Utilisation de l’intégration CrowdStrike Falcon Insight dans Analyst Workspace

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Utilisez l’intégration CrowdStrike Falcon Insight pour tirer parti des CrowdStrike Falcon Insight options de l’espace de travail d’analyste SIR.

    Avant de commencer

    Rôle requis : sn_si.admin

    Avant d’utiliser CrowdStrike Falcon Insight l’intégration dans l’espace de travail de Réponse aux incidents de sécurité, vous devez la télécharger à partir de et la ServiceNow Store configurer. Pour plus d'informations, consultez Mise en route de l’intégration CrowdStrike Falcon Insight.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser l’intégration CrowdStrike Falcon Insight pour effectuer des actions de rattrapage sur les points de terminaison en temps réel, utiliser des profils pour recueillir des détails sur l’hôte et effectuer des requêtes ou des actions spécifiques sur le point de terminaison à l’aide de l’espace de Réponse aux incidents de sécurité travail.

    L’intégration CrowdStrike Falcon Insight permet aux analystes d’utiliser les options suivantes CrowdStrike Falcon Insight sur Analyst Réponse aux incidents de sécurité Workspace :
    • Obtenir les détails de l'hôte
    • Obtenir les utilisateurs connectés
    • Obtenir les statistiques réseau
    • Obtenir les processus en cours d’exécution
    • Obtenir les services d'exécution
    • Isoler l’hôte
    • Supprimer l'isolement
    • Obtenir un fichier

    Procédure

    1. Dans l’espace de travail SIR, ouvrez l’incident de sécurité requis et sélectionnez l’onglet Enregistrements connexes .
    2. Vous pouvez utiliser les options de CrowdStrike Falcon Insight sur la liste connexe Impact sur l’entreprise à des fins d’analyse.
      1. Sélectionnez un élément de configuration, puis choisissez une option dans la liste déroulante.
        Figure 1. CrowdStrike Falcon Insight pour CI
        CrowdStrike Falcon Insight pour CI
      2. Sélectionnez l’implémentation de CrowdStrike Falcon Insight , puis cliquez sur Soumettre.
        L’aptitude Obtenir les statistiques réseau est invoquée sur le CI. Vous pouvez consulter les notes de travail pour connaître les résultats et les conclusions.
    3. Vous pouvez utiliser les options de CrowdStrike Falcon Insight sur la liste connexe Détection et réponse des points de terminaison (EDR) à des fins d’analyse.
      1. Dans la liste connexe à Détection et réponse des points de terminaison (PEPT), choisissez un PEPT.
      2. Cliquez sur un processus en cours particulier pour afficher les détails du processus en cours de CrowdStrike Falcon Insight.
      3. Pour exécuter une recherche d’observation des faucons de CrowdStrike sur un processus en cours d’exécution particulier, sélectionnez le processus en cours et cliquez sur Exécuter l’observation de CrowdStrike.
        Figure 2. CrowdStrike Falcon Insight pour EDR
        CrowdStrike Falcon Insight pour la détection et la réponse des points de terminaison
      4. Sélectionnez l’implémentation de CrowdStrike Falcon Insight , puis cliquez sur Exécuter la recherche.
        Ensuite, une recherche de perception de hachage est exécutée sur le processus en cours sélectionné. Vous pouvez consulter les notes de travail pour connaître les résultats et les conclusions.
    4. Vous pouvez utiliser les options de CrowdStrike Falcon Insight sur Threat Intelligence à des fins d’analyse.
      1. Dans le groupe Threat Intel, sélectionnez un observable, puis choisissez une CrowdStrike Falcon Insight aptitude dans la liste déroulante.
      2. Sélectionnez l’implémentation de CrowdStrike Falcon Insight , puis cliquez sur Suivant.
        Figure 3. CrowdStrike Falcon Insight pour Threat Intelligence
        CrowdStrike Falcon Insight pour Threat Intelligence
      3. Dans la fenêtre contextuelle Sélectionner la date/l’heure, sélectionnez une valeur aléatoire et cliquez sur Soumettre.
        Ensuite, une recherche d’observation est exécutée sur l’observable sélectionné. Vous pouvez consulter les notes de travail pour connaître les résultats et les conclusions.