Verwenden CrowdStrike Falcon Insight Integration in Analysten-Arbeitsbereich

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie CrowdStrike Falcon Insight Integration zur Nutzung von CrowdStrike Falcon Insight Fähigkeiten im SIR Analyst-Arbeitsbereich.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Bevor Sie verwenden CrowdStrike Falcon Insight Integration im Security Incident Response-Arbeitsbereich müssen Sie sie aus herunterladen ServiceNow Store Und konfigurieren Sie es. Weitere Informationen finden Sie unter Erste Schritte mit CrowdStrike Falcon Insight Integration.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können verwenden CrowdStrike Falcon Insight Integration, um Korrekturaktionen für die Endpunkte in Echtzeit durchzuführen, mithilfe von Profilen Details zum Host zu erfassen und mithilfe von bestimmte Abfragen oder Aktionen für den Endpunkt durchzuführen Security Incident Response Arbeitsbereich.

    Die CrowdStrike Falcon Insight Durch die Integration können Analysten Folgendes verwenden CrowdStrike Falcon Insight-Fähigkeiten in Security Incident Response Arbeitsbereich für Analysten:
    • Hostdetails abrufen
    • Angemeldete Anwender abrufen
    • Netzwerkstatistiken abrufen
    • Laufende Prozesse Abrufen
    • Laufende Services abrufen
    • Host isolieren
    • Isolation entfernen
    • Datei Abrufen

    Prozedur

    1. Öffnen Sie im SIR-Arbeitsbereich den erforderlichen Security Incident, und wählen Sie aus Zugehörige Datensätze Registerkarte.
    2. Sie können die CrowdStrike Falcon Insight-Fähigkeiten in der zugehörigen Liste „Geschäftsauswirkung“ für Analysen verwenden.
      1. Wählen Sie ein aus Konfigurationselement , Und wählen Sie eine Fähigkeit aus der Dropdown-Liste aus.
        Abbildung : 1. CrowdStrike Falcon Insight für CI
        CrowdStrike Falcon Insight für CI
      2. Wählen Sie aus CrowdStrike Falcon Insight Implementierung, und klicken Sie auf Übermitteln .
        Die Funktion „Netzwerkstatistiken abrufen“ wird für das CI aufgerufen. Sie können die Arbeitsnotizen für die Ergebnisse und Ergebnisse anzeigen.
    3. Sie können die CrowdStrike Falcon Insight-Fähigkeiten im verwenden Endpunkterkennung und -Antwort (EDR) Zugehörige Liste für Analyse.
      1. Wählen Sie in der zugehörigen Liste Endpunkterkennung und -Antwort (EDR) einen EDR aus der Liste aus.
      2. Klicken Sie auf einen bestimmten laufenden Prozess, um die Details des laufenden CrowdStrike Falcon Insight-Prozesses anzuzeigen.
      3. Um eine CrowdStrike Falcon-Sichtungssuche für einen bestimmten laufenden Prozess auszuführen, wählen Sie den laufenden Prozess aus, und klicken Sie auf CrowdStrike-Sichtung ausführen .
        Abbildung : 2. CrowdStrike Falcon Insight für EDR
        CrowdStrike Falcon Insight für Endpunkterkennung und -Antwort
      4. Wählen Sie aus CrowdStrike Falcon Insight Implementierung, und klicken Sie auf Führen Sie Die Suche Aus .
        Dann wird eine Hash-Sichtungssuche für den ausgewählten laufenden Prozess ausgeführt. Sie können die Arbeitsnotizen für die Ergebnisse und Ergebnisse anzeigen.
    4. Sie können die CrowdStrike Falcon Insight-Fähigkeiten im verwenden Bedrohungsinformationen Zur Analyse.
      1. Wählen Sie in der Gruppe Threat Intel (Bedrohungsinformationen) eine aus Erkennbares Element , Und wählen Sie eine aus CrowdStrike Falcon Insight Fähigkeit aus der Dropdown-Liste.
      2. Wählen Sie aus CrowdStrike Falcon Insight Implementierung, und klicken Sie auf Als Nächstes .
        Abbildung : 3. CrowdStrike Falcon Insight für Threat Intel
        CrowdStrike Falcon Insight für Threat Intel
      3. Wählen Sie im Popup-Fenster Datum/Uhrzeit auswählen einen zufälligen Wert aus, und klicken Sie auf Übermitteln .
        Dann wird eine Sichtungssuche für das ausgewählte erkennbare Element ausgeführt. Sie können die Arbeitsnotizen für die Ergebnisse und Ergebnisse anzeigen.