분석가 작업 공간에서 통합 사용 CrowdStrike Falcon 인사이트

릴리스 버전: Washingtondc

업데이트 날짜 2024년 02월 01일

읽기2분

CrowdStrike Falcon 인사이트 통합을 사용하여 SIR 분석가 작업 공간의 기능을 활용 CrowdStrike Falcon 인사이트 합니다.

시작하기 전에

필요한 역할: sn_si.admin

보안 인시던트 응답 Workspace 에서 통합을 사용하기 CrowdStrike Falcon 인사이트 전에 다음 ServiceNow Store 에서 다운로드하여 구성해야 합니다. 자세한 내용은 통합 시작하기 CrowdStrike Falcon 인사이트 문서를 참조하십시오.

이 태스크 정보

통합을 사용하여 CrowdStrike Falcon 인사이트 엔드포인트에 대한 문제 해결 작업을 실시간으로 수행하고, 프로필을 사용하여 호스트에 대한 세부 정보를 수집하고, 작업 공간을 사용하여 엔드포인트에 대한 특정 쿼리 또는 작업을 수행할 수 있습니다 보안 인시던트 응답 .

통합을 통해 CrowdStrike Falcon 인사이트 분석가는 분석가 작업 공간에서 다음 CrowdStrike Falcon 인사이트 기능을 사용할 수 있습니다.보안 인시던트 응답

호스트 상세 정보 가져오기
로그인한 사용자 가져오기
네트워크 통계 임포트
실행 중인 프로세스 임포트
실행 중인 서비스 가져오기
호스트 분리
격리 제거
파일 가져오기

프로시저

SIR 작업 공간에서 필요한 보안 인시던트를 열고 관련 기록 탭을 선택합니다.
분석을 위해 비즈니스 영향 관련 목록에서 CrowdStrike Falcon Insight 기능을 사용할 수 있습니다.
1. 구성 항목을 선택하고 드롭다운 목록에서 기능을 선택합니다.
  
  그림 1. CI용 CrowdStrike Falcon Insight
2. CrowdStrike Falcon Insight 구현을 선택하고 제출을 클릭합니다.
  네트워크 통계 임포트 기능은 CI에서 호출됩니다. 결과 및 발견 사항에 대한 작업 주석을 볼 수 있습니다.
분석을 위해 엔드포인트 탐지 및 응답(EDR) 관련 목록에서 CrowdStrike Falcon Insight 기능을 사용할 수 있습니다.
1. EDR(엔드포인트 탐지 및 응답) 관련 목록의 목록에서 EDR을 선택합니다.
2. 특정 실행 중인 프로세스를 클릭하여 CrowdStrike Falcon Insight 실행 중인 프로세스 상세 정보를 봅니다.
3. 실행 중인 특정 프로세스에서 CrowdStrike Falcon Sighting 검색을 실행하려면 실행 중인 프로세스를 선택하고 CrowdStrike Sighting 실행을 클릭합니다.
  
  그림 2. EDR용 CrowdStrike Falcon Insight
4. CrowdStrike Falcon Insight 구현을 선택하고 검색 실행을 클릭합니다.
  그런 다음 선택한 실행 프로세스에서 해시 사이팅 검색이 실행됩니다. 결과 및 발견 사항에 대한 작업 주석을 볼 수 있습니다.
분석을 위해 위협 인텔리전스에서 CrowdStrike Falcon Insight 기능을 사용할 수 있습니다.
1. 위협 인텔리전스 그룹에서 옵저버블을 선택하고 드롭다운 목록에서 역량을 CrowdStrike Falcon 인사이트 선택합니다.
2. CrowdStrike Falcon Insight 구현을 선택하고 다음을 클릭합니다.
  
  그림 3. 위협 인텔리전스용 CrowdStrike Falcon Insight
3. Select Date/Time(날짜/시간 선택) 팝업에서 임의의 값을 선택하고 Submit(제출)을 클릭합니다.
  그런 다음 선택한 옵저버블에 대해 사이팅 검색이 실행됩니다. 결과 및 발견 사항에 대한 작업 주석을 볼 수 있습니다.