セキュリティインシデントからの CrowdStrike Falcon Insight プロファイルの手動トリガー

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • セキュリティインシデントを確認した後は、プロファイルを手動でトリガーします。

    始める前に

    必要なロール:admin

    このタスクについて

    構成されたトリガー条件に基づいてプロファイルをアクティブ化すると、ServiceNow AI Platform セキュリティインシデントのクエリ結果を表示できます。CrowdStrike Falcon Insight により、プロファイルを使用せずに構成アイテム (CI) に対して個々の機能を実行することもできます。

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. CrowdStrike Falcon Insight 情報で確認するセキュリティインシデントを選択します。
    3. 関連リストのセクションで、[EDR プロファイルを実行] をクリックします。
    4. 利用可能なプロファイルのリストを参照してプロファイルを選択します。
    5. プロファイルのすべての関連 CI に対してこのプロファイルを実行するには、[関連 CI を含める (Include Related CI)] を選択します。
      たとえば、セキュリティインシデントに 5 つの CI が関連付けられている場合、選択したプロファイルは 5 つの CI すべてに対して実行されます。
    6. [Submit] をクリックします。
      選択したプロファイルは手動でトリガーされます。[作業メモとアクティビティ] セクションを表示し、[作業メモ] セクションのプロファイル開始済みタグとプロファイル完了済みタグを確認できます。 自動化アクティビティの作業メモを確認します。
    7. 結果は、[ファイルを取得]、[ホストの詳細]、[ログオンユーザー]、[実行中のプロセス]、[実行中のサービス]、[ネットワーク統計情報] などの関連リストの形式で表示されます。 詳細については、関連リストを確認してください。
    8. CI に対して個々の機能を実行するには、次の手順を実行します。
      1. [構成アイテム] 関連リストで、必要な CI を選択します。
      2. [選択した行のアクション...] ドロップダウンリストをクリックし、選択した CI に対して実行する必要な機能を選択します。
        たとえば [ホストを隔離] などです。
      3. 検索オプションを使用して CI に必要な機能実装を検索し、[CrowdStrike Falcon Insight ホストを隔離 (CrowdStrike Falcon Insight Isolate Host)] を選択します。
      4. [ホストを隔離] をクリックして、選択した CI に対して実行します。