アナリストワークスペースでの CrowdStrike Falcon Insight 統合の使用
CrowdStrike Falcon Insight 統合を使用して、SIR アナリストワークスペースで CrowdStrike Falcon Insight 機能を活用します。
始める前に
必要なロール:sn_si.admin
セキュリティインシデントレスポンスワークスペースで CrowdStrike Falcon Insight 統合を使用する前に、ServiceNow Store からこの統合をダウンロードして構成する必要があります。詳細については、「CrowdStrike Falcon Insight 統合を開始する」を参照してください。
このタスクについて
CrowdStrike Falcon Insight 統合を使用すると、セキュリティインシデントレスポンス ワークスペースを使用して、エンドポイントに対してリアルタイムで修復アクションを実行し、プロファイルを使用してホストに関する詳細情報を収集し、エンドポイントに対して特定のクエリまたはアクションを実行できます。
CrowdStrike Falcon Insight 統合により、アナリストは セキュリティインシデントレスポンス アナリストワークスペースで次の CrowdStrike Falcon Insight 機能を使用できます。
- ホストの詳細を取得
- ログオンユーザーを取得
- ネットワーク統計の取得
- 実行中のプロセスの取得
- 実行中のサービスを取得
- ホストの隔離
- 隔離を削除
- ファイルを取得
手順
- SIR ワークスペースで必要なセキュリティインシデントを開き、[関連レコード] タブを選択します。
-
分析のために、[ビジネスインパクト] 関連リストで CrowdStrike Falcon Insight 機能を使用できます。
-
構成アイテムを選択し、ドロップダウンリストから機能を選択します。
図 : 1. CrowdStrike Falcon Insight:CI
-
構成アイテムを選択し、ドロップダウンリストから機能を選択します。
-
分析のために、[Endpoint Detection and Response (EDR)] 関連リストで CrowdStrike Falcon 機能を使用できます。
-
特定の実行中のプロセスで CrowdStrike Falcon サイティング検索を実行するには、実行中のプロセスを選択して [CrowdStrike サイティングを実行 (Run CrowdStrike Sighting)] をクリックします。
図 : 2. CrowdStrike Falcon Insight:EDR
-
特定の実行中のプロセスで CrowdStrike Falcon サイティング検索を実行するには、実行中のプロセスを選択して [CrowdStrike サイティングを実行 (Run CrowdStrike Sighting)] をクリックします。
-
分析のために、[脅威インテリジェンス (Threat Intel)] で CrowdStrike Falcon Insight 機能を使用できます。
-
CrowdStrike Falcon Insight 実装を選択し、[次へ] をクリックします。
図 : 3. CrowdStrike Falcon Insight:脅威インテリジェンス (Threat Intel)
-
CrowdStrike Falcon Insight 実装を選択し、[次へ] をクリックします。