Sie können die Profileinstellungen so konfigurieren, dass ein Profil nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt ist, oder Sie können ein Profil einrichten, um nach bestimmten Feldwerten in einem Security Incident zu suchen.

Nachdem Sie ein Profil erstellt und die Fähigkeiten CrowdStrike Falcon Insight ausgewählt haben, mit denen das Profil ausgeführt werden soll, können Sie Auslöserbedingungen festlegen, sodass Ihr Profil automatisch ausgeführt wird, wenn die Standardfeldwerte mit dem Security Incident Now Platform übereinstimmen.

Standardmäßig verwendet die Integration das Feld Configuration Item (CI) für einen Security Incident. Dieses Feld wird verwendet, um Ihre Asset-IDs mit den Informationen abzugleichen, die in der -Datenbank Now Platform gespeichert sind. Wenn ein SIR-Security Incident von einem Sicherheitsereignis erstellt wird und ein Profil aktiviert ist, werden Ihre Assets nach einem übereinstimmenden Wert für den Hostnamen oder eine IP-Adresse gescannt.

Wenn in der Datenbank ein übereinstimmender Wert gefunden wird, werden diese Daten in der Konsole CrowdStrike Falcon Insight gesammelt und in Ihre Instanz Now Platform abgerufen, wo sie in den zugehörigen Listen eines Security Incident angezeigt werden.

Das folgende Beispiel zeigt ein Configuration Item-Feld, das mit einem Hostnamen für einen SIR-Security Incident gefüllt wird.

Wenn das Feld Configuration item (CI) nicht mit einem Hostnamen oder einer IP-Adresse gefüllt ist, die der -Datenbank entspricht, können Sie ein anderes Feld im Security Incident auswählen, um übereinstimmende CI-Daten anzuzeigen, die Sie beim Scannen Ihrer Assets finden.

Wenn Sie das Profil-Setup konfigurieren, können Sie ein alternatives CI-Auslöserfeld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass die CI-Daten aus der Suche CrowdStrike Falcon Insight für den zugehörigen Security Incident ausgefüllt werden. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Wenn das CI-Feld im zugehörigen Security Incident beim Erstellen des incident nicht ausgefüllt ist, wählen Sie das alternative CI-Feld aus, um sicherzustellen, dass Ihre Profile ausgelöst werden.

Das folgende Beispiel zeigt ein alternatives Feld, das mit einem Hostnamen in einem SIR-Security Incident gefüllt wird. Das alternative Feld ist das Feld Beschreibung.