アナリストワークスペースでの CrowdStrike Falcon Insight 統合の使用

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：3分

CrowdStrike Falcon Insight 統合を使用して、SIR アナリストワークスペースで CrowdStrike Falcon Insight 機能を活用します。

始める前に

必要なロール：sn_si.admin

セキュリティインシデントレスポンスワークスペースで CrowdStrike Falcon Insight 統合を使用する前に、ServiceNow Store からこの統合をダウンロードして構成する必要があります。詳細については、「CrowdStrike Falcon Insight 統合を開始する」を参照してください。

このタスクについて

CrowdStrike Falcon Insight 統合を使用すると、セキュリティインシデントレスポンスワークスペースを使用して、エンドポイントに対してリアルタイムで修復アクションを実行し、プロファイルを使用してホストに関する詳細情報を収集し、エンドポイントに対して特定のクエリまたはアクションを実行できます。

CrowdStrike Falcon Insight 統合により、アナリストはセキュリティインシデントレスポンスアナリストワークスペースで次の CrowdStrike Falcon Insight 機能を使用できます。

ホストの詳細を取得
ログオンユーザーを取得
ネットワーク統計の取得
実行中のプロセスの取得
実行中のサービスを取得
ホストの隔離
隔離を削除
ファイルを取得

手順

SIR ワークスペースで必要なセキュリティインシデントを開き、[関連レコード] タブを選択します。
分析のために、[ビジネスインパクト] 関連リストで CrowdStrike Falcon Insight 機能を使用できます。
1. 構成アイテムを選択し、ドロップダウンリストから機能を選択します。
  
  図 : 1. CrowdStrike Falcon Insight：CI
2. CrowdStrike Falcon Insight 実装を選択し、[送信] をクリックします。
  [ネットワーク統計情報を取得] 機能が CI に対して呼び出されます。作業メモで結果と検出結果を確認できます。
分析のために、[Endpoint Detection and Response (EDR)] 関連リストで CrowdStrike Falcon 機能を使用できます。
1. [Endpoint Detection and Response (EDR)] 関連リストから EDR を選択します。
2. 特定の実行中のプロセスをクリックすると、CrowdStrike Falcon Insight の実行中のプロセスの詳細が表示されます。
3. 特定の実行中のプロセスで CrowdStrike Falcon サイティング検索を実行するには、実行中のプロセスを選択して [CrowdStrike サイティングを実行 (Run CrowdStrike Sighting)] をクリックします。
  
  図 : 2. CrowdStrike Falcon Insight：EDR
4. CrowdStrike Falcon Insight 実装を選択し、[検索を実行] をクリックします。
  これで、選択した実行中のプロセスに対してハッシュサイティング検索が実行されます。作業メモで結果と検出結果を確認できます。
分析のために、[脅威インテリジェンス (Threat Intel)] で CrowdStrike Falcon Insight 機能を使用できます。
1. [脅威インテリジェンス (Threat Intel)] グループで観測事象を選択し、ドロップダウンリストから CrowdStrike Falcon Insight 機能を選択します。
2. CrowdStrike Falcon Insight 実装を選択し、[次へ] をクリックします。
  
  図 : 3. CrowdStrike Falcon Insight：脅威インテリジェンス (Threat Intel)
3. [日付/時刻を選択 (Select Date/Time)] ポップアップで、任意のランダム値を選択して [送信] をクリックします。
  これで、選択した観測事象に対してサイティング検索が実行されます。作業メモで結果と検出結果を確認できます。