Auslöser A CrowdStrike Falcon InsightProfil manuell aus einem Security Incident

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Lösen Sie ein Profil manuell aus, nachdem Sie einen Security Incident überprüft haben.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Sobald Sie das Profil basierend auf den konfigurierten Auslöserbedingungen aktiviert haben, können Sie die Abfrageergebnisse in anzeigen Now PlatformSecurity Incidents. CrowdStrike Falcon InsightErmöglicht Ihnen auch das Ausführen einzelner Fähigkeiten für Konfigurationselemente (Configuration Items, CIs) ohne Verwendung eines Profils.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie mit überprüfen möchten CrowdStrike Falcon InsightInformationen.
    3. Wählen Sie im Abschnitt zugehörige Listen die Option aus EDR-Profil(e) ausführen .
    4. Durchsuchen und wählen Sie ein Profil aus der Liste der verfügbaren Profile aus.
    5. Wählen Sie Aus Schließen Sie das zugehörige CI ein Zum Ausführen dieses Profils für alle zugehörigen CIs des Profils.
      Wenn dem Security Incident beispielsweise fünf CIs zugeordnet sind, wird das ausgewählte Profil für alle fünf CIs ausgeführt.
    6. Klicken Sie auf Absenden.
      Das ausgewählte Profil wird manuell ausgelöst. Sie können den Abschnitt „Arbeitsnotizen und Aktivitäten“ sowie die Tags „Profil initiiert“ und „Profil abgeschlossen“ im Abschnitt „Arbeitsnotizen“ überprüfen. Arbeitsnotizen für Automatisierungsaktivität werden überprüft.
    7. Die Ergebnisse werden in Form von zugehörigen Listen angezeigt, z. B. „Datei abrufen“, „Hostdetails“, „angemeldete Anwender“, „laufende Prozesse“, „ausgeführte Services“, Netzwerkstatistiken usw.Überprüfen Sie die zugehörige Liste auf zusätzliche Details.
    8. Führen Sie die folgenden Schritte aus, um einzelne Fähigkeiten für ein CI auszuführen:
      1. Wählen Sie in der zugehörigen Liste Konfigurationselemente das erforderliche CI aus.
      2. Klicken Sie auf Aktionen für ausgewählte Zeilen... Dropdown-Liste, und wählen Sie die erforderliche Fähigkeit aus, die Sie für das ausgewählte CI ausführen möchten.
        Beispiel: Host isolieren.
      3. Suchen Sie mithilfe der Suchoption nach der erforderlichen Fähigkeitsimplementierung für das CI, und wählen Sie aus CrowdStrike-Falcon-Einblick – Host isolieren .
      4. Klicken Sie Auf Host Isolieren Zum Ausführen für das ausgewählte CI.