Verwenden der -Integration CrowdStrike Falcon Insight von in Analyst Workspace

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie die CrowdStrike Falcon Insight -Integration, um die CrowdStrike Falcon Insight -Fähigkeiten im SIR-Analystenarbeitsbereich zu nutzen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Bevor Sie CrowdStrike Falcon Insight die -Integration im Security Incident Response-Arbeitsbereich verwenden, müssen Sie sie aus dem ServiceNow Store herunterladen und konfigurieren. Weitere Informationen finden Sie unter Erste Schritte mit der CrowdStrike Falcon Insight -Integration.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Integration CrowdStrike Falcon Insight verwenden, um Korrekturaktionen für die Endpunkte in Echtzeit durchzuführen, Profile zum Sammeln von Details zum Host zu verwenden und über den Arbeitsbereich Security Incident Response spezifische Abfragen oder Aktionen für den Endpunkt durchzuführen.

    Die CrowdStrike Falcon Insight -Integration ermöglicht Analysten die Verwendung der folgenden CrowdStrike Falcon Insight -Funktionen im Security Incident Response -Arbeitsbereich für Analysten:
    • Hostdetails abrufen
    • Angemeldete Anwender abrufen
    • Netzwerkstatistiken abrufen
    • Laufende Prozesse abrufen
    • Laufende Services abrufen
    • Host isolieren
    • Isolation entfernen
    • Datei abrufen

    Prozedur

    1. Öffnen Sie im SIR-Arbeitsbereich den gewünschten Security Incident, und wählen Sie die Registerkarte Zugehörige Datensätze.
    2. Sie können die CrowdStrike Falcon Insight-Fähigkeiten in der zugehörigen Liste „Geschäftsauswirkung“ zur Analyse verwenden.
      1. Wählen Sie ein Configuration Itemund anschließend eine Fähigkeit aus der Dropdown-Liste aus.
        Abbildung : 1. CrowdStrike Falcon Insight für CI
        CrowdStrike Falcon Insight für CI
      2. Wählen Sie die Implementierung CrowdStrike Falcon Insight aus, und klicken Sie auf Absenden.
        Die Fähigkeit „Netzwerkstatistiken abrufen“ wird für das CI aufgerufen. Sie können die Arbeitsnotizen für die -Ergebnisse und -Ergebnisse anzeigen.
    3. Sie können die CrowdStrike Falcon Insight-Fähigkeiten in der zugehörigen Liste „Endpoint Detection and Response (EDR)“ für Analysen verwenden.
      1. Wählen Sie in der zugehörigen Liste Endpoint Detection and Response (EDR) einen EDR aus der Liste aus.
      2. Klicken Sie auf einen bestimmten laufenden Prozess, um die Details des laufenden CrowdStrike Falcon Insight-Prozesses anzuzeigen.
      3. Um eine CrowdStrike Falcon Sighting-Suche für einen bestimmten laufenden Prozess auszuführen, wählen Sie den laufenden Prozess aus, und klicken Sie auf CrowdStrike Sighting ausführen.
        Abbildung : 2. CrowdStrike Falcon Insight für EDR
        CrowdStrike Falcon Insight für Endpunkterkennung und -antwort
      4. Wählen Sie die Implementierung CrowdStrike Falcon Insight aus, und klicken Sie auf Run Search (Suche ausführen).
        Dann wird eine Hash-Sichtungssuche für den ausgewählten laufenden Prozess ausgeführt. Sie können die Arbeitsnotizen für die -Ergebnisse und -Ergebnisse anzeigen.
    4. Sie können die CrowdStrike Falcon Insight-Fähigkeiten für die Bedrohungsinformationen zur Analyse verwenden.
      1. Wählen Sie in der Gruppe „Bedrohungsinformationen“ ein erkennbares Elementaus, und wählen Sie in der Dropdown-Liste eine Fähigkeit CrowdStrike Falcon Insight aus.
      2. Wählen Sie die Implementierung CrowdStrike Falcon Insight aus, und klicken Sie auf Weiter.
        Abbildung : 3. CrowdStrike Falcon Insight für Bedrohungsinformationen
        CrowdStrike Falcon Insight für Bedrohungsinformationen
      3. Wählen Sie im Popup-Fenster „Datum/Uhrzeit auswählen“ einen zufälligen Wert aus, und klicken Sie auf Absenden.
        Dann wird eine Sichtungssuche für das ausgewählte erkennbare Element ausgeführt. Sie können die Arbeitsnotizen für die -Ergebnisse und -Ergebnisse anzeigen.