Utilisation de l’intégration CrowdStrike Falcon Insight dans Analyst Workspace

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez l’intégration CrowdStrike Falcon Insight pour tirer parti des CrowdStrike Falcon Insight options de l’espace de travail d’analyste SIR.

    Avant de commencer

    Rôle requis : sn_si.admin

    Avant d’utiliser CrowdStrike Falcon Insight l’intégration dans l’espace de travail Réponse aux incidents de sécurité, vous devez la ServiceNow Store télécharger et la configurer. Pour plus d'informations, consultez Mise en route de l’intégration CrowdStrike Falcon Insight.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser l’intégration CrowdStrike Falcon Insight pour effectuer des actions de rattrapage sur les points de terminaison en temps réel, utiliser des profils pour recueillir des détails sur l’hôte et effectuer des requêtes ou des actions spécifiques sur le point de terminaison à l’aide de l’espace Réponse aux incidents de sécurité de travail.

    L’intégration CrowdStrike Falcon Insight permet aux analystes d’utiliser les options suivantes CrowdStrike Falcon Insight dans l’espace de Réponse aux incidents de sécurité travail Analyst :
    • Obtenir les détails de l'hôte
    • Obtenir les utilisateurs connectés
    • Obtenir les statistiques réseau
    • Obtenir les processus en cours d’exécution
    • Obtenir les services d'exécution
    • Isoler l’hôte
    • Supprimer l'isolement
    • Obtenir un fichier

    Procédure

    1. Dans l’espace de travail SIR, ouvrez l’incident de sécurité requis et sélectionnez l’onglet Enregistrements connexes .
    2. Vous pouvez utiliser les options de CrowdStrike Falcon Insight figurant sur la liste connexe Impact sur l’entreprise à des fins d’analyse.
      1. Sélectionnez un élément de configuration, puis choisissez une aptitude dans la liste déroulante.
        Figure 1. CrowdStrike Falcon Insight pour CI
        CrowdStrike Falcon Insight pour CI
      2. Sélectionnez l’implémentation de CrowdStrike Falcon Insight et cliquez sur Soumettre.
        L’option Obtenir les statistiques réseau est invoquée sur le CI. Vous pouvez afficher les notes de travail pour les résultats et les conclusions.
    3. Vous pouvez utiliser les options de CrowdStrike Falcon Insight de la liste connexe Endpoint Detection and Reponse (EDR) pour l’analyse.
      1. Dans la liste connexe PEPT (Endpoint Detection and Reponse), choisissez un EDR dans la liste.
      2. Cliquez sur un processus en cours particulier pour afficher les détails du processus en cours d’exécution de CrowdStrike Falcon Insight.
      3. Pour exécuter une recherche d’observation CrowdStrike Falcon sur un processus en cours particulier, sélectionnez le processus en cours et cliquez sur Exécuter l’observation CrowdStrike.
        Figure 2. CrowdStrike Falcon Insight pour EDR
        CrowdStrike Falcon Insight pour la détection et la réponse aux points de terminaison
      4. Sélectionnez l’implémentation de CrowdStrike Falcon Insight et cliquez sur Exécuter la recherche.
        Ensuite, une recherche de perception de hachage est exécutée sur le processus en cours sélectionné. Vous pouvez afficher les notes de travail pour les résultats et les conclusions.
    4. Vous pouvez utiliser les options de CrowdStrike Falcon Insight sur Threat Intelligence pour l’analyse.
      1. Dans le groupe Threat Intel, sélectionnez un observable, puis choisissez une CrowdStrike Falcon Insight aptitude dans la liste déroulante.
      2. Sélectionnez l’implémentation de CrowdStrike Falcon Insight et cliquez sur Suivant.
        Figure 3. CrowdStrike Falcon Insight pour les renseignements sur les menaces
        CrowdStrike Falcon Insight pour les renseignements sur les menaces
      3. Dans la fenêtre contextuelle Sélectionner la date/heure, sélectionnez une valeur aléatoire et cliquez sur Soumettre.
        Ensuite, une recherche d’observation est exécutée sur l’observable sélectionné. Vous pouvez afficher les notes de travail pour les résultats et les conclusions.