "Status" or
"Assign To" parameters should have a value. |
Falha na ação. Verifique os valores dos parâmetros |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Update Identity Protection Detection:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar incidente
Use a ação Atualizar incidente para atualizar incidentes no CrowdStrike.
Esta ação não é executada em entidades.
Dados de ações
A ação Atualizar incidente requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Incident ID |
Obrigatório
O ID do incidente a atualizar. |
Status |
Opcional
O estado do incidente. Os valores possíveis são os seguintes:
|
Assign to |
Opcional
O nome ou o endereço de email do analista atribuído. Se Para especificar um nome, indique o nome próprio e o apelido do analista no seguinte formato:
|
Resultados da ação
A ação Atualizar incidente fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Update Incident:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "198.51.100.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Mensagens de saída
A ação Atualizar incidente fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully Successfully updated incident with ID
INCIDENT_ID in
CrowdStrike |
Ação efetuada com êxito. |
Error executing action "Update
Incident". Reason: ERROR_REASON
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Update Incident". Reason: incident with
ID INCIDENT_ID wasn't found in
CrowdStrike. Please check the spelling. |
Falha na ação. Verifique a ortografia. |
Error executing action "Update
Incident". Reason: user USER_ID
wasn't found in CrowdStrike. Please check the spelling. |
Falha na ação. Verifique a ortografia. |
Error executing action "Update
Incident". Reason: at least one of the "Status" or "Assign To" parameters
should have a value. |
Falha na ação. Verifique os parâmetros de entrada. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Atualizar incidente:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualize as informações de IOC
Use a ação Atualizar informações de IOC para atualizar informações sobre IOCs personalizados no CrowdStrike Falcon.
Esta ação trata as entidades de nome de anfitrião como IOCs de domínio e extrai a parte do domínio dos URLs. Esta ação só suporta os hashes MD5 e SHA-256.
A ação Update IOC Information é executada nas seguintes entidades:
- Nome do anfitrião
- URL
- Endereço IP
- Hash
Dados de ações
A ação Update IOC Information requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Description |
Opcional
Uma nova descrição para IOCs personalizados. |
Source |
Opcional
Uma fonte para IOCs personalizados. |
Expiration days |
Opcional
O número de dias restantes até à expiração. Este parâmetro afeta apenas as entidades de URL, endereço IP e nome de anfitrião. |
Detect policy |
Opcional
Se estiver selecionada, a ação envia uma notificação para os IOCs identificados. Se não estiver selecionada, a ação não envia nenhuma notificação. Selecionado por predefinição. |
Resultados da ação
A ação Atualizar informações de IOC fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Atualizar informações de IOC:
{
"id": "563df6a812f2e7020a17f77ccd809176ca3209cf7c9447ee36c86b4215860856",
"type": "md5",
"value": "7e4b0f81078f27fde4aeb87b78b6214c",
"source": "testSource",
"action": "detect",
"severity": "high",
"description": "test description update",
"platforms": [
"example"
],
"tags": [
"Hashes 17.Apr.18 12:20 (Example)"
],
"expiration": "2022-05-01T12:00:00Z",
"expired": false,
"deleted": false,
"applied_globally": true,
"from_parent": false,
"created_on": "2021-04-22T03:54:09.235120463Z",
"created_by": "internal@example.com",
"modified_on": "2021-09-16T10:09:07.755804336Z",
"modified_by": "c16fd3a055eb46eda81e064fa6dd43de"
}
Mensagens de saída
Numa Case Wall, a ação Atualizar informações de IOC fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "Update IOC
Information". Reason: ERROR_REASON
|
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores da saída do resultado do script quando usa a ação Atualizar informações de IOC:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Carregue IOCs
Use a ação Carregar IOCs para adicionar IOCs personalizados no CrowdStrike Falcon.
Esta ação trata as entidades de nome de anfitrião como IOCs de domínio e extrai a parte do domínio dos URLs. Esta ação só suporta os hashes MD5 e SHA-256.
A ação Carregar IOCs é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
- URL
- Hash
Dados de ações
A ação Carregar IOCs requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Platform |
Obrigatório
Uma lista separada por vírgulas de plataformas relacionadas com o IOC. O valor predefinido é
|
Severity |
Obrigatório
Uma gravidade do COI. O valor predefinido é
|
Comment |
Opcional
Um comentário que contenha mais contexto relacionado com o IOC. |
Host Group Name |
Obrigatório
O nome do grupo anfitrião. |
Action |
Opcional
Uma ação para IOCs carregados. O valor predefinido é Os valores possíveis são os seguintes:
O valor |
Resultados da ação
A ação Carregar IOCs fornece os seguintes resultados:
| Tipo de saída da ação | |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Carregar IOCs apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "Upload IOCs".
Reason: ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Upload IOCs". Reason: Host group
"HOST_GROUP_NAME" was not found.
Please check the spelling. |
Falha na ação. Verifique o valor do parâmetro |
Error executing action "Upload IOCs".
Invalid value provided for the parameter "Platform". Possible values:
Windows, Linux, Mac. |
Falha na ação. Verifique o valor do parâmetro |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Carregar IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conetores
Certifique-se de que configurou as autorizações mínimas para cada conector do CrowdStrike. Para ver mais detalhes, consulte a secção Autorizações do conetor deste documento.
Para ver instruções sobre como configurar um conector no Google SecOps, consulte o artigo Carregue os seus dados (conectores).
Eventos do CrowdStrike
Os eventos são informações recolhidas pelos sensores do Falcon nos seus anfitriões. Existem quatro tipos de eventos no CrowdStrike:
| Tipos de eventos do CrowdStrike | |
|---|---|
| Eventos de auditoria de atividade de autorização | Eventos gerados sempre que a autorização é pedida, permitida ou concluída em pontos finais. |
| Eventos de resumo de deteção | Eventos gerados quando são detetadas ameaças nos pontos finais. |
| Eventos de fim de sessão de resposta remota | Eventos gerados a partir de sessões remotas em pontos finais. |
| Eventos de auditoria de atividade do utilizador | Eventos gerados para monitorizar as atividades realizadas por utilizadores ativos em pontos finais. |
Os conetores carregam eventos para o Google SecOps para criar alertas e enriquecer registos com dados de eventos. Pode selecionar que eventos carregar para o Google SecOps: todos os tipos de eventos ou apenas os selecionados.
Conetor de deteções do CrowdStrike
Use o conetor de deteções do CrowdStrike para extrair deteções do CrowdStrike.
A lista dinâmica funciona com filtros suportados pela API CrowdStrike.
Como trabalhar com a lista dinâmica
Quando trabalhar com a lista dinâmica, siga as seguintes recomendações:
- Use a linguagem FQL da CrowdStrike para modificar o filtro enviado pelo conetor.
- Forneça uma entrada separada na lista dinâmica para cada filtro.
Para carregar todas as deteções atribuídas a um analista específico, certifique-se de que o analista fornece a seguinte entrada da lista dinâmica:
assigned_to_name:'ANALYST_USER_NAME'
A lista dinâmica suporta os seguintes parâmetros:
| Parâmetros suportados | |
|---|---|
q |
Uma pesquisa de texto completo em todos os campos de metadados. |
date_updated |
Uma data da atualização de deteção mais recente. |
assigned_to_name |
O nome de utilizador legível do responsável pela deteção. |
max_confidence |
Quando uma deteção tem mais do que um comportamento associado com níveis de confiança variáveis, este campo capta o valor de confiança mais elevado de todos os comportamentos. O valor do parâmetro pode ser qualquer número inteiro de 1 a 100. |
detection_id |
O ID de deteção que pode ser usado em conjunto com outras APIs, como a API Detection Details ou a API Resolve Detection. |
max_severity |
Quando uma deteção tem mais do que um comportamento associado com diferentes níveis de gravidade, este campo capta o valor de gravidade mais elevado de todos os comportamentos. O valor do parâmetro pode ser qualquer número inteiro de 1 a 100. |
max_severity_displayname |
O nome usado na IU para determinar a gravidade da deteção. Os valores possíveis são os seguintes:
|
seconds_to_triaged |
O tempo necessário para uma deteção alterar o respetivo estado de
new para in_progress. |
seconds_to_resolved |
O tempo necessário para que uma deteção altere o respetivo estado de
new para qualquer um dos estados resolvidos (true_positive,
false_positive, ignored e
closed). |
status |
Um estado atual da deteção. Os valores possíveis são os seguintes:
|
adversary_ids |
O adversário monitorizado pelo CrowdStrike Falcon Intelligence tem um ID associado aos comportamentos ou indicadores atribuídos numa deteção. Estes IDs encontram-se em metadados de deteção acessíveis através da API de detalhes de deteção. |
cid |
O ID de cliente (CID) da sua organização. |
Parâmetros do conetor
O Conetor de deteções da CrowdStrike requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
O nome do campo de origem que contém o nome. O valor predefinido é |
Event Field Name |
Obrigatório
O nome do campo de origem que contém o nome. O valor predefinido é |
Environment Field Name |
Opcional
O nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, é usado o ambiente predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório O limite de tempo limite em segundos para o processo Python que executa o script atual. O valor predefinido é |
API Root |
Obrigatório
A raiz da API da instância do CrowdStrike. O valor predefinido é |
Client ID |
Obrigatório
O ID de cliente da conta do CrowdStrike. |
Client Secret |
Obrigatório
O segredo do cliente da conta do CrowdStrike. |
Lowest Severity Score To Fetch |
Opcional
A classificação de gravidade mais baixa das deteções a obter. Se não for indicado nenhum valor, o conector não aplica este filtro. O valor máximo é O valor predefinido é
|
Lowest Confidence Score To Fetch |
Opcional
A pontuação de confiança mais baixa das deteções a obter. Se não for indicado nenhum valor, o conector não aplica este filtro. O valor máximo é O valor predefinido é
|
Max Hours Backwards |
Opcional
O número de horas a partir das quais recolher deteções. O valor predefinido é |
Max Detections To Fetch |
Opcional
O número de deteções a processar numa única iteração do conector. O valor predefinido é |
Disable Overflow |
Opcional Se estiver selecionada, o conetor ignora o mecanismo de overflow. Não selecionado por predefinição. |
Verify SSL |
Obrigatório
Se selecionada, a integração verifica se o certificado SSL para a ligação ao servidor CrowdStrike é válido. Não selecionado por predefinição. |
Proxy Server Address |
Opcional
Uma morada do servidor proxy a usar. |
Proxy Username |
Opcional
Um nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional
Uma palavra-passe do proxy para autenticação. |
Case Name Template |
Opcional
Se for fornecido, o conetor adiciona uma nova chave denominada Pode fornecer marcadores de posição
no seguinte formato: [ Nota: o conector usa o primeiro evento do Google SecOps para marcadores de posição. Este parâmetro só permite chaves com um valor de string. |
Alert Name Template |
Opcional
Se for fornecido, o conetor usa este valor para o nome do alerta do Google SecOps. Pode fornecer marcadores de posição
no seguinte formato: [ Nota: se não fornecer nenhum valor ou um modelo inválido, o conector usa o nome do alerta predefinido. O conetor usa o primeiro evento do Google SecOps para marcadores de posição. Este parâmetro só permite chaves com um valor de string. |
Padding Period |
Opcional
O número de horas que o conetor usa para o preenchimento. O valor máximo é |
Include Hidden Alerts |
Opcional
Se ativado, o conetor também obtém alertas etiquetados como "ocultos" pela CrowdStrike. |
Fallback Severity |
Opcional
Gravidade alternativa para o alerta do Google SecOps que deve ser aplicado aos alertas do CrowdStrike, que não têm informações de gravidade. Valores possíveis: Informational, Low, Medium, High, Critical. Se não for indicado nada, o conector usa a gravidade "Informacional". |
Customer ID |
Opcional O ID de cliente do inquilino no qual executar o conector. Para utilização em ambientes multi-inquilino (MSSP). |
Regras de conector
O conetor suporta proxies.
Eventos de conetores
Segue-se um exemplo do evento do conector:
{
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"created_timestamp": "2021-01-12T16:19:08.651448357Z",
"detection_id": "ldt:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"device": {
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "0",
"agent_local_time": "2021-01-12T16:07:16.205Z",
"agent_version": "6.13.12708.0",
"bios_manufacturer": "Example LTD",
"bios_version": "6.00",
"config_id_base": "65994753",
"config_id_build": "12708",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "EXAMPLE-01",
"first_seen": "2021-01-12T16:01:43Z",
"last_seen": "2021-01-12T16:17:21Z",
"local_ip": "192.0.2.1",
"mac_address": "00-50-56-a2-5d-a3",
"major_version": "10",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "normal",
"system_manufacturer": "Example, Inc.",
"system_product_name": "Example ",
"modified_timestamp": "2021-01-12T16:17:29Z",
"behaviors":
{
"device_id": "74089e36ac3a4271ab14abc076ed18eb",
"timestamp": "2021-01-12T16:17:19Z",
"template_instance_id": "10",
"behavior_id": "10146",
"filename": "reg.exe",
"filepath": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"alleged_filetype": "exe",
"cmdline": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\"",
"scenario": "credential_theft",
"objective": "Gain Access",
"tactic": "Credential Access",
"tactic_id": "TA0006",
"technique": "Credential Dumping",
"technique_id": "T1003",
"display_name": "Example-Name",
"severity": 70,
"confidence": 80,
"ioc_type": "hash_sha256",
"ioc_value": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"ioc_source": "library_load",
"ioc_description": "\\Device\\HarddiskVolume2\\Windows\\System32\\reg.exe",
"user_name": "Admin",
"user_id": "example-id",
"control_graph_id": "ctg:74089e36ac3a4271ab14abc076ed18eb:4317290676",
"triggering_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4746437404",
"sha256": "b211c25bf0b10a82b47e9d8da12155aad95cff14cebda7c4acb35a94b433ddfb",
"md5": "05cf3ce225b05b669e3118092f4c8eab",
"parent_details": {
"parent_sha256": "d0ceb18272966ab62b8edff100e9b4a6a3cb5dc0f2a32b2b18721fea2d9c09a5",
"parent_md5": "9d59442313565c2e0860b88bf32b2277",
"parent_cmdline": "C:\\Windows\\system32\\cmd.exe /c \"\"C:\\Users\\Admin\\Desktop\\APTSimulator-master\\APTSimulator-master\\APTSimulator.bat\" \"",
"parent_process_graph_id": "pid:74089e36ac3a4271ab14abc076ed18eb:4520199381"
},
"pattern_disposition": 2048,
"pattern_disposition_details": {
"indicator": false,
"detect": false,
"inddet_mask": false,
"sensor_only": false,
"rooting": false,
"kill_process": false,
"kill_subprocess": false,
"quarantine_machine": false,
"quarantine_file": false,
"policy_disabled": false,
"kill_parent": false,
"operation_blocked": false,
"process_blocked": true,
"registry_operation_blocked": false,
"critical_process_disabled": false,
"bootup_safeguard_enabled": false,
"fs_operation_blocked": false,
"handle_operation_downgraded": false
}
}
},
"email_sent": false,
"first_behavior": "2021-01-12T16:17:19Z",
"last_behavior": "2021-01-12T16:17:19Z",
"max_confidence": 80,
"max_severity": 70,
"max_severity_displayname": "High",
"show_in_ui": true,
"status": "new",
"hostinfo": {
"domain": ""
},
"seconds_to_triaged": 0,
"seconds_to_resolved": 0,
}
Conetor de eventos de streaming do CrowdStrike Falcon
O conetor de eventos de streaming do CrowdStrike Falcon aborda os seguintes exemplos de utilização:
Ingestão de dados de eventos de deteção.
O CrowdStrike Falcon deteta uma tentativa de execução do ficheiro
SophosCleanM.exemalicioso num ponto final. O CrowdStrike interrompe a operação e cria um alerta com hashes de ficheiros nos dados de eventos.Um analista interessado na reputação de ficheiros executa hashes descobertos no VirusTotal e descobre que um hash é malicioso. Como passo seguinte, a ação do Mcafee EDR coloca o ficheiro malicioso em quarentena.
Ingestão de dados de eventos de auditoria da atividade do utilizador.
Um utilizador do CrowdStrike, o Dani, atualiza o estado da deteção de
newparafalse-positive. Esta ação do utilizador cria um evento denominado detection_update.O analista faz um seguimento para compreender por que motivo a Dani marcou a ação como falso positivo e verifica o evento carregado que contém as informações sobre a identidade da Dani.
Como passo seguinte, o analista executa a ação Enrich Entities do Active Directory para obter mais detalhes sobre o incidente e simplificar o acompanhamento de Dani.
Ingestão de dados de eventos de auditoria da atividade de autenticação.
Um evento indica que o Dani criou uma nova conta de utilizador e atribuiu-lhe funções de utilizador.
Para investigar o evento e compreender por que motivo o utilizador foi criado, o analista usa o ID do utilizador de Dani para executar a ação Enriquecer entidades e descobrir a função do utilizador de Dani para confirmar se tem autorização para adicionar novos utilizadores.
Ingestão de dados de eventos de fim de resposta remota.
Um evento remoto indica que a Dani tinha uma ligação remota a um anfitrião específico e executou comandos como utilizador raiz para aceder a um diretório do servidor Web.
Para obter mais informações sobre Dani e o anfitrião envolvido, o analista executa a ação do Active Directory para enriquecer o utilizador e o anfitrião. Com base nas informações devolvidas, o analista pode decidir suspender a conta de Dani até que a finalidade da ligação remota seja esclarecida.
Entradas do conetor
O conetor de eventos de streaming do CrowdStrike Falcon requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
O nome do campo de origem que contém o nome. O valor predefinido é |
Event Field Name |
Obrigatório
O nome do campo de origem que contém o nome. O valor predefinido é |
Environment Field Name |
Opcional
O nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, é usado o ambiente predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
Alert Name Template |
Opcional
Se for fornecido, o conetor usa este valor para o nome do alerta do Google SecOps. Pode fornecer marcadores de posição
no seguinte formato: [ Nota: se não fornecer nenhum valor ou um modelo inválido, o conector usa o nome do alerta predefinido. O conetor usa o primeiro evento do Google SecOps para marcadores de posição. Este parâmetro só permite chaves com um valor de string. |
API Root |
Obrigatório
A raiz da API da instância do CrowdStrike. O valor predefinido é |
Client ID |
Obrigatório
O ID de cliente da conta do CrowdStrike. |
Client Secret |
Obrigatório
O segredo do cliente da conta do CrowdStrike. |
Event types |
Opcional
Uma lista separada por vírgulas de tipos de eventos. Seguem-se exemplos dos tipos de eventos:
|
Max Days Backwards |
Opcional
O número de dias antes de hoje a partir dos quais devem ser obtidas deteções. O valor predefinido é |
Max Events Per Cycle |
Opcional
O número de eventos a processar numa única iteração do conector. O valor predefinido é |
Min Severity |
Opcional Eventos a carregar com base na gravidade do evento (eventos de deteção). O valor varia entre 0 e 5. Se forem carregados outros tipos de eventos além das deteções, a respetiva gravidade é
definida como |
Disable Overflow |
Opcional Se estiver selecionada, o conetor ignora o mecanismo de overflow. Não selecionado por predefinição. |
Verify SSL |
Obrigatório
Se selecionada, a integração verifica se o certificado SSL para a ligação ao servidor CrowdStrike é válido. Não selecionado por predefinição. |
Script Timeout (Seconds) |
Obrigatório O limite de tempo limite para o processo Python que executa o script atual. O valor predefinido é 60 segundos. |
Proxy Server Address |
Opcional
Uma morada do servidor proxy a usar. |
Proxy Username |
Opcional
Um nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional
Uma palavra-passe do proxy para autenticação. |
Rule Generator Template |
Opcional
Se for fornecido, o conetor usa este valor para o gerador de regras do Google SecOps. Pode fornecer
marcadores de posição
no seguinte formato: [ Se não fornecer nenhum valor ou um modelo inválido, o conector usa o gerador de regras predefinido. O conetor usa o primeiro evento do Google SecOps para marcadores de posição. Este parâmetro só permite chaves com um valor de string. |
Customer ID |
Opcional O ID de cliente do inquilino no qual executar o conector. Para utilização em ambientes multi-inquilino (MSSP). |
Regras de conector
Este conector é compatível com proxies.
Este conetor não suporta a lista dinâmica.
Conetor de deteções de proteção de identidade da CrowdStrike
Use o conetor de deteções de proteção de identidade da CrowdStrike para extrair as deteções de proteção de identidade da CrowdStrike. A lista dinâmica funciona com o parâmetro display_name.
Este conetor requer uma licença do Identity Protection.
Entradas do conetor
O conetor de deteções da CrowdStrike Identity Protection requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
O nome do campo de origem que contém o nome. O valor predefinido é |
Event Field Name |
Obrigatório
O nome do campo de origem que contém o nome. O valor predefinido é |
Environment Field Name |
Opcional
O nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, é usado o ambiente predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório O limite de tempo limite em segundos para o processo Python que executa o script atual. O valor predefinido é |
API Root |
Obrigatório
A raiz da API da instância do CrowdStrike. O valor predefinido é |
Client ID |
Obrigatório
O ID de cliente da conta do CrowdStrike. |
Client Secret |
Obrigatório
O segredo do cliente da conta do CrowdStrike. |
Lowest Severity Score To Fetch |
Opcional
A classificação de gravidade mais baixa das deteções a obter. Se não for indicado nenhum valor, o conector não aplica este filtro. O valor máximo é O valor predefinido é
O conector também suporta os seguintes valores para este parâmetro:
|
Lowest Confidence Score To Fetch |
Opcional
A pontuação de confiança mais baixa das deteções a obter. Se não for indicado nenhum valor, o conector não aplica este filtro. O valor máximo é O valor predefinido é
|
Max Hours Backwards |
Opcional
O número de horas anteriores ao momento atual a partir das quais devem ser obtidas deteções. O valor predefinido é |
Max Detections To Fetch |
Opcional
O número de deteções a processar numa única iteração do conector. O valor predefinido é |
Case Name Template |
Opcional
Se for fornecido, o conetor adiciona uma nova chave denominada Pode fornecer marcadores de posição
no seguinte formato: [ Nota: o conector usa o primeiro evento do Google SecOps para marcadores de posição. Este parâmetro só permite chaves com um valor de string. |
Alert Name Template |
Opcional
Se for fornecido, o conetor usa este valor para o nome do alerta do Google SecOps. Pode fornecer marcadores de posição
no seguinte formato: [ Nota: se não fornecer nenhum valor ou um modelo inválido, o conector usa o nome do alerta predefinido. O conetor usa o primeiro evento do Google SecOps para marcadores de posição. Este parâmetro só permite chaves com um valor de string. |
Disable Overflow |
Opcional Se estiver selecionada, o conetor ignora o mecanismo de overflow. Não selecionado por predefinição. |
Verify SSL |
Obrigatório
Se selecionada, a integração verifica se o certificado SSL para a ligação ao servidor CrowdStrike é válido. Não selecionado por predefinição. |
Proxy Server Address |
Opcional
Uma morada do servidor proxy a usar. |
Proxy Username |
Opcional
Um nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional
Uma palavra-passe do proxy para autenticação. |
Customer ID |
Opcional O ID de cliente do inquilino no qual executar o conector. Para utilização em ambientes multi-inquilino (MSSP). |
Regras de conector
Este conector é compatível com proxies.
Evento do conetor
Segue-se um exemplo do evento do conector:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"aggind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://example.com/identity-protection/detections/",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74:C34185DF-C3BA-4F69-93EB-1B61A213AF86",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.COM",
"source_account_name": "ExampleName",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Conetor de incidentes do CrowdStrike
Use o conetor de incidentes da CrowdStrike para extrair incidentes e comportamentos relacionados da CrowdStrike.
A lista dinâmica funciona com o parâmetro incident_type.
Parâmetros do conetor
O conetor de incidentes da CrowdStrike requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
O nome do campo de origem que contém o nome. O valor predefinido é |
Event Field Name |
Obrigatório
O nome do campo de origem que contém o nome. O valor predefinido é |
Environment Field Name |
Opcional
O nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, é usado o ambiente predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a executar no valor encontrado no campo Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório O limite de tempo limite em segundos para o processo Python que executa o script atual. O valor predefinido é |
API Root |
Obrigatório
A raiz da API da instância do CrowdStrike. O valor predefinido é |
Client ID |
Obrigatório
O ID de cliente da conta do CrowdStrike. |
Client Secret |
Obrigatório
O segredo do cliente da conta do CrowdStrike. |
Lowest Severity Score To Fetch |
Opcional
A pontuação de gravidade mais baixa dos incidentes a obter. Se não for fornecido nenhum valor, o conector carrega incidentes com todas as gravidades. O valor máximo é
|
Max Hours Backwards |
Opcional
O número de horas antes do momento atual a partir do qual pretende obter incidentes. O valor predefinido é |
Max Incidents To Fetch |
Opcional
O número de incidentes a processar numa única iteração do conector. O valor máximo é O valor predefinido é
|
Use dynamic list as a blocklist |
Obrigatório
Se estiver selecionada, a lista dinâmica é usada como uma lista de bloqueio. Não selecionado por predefinição. |
Disable Overflow |
Opcional Se estiver selecionada, o conetor ignora o mecanismo de overflow. Não selecionado por predefinição. |
Verify SSL |
Obrigatório
Se selecionada, a integração verifica se o certificado SSL para a ligação ao servidor CrowdStrike é válido. Não selecionado por predefinição. |
Proxy Server Address |
Opcional
Uma morada do servidor proxy a usar. |
Proxy Username |
Opcional
Um nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional
Uma palavra-passe do proxy para autenticação. |
Customer ID |
Opcional O ID de cliente do inquilino no qual executar o conector. Para utilização em ambientes multi-inquilino (MSSP). |
Regras de conector
Este conector é compatível com proxies.
Eventos de conetores
O conetor de incidentes da CrowdStrike tem dois tipos de eventos: um baseia-se no incidente e o outro no comportamento.
O exemplo de um evento baseado num incidente é o seguinte:
{
"data_type": "Incident"
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_type": 1,
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"host_ids": [
"fee8a6ef0cb3412e9a781dcae0287c85"
],
"hosts": [
{
"device_id": "fee8a6ef0cb3412e9a781dcae0287c85",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"agent_load_flags": "1",
"agent_local_time": "2023-01-09T11:28:59.170Z",
"agent_version": "6.48.16207.0",
"bios_manufacturer": "Example Inc.",
"bios_version": "1.20.0",
"config_id_base": "65994753",
"config_id_build": "16207",
"config_id_platform": "3",
"external_ip": "203.0.113.1",
"hostname": "DESKTOP-EXAMPLE",
"first_seen": "2022-09-26T09:56:42Z",
"last_seen": "2023-01-09T12:11:35Z",
"local_ip": "192.0.2.1",
"mac_address": "00-15-5d-65-39-86",
"major_version": "01",
"minor_version": "0",
"os_version": "Windows 10",
"platform_id": "0",
"platform_name": "Windows",
"product_type": "1",
"product_type_desc": "Workstation",
"status": "contained",
"system_manufacturer": "Example Inc.",
"system_product_name": "G5 5500",
"modified_timestamp": "2023-01-09T12:11:48Z"
}
],
"created": "2023-01-09T12:12:51Z",
"start": "2023-01-09T11:23:27Z",
"end": "2023-01-09T12:52:01Z",
"state": "closed",
"status": 20,
"tactics": [
"Defense Evasion",
"Privilege Escalation",
"Credential Access"
],
"techniques": [
"Disable or Modify Tools",
"Access Token Manipulation",
"Input Capture",
"Bypass User Account Control"
],
"objectives": [
"Keep Access",
"Gain Access"
],
"users": [
"DESKTOP-EXAMPLE$",
"EXAMPLE"
],
"fine_score": 21
}
Segue-se um exemplo de um evento com base no comportamento:
{
"behavior_id": "ind:fee8a6ef0cb3412e9a781dcae0287c85:1298143147841-372-840208",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"aid": "fee8a6ef0cb3412e9a781dcae0287c85",
"incident_id": "inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c",
"incident_ids": [
"inc:fee8a6ef0cb3412e9a781dcae0287c85:9dfa480ae6214309bff0c8dc2ad8af7c"
],
"pattern_id": 372,
"template_instance_id": 0,
"timestamp": "2023-01-09T11:24:25Z",
"cmdline": "\"C:\\WINDOWS\\system32\\SystemSettingsAdminFlows.exe\" SetNetworkAdapter {4ebe49ef-86f5-4c15-91b9-8da03d796416} enable",
"filepath": "\\Device\\HarddiskVolume3\\Windows\\System32\\SystemSettingsAdminFlows.exe",
"domain": "DESKTOP-EXAMPLE",
"pattern_disposition": -1,
"sha256": "78f926520799565373b1a8a42dc4f2fa328ae8b4de9df5eb885c0f7c971040d6",
"user_name": "EXAMPLE",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Bypass User Account Control",
"technique_id": "T1548.002",
"display_name": "ProcessIntegrityElevationTarget",
"objective": "Gain Access",
"compound_tto": "GainAccess__PrivilegeEscalation__BypassUserAccountControl__1__0__0__0"
}
CrowdStrike – Conetor de alertas
Use o conetor de alertas do CrowdStrike para extrair alertas do CrowdStrike.
A lista dinâmica funciona com o parâmetro display_name.
Para obter deteções de proteção de identidade, use o conector de deteções de proteção de identidade.
Entradas do conetor
O CrowdStrike – Alerts Connector requer os seguintes parâmetros:
| Parâmetros | |
|---|---|
Product Field Name |
Obrigatório
O nome do campo de origem que contém o nome. O valor predefinido é |
Event Field Name |
Obrigatório
O nome do campo de origem que contém o nome. O valor predefinido é |
Environment Field Name |
Opcional
O nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, é usado o ambiente predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório Limite de tempo limite em segundos para o processo Python que executa o script atual. O valor predefinido é |
API Root |
Obrigatório
A raiz da API da instância do CrowdStrike. O valor predefinido é |
Client ID |
Obrigatório
O ID de cliente da conta do CrowdStrike. |
Client Secret |
Obrigatório
O segredo do cliente da conta do CrowdStrike. |
Case Name Template |
Opcional
Se for fornecido, o conetor adiciona uma nova chave denominada Pode fornecer marcadores de posição
no seguinte formato: [ Nota: o conector usa o primeiro evento do Google SecOps para marcadores de posição. Este parâmetro só permite chaves com um valor de string. |
Alert Name Template |
Opcional
Se for fornecido, o conetor usa este valor para o nome do alerta do Google SecOps. Pode fornecer marcadores de posição
no seguinte formato: [ Nota: se não fornecer nenhum valor ou um modelo inválido, o conector usa o nome do alerta predefinido. O conetor usa o primeiro evento do Google SecOps para marcadores de posição. Este parâmetro só permite chaves com um valor de string. |
Lowest Severity Score To Fetch |
Opcional
A pontuação de gravidade mais baixa dos incidentes a obter. Se não for fornecido nenhum valor, o conector carrega incidentes com todas as gravidades. O valor máximo é
Na IU do CrowdStrike, o mesmo valor é apresentado dividido por 10. |
Max Hours Backwards |
Opcional
O número de horas antes do momento atual a partir do qual pretende obter incidentes. O valor predefinido é |
Max Alerts To Fetch |
Opcional
O número de alertas a processar numa única iteração do conector. O valor máximo é O valor predefinido é
|
Use dynamic list as a blocklist |
Obrigatório
Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Não selecionado por predefinição. |
Disable Overflow |
Opcional Se estiver selecionada, o conetor ignora o mecanismo de overflow. Não selecionado por predefinição. |
Verify SSL |
Obrigatório
Se selecionada, a integração verifica se o certificado SSL para a ligação ao servidor CrowdStrike é válido. Não selecionado por predefinição. |
Proxy Server Address |
Opcional
Uma morada do servidor proxy a usar. |
Proxy Username |
Opcional
Um nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional
Uma palavra-passe do proxy para autenticação. |
Customer ID |
Opcional O ID de cliente do inquilino no qual executar o conector. Para utilização em ambientes multi-inquilino (MSSP). |
Regras de conector
Este conector é compatível com proxies.
Eventos de conetores
O exemplo de um evento baseado em alertas é o seguinte:
{
"added_privileges": [
"DomainAdminsRole"
],
"aggregate_id": "aggind:27fe4e476ca3490b8476b2b6650e5a74",
"cid": "27fe4e476ca3490b8476b2b6650e5a74",
"composite_id": "27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74",
"confidence": 20,
"context_timestamp": "2022-11-15T12:58:13.155Z",
"crawl_edge_ids": {
"Sensor": [
"N6Fq4_]TKjckDDWI$fKO`l>_^KFO4!,Z/&o<H7_)4[Ip*h@KUG8%Xn3Fm3@]<gF_c,c1eeW\\O-J9l;HhVHA\"DH#\\pO1M#>X^dZWWg%V:`[+@g9@3h\"Q\"7r8&lj-o[K@24f;Xl.rlhgWC8%j5\\O7p/G7iQ*ST&12];a_!REjkIUL.R,/U^?]I!!*'!",
"XNXPaK.m]6i\"HhDPGX=XlMl2?8Mr#H;,A,=7aF9N)>5*/Hc!D_>MmDTO\\t1>Oi6ENO`QkWK=@M9q?[I+pm^)mj5=T_EJ\"4cK99U+!/ERSdo(X^?.Z>^]kq!ECXH$T.sfrJpT:TE+(k]<'Hh]..+*N%h_5<Z,63,n!!*'!",
"N6L$J`'>\":d#'I2pLF4-ZP?S-Qu#75O,>ZD+B,m[\"eGe@(]>?Nqsh8T3*q=L%=`KI_C[Wmj3?D!=:`(K)7/2g&8cCuB`r9e\"jTp/QqK7.GocpPSq4\\-#t1Q*%5C0%S1$f>KT&a81dJ!Up@EZY*;ssFlh8$cID*qr1!)S<!m@A@s%JrG9Go-f^B\"<7s8N"
]
},
"crawl_vertex_ids": {
"Sensor": [
"uid:27fe4e476ca3490b8476b2b6650e5a74:S-1-5-21-3479765008-4256118348-3151044947-3195",
"ind:27fe4e476ca3490b8476b2b6650e5a74",
"aggind:27fe4e476ca3490b8476b2b6650e5a74",
"idpind:27fe4e476ca3490b8476b2b6650e5a74:715224EE-7AD6-33A1-ADA9-62C4608DA546"
]
},
"crawled_timestamp": "2022-11-15T14:33:50.641703679Z",
"created_timestamp": "2022-11-15T12:59:15.444106807Z",
"description": "A user received new privileges",
"display_name": "Privilege escalation (user)",
"end_time": "2022-11-15T12:58:13.155Z",
"falcon_host_link": "https://falcon.crowdstrike.com/identity-protection/detections/27fe4e476ca3490b8476b2b6650e5a74:ind:27fe4e476ca3490b8476b2b6650e5a74?cid=27fe4e476ca3490b8476b2b6650e5a74",
"id": "ind:27fe4e476ca3490b8476b2b6650e5a74",
"name": "IdpEntityPrivilegeEscalationUser",
"objective": "Gain Access",
"pattern_id": 51113,
"previous_privileges": "0",
"privileges": "8321",
"product": "idp",
"scenario": "privilege_escalation",
"severity": 2,
"show_in_ui": true,
"source_account_domain": "EXAMPLE.EXAMPLE",
"source_account_name": "ExampleMailbox",
"source_account_object_sid": "S-1-5-21-3479765008-4256118348-3151044947-3195",
"start_time": "2022-11-15T12:58:13.155Z",
"status": "new",
"tactic": "Privilege Escalation",
"tactic_id": "TA0004",
"technique": "Valid Accounts",
"technique_id": "T1078",
"timestamp": "2022-11-15T12:58:15.397Z",
"type": "idp-user-endpoint-app-info",
"updated_timestamp": "2022-11-15T14:33:50.635238527Z"
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.