Verwenden der CrowdStrike Falcon Insight -Integration in Analyst Workspace

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie die Integration von CrowdStrike Falcon Insight, um die Fähigkeiten von CrowdStrike Falcon Insight im SIR-Analystenarbeitsbereich zu nutzen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Bevor Sie die CrowdStrike Falcon Insight -Integration im Security Incident Response-Arbeitsbereich verwenden, müssen Sie sie aus dem ServiceNow Store herunterladen und konfigurieren. Weitere Informationen finden Sie unter Erste Schritte mit der CrowdStrike Falcon Insight -Integration.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die CrowdStrike Falcon Insight -Integration verwenden, um Korrekturaktionen für die Endpunkte in Echtzeit durchzuführen, Profile zum Sammeln von Details zum Host zu verwenden und im Arbeitsbereich Security Incident Response bestimmte Abfragen oder Aktionen für den Endpunkt durchzuführen.

    Die CrowdStrike Falcon Insight -Integration ermöglicht Analysten die Verwendung der folgenden CrowdStrike Falcon Insight -Fähigkeiten im Analyst Workspace Security Incident Response :
    • Hostdetails abrufen
    • Angemeldete Anwender abrufen
    • Netzwerkstatistiken abrufen
    • Laufende Prozesse abrufen
    • Laufende Services abrufen
    • Host isolieren
    • Isolation entfernen
    • Datei abrufen

    Prozedur

    1. Öffnen Sie im SIR-Arbeitsbereich den erforderlichen Security Incident, und wählen Sie die Registerkarte Zugehörige Datensätze aus.
    2. Sie können die CrowdStrike Falcon Insight-Fähigkeiten in der zugehörigen Liste „Geschäftsauswirkung“ zur Analyse verwenden.
      1. Wählen Sie ein Konfigurationselementaus, und wählen Sie eine Fähigkeit aus der Dropdown-Liste aus.
        Abbildung : 1. CrowdStrike Falcon Insight für CI
        CrowdStrike Falcon Insight für CI
      2. Wählen Sie die CrowdStrike Falcon Insight- Implementierung aus, und klicken Sie auf Absenden.
        Die Fähigkeit „Netzwerkstatistiken abrufen“ wird für das CI aufgerufen. Sie können die Arbeitsnotizen für die Ergebnisse und Ergebnisse anzeigen.
    3. Sie können die CrowdStrike Falcon Insight-Fähigkeiten in der zugehörigen Liste Endpoint Detection and Response (EDR) zur Analyse verwenden.
      1. Wählen Sie in der zugehörigen Liste Endpoint Detection and Response (EDR) einen EDR aus der Liste aus.
      2. Klicken Sie auf einen bestimmten laufenden Prozess, um die Details des laufenden CrowdStrike Falcon Insight-Prozesses anzuzeigen.
      3. Um eine CrowdStrike Falcon-Sichtungssuche für einen bestimmten laufenden Prozess auszuführen, wählen Sie den laufenden Prozess aus und klicken Sie auf CrowdStrike-Sichtung ausführen.
        Abbildung : 2. CrowdStrike Falcon Insight für EDR
        CrowdStrike Falcon Insight für Endpunkterkennung und -reaktion
      4. Wählen Sie die CrowdStrike Falcon Insight- Implementierung aus, und klicken Sie auf Sucheausführen.
        Anschließend wird eine Hash-Sichtungssuche für den ausgewählten laufenden Prozess ausgeführt. Sie können die Arbeitsnotizen für die Ergebnisse und Ergebnisse anzeigen.
    4. Sie können die CrowdStrike Falcon Insight-Fähigkeiten für Threat Intel zur Analyse verwenden.
      1. Wählen Sie in der Gruppe „Bedrohungsinformationen“ ein erkennbares Element aus, und wählen Sie eine CrowdStrike Falcon Insight-Fähigkeitaus der Dropdown-Liste aus.
      2. Wählen Sie die CrowdStrike Falcon Insight- Implementierung aus, und klicken Sie auf Weiter.
        Abbildung : 3. CrowdStrike Falcon Insight für Threat Intel
        CrowdStrike Falcon Insight für Threat Intel
      3. Wählen Sie im Popup-Fenster Datum/Uhrzeit auswählen einen zufälligen Wert aus, und klicken Sie auf Absenden.
        Anschließend wird eine Sichtungssuche für das ausgewählte erkennbare Element ausgeführt. Sie können die Arbeitsnotizen für die Ergebnisse und Ergebnisse anzeigen.