Löst ein CrowdStrike Falcon Insight -Profil manuell über einen Security Incident aus

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Lösen Sie ein Profil manuell aus, nachdem Sie einen Security Incident überprüft haben.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sobald Sie das Profil aktiviert haben, können Sie basierend auf den konfigurierten Auslöserbedingungen die Abfrageergebnisse in den Security Incidents Now Platform anzeigen. Mit CrowdStrike Falcon Insight können Sie auch einzelne Fähigkeiten für Configuration Items (CIs) ausführen, ohne ein Profil zu verwenden.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident, den Sie überprüfen möchten, mit den Informationen CrowdStrike Falcon Insight aus.
    3. Wählen Sie im Abschnitt „Zugehörige Listen“ EDR-Profil(e) ausführenaus.
    4. Durchsuchen und ein Profil aus der Liste der verfügbaren Profile auswählen
    5. Wählen Sie „Zugehöriges CI einschließen“ aus, um dieses Profil für alle zugehörigen CIs des Profils auszuführen.
      Wenn dem Security Incident beispielsweise fünf CIs zugeordnet sind, wird das ausgewählte Profil für alle fünf CIs ausgeführt.
    6. Klicken Sie auf Absenden.
      Das ausgewählte Profil wird manuell ausgelöst. Sie können den Abschnitt „Arbeitsnotizen und Aktivitäten“ sowie die Tags „Profil initiiert“ und „Profil abgeschlossen“ im Abschnitt „Arbeitsnotizen“ überprüfen. Arbeitsnotizen für Automatisierungsaktivität werden überprüft.
    7. Die Ergebnisse werden in Form von zugehörigen Listen wie „Datei abrufen“, „Hostdetails“, „Angemeldete Benutzer“, „Laufende Prozesse“, „Laufende Services“, „Netzwerkstatistiken“ usw. angezeigt.Überprüfen Sie die zugehörige Liste auf zusätzliche Details.
    8. Um einzelne Fähigkeiten für ein CI auszuführen, gehen Sie wie folgt vor:
      1. Wählen Sie in der zugehörigen Liste Configuration Items das gewünschte CI aus.
      2. Klicken Sie auf die Dropdown-Liste Aktionen für ausgewählte Zeilen... und wählen Sie die Fähigkeit aus, die Sie für das ausgewählte CI ausführen möchten.
        Beispiel: Host isolieren.
      3. Suchen Sie mithilfe der Suchoption nach der erforderlichen Fähigkeitsimplementierung für das CI, und wählen Sie CrowdStrike Falcon Insight – Host isolieren aus.
      4. Klicken Sie auf Host isolieren, um die Anwendung für das ausgewählte CI auszuführen.