분석가 작업 공간에서 통합 사용 CrowdStrike Falcon 인사이트
CrowdStrike Falcon 인사이트 통합을 사용하여 SIR 분석가 작업 공간의 기능을 활용합니다CrowdStrike Falcon 인사이트.
시작하기 전에
필요한 역할: sn_si.admin
보안 인시던트 응답 작업 공간에서 통합을 사용하려면 CrowdStrike Falcon 인사이트 먼저 에서 ServiceNow Store 다운로드하여 구성해야 합니다. 자세한 내용은 통합 시작하기 CrowdStrike Falcon 인사이트 문서를 참조하십시오.
이 태스크 정보
통합을 사용하여 CrowdStrike Falcon 인사이트 엔드포인트에서 실시간으로 정정 작업을 수행하고, 프로필을 사용하여 호스트에 대한 상세 정보를 수집하고, 작업 공간을 사용하여 엔드포인트에서 특정 쿼리 또는 작업을 수행할 수 있습니다 보안 인시던트 응답 .
통합을 통해 CrowdStrike Falcon 인사이트 분석가는 분석가 작업 공간에서 보안 인시던트 응답 다음 CrowdStrike Falcon 인사이트 기능을 사용할 수 있습니다.
- 호스트 상세 정보 가져오기
- 로그온한 사용자 가져오기
- 네트워크 통계 임포트
- 실행 중인 프로세스 임포트
- 실행 중인 서비스 가져오기
- 호스트 분리
- 격리 제거
- 파일 가져오기
프로시저
- SIR 작업 공간에서 필요한 보안 인시던트를 열고 관련 기록 탭을 선택합니다.
-
비즈니스 영향 관련 목록에서 CrowdStrike Falcon Insight 기능을 분석을 위해 사용할 수 있습니다.
-
구성 항목을 선택하고 드롭다운 목록에서 기능을 선택합니다.
그림 1. CI용 CrowdStrike Falcon Insight
-
구성 항목을 선택하고 드롭다운 목록에서 기능을 선택합니다.
-
분석을 위해 엔드포인트 탐지 및 응답(EDR) 관련 목록에서 CrowdStrike Falcon Insight 기능을 사용할 수 있습니다.
-
실행 중인 특정 프로세스에서 CrowdStrike Falcon 관찰 검색을 실행하려면 실행 중인 프로세스를 선택하고 CrowdStrike 관찰 실행을 클릭합니다.
그림 2. EDR용 CrowdStrike Falcon Insight
-
실행 중인 특정 프로세스에서 CrowdStrike Falcon 관찰 검색을 실행하려면 실행 중인 프로세스를 선택하고 CrowdStrike 관찰 실행을 클릭합니다.
-
위협 인텔리전스에서 CrowdStrike Falcon Insight 기능을 사용하여 분석할 수 있습니다.
-
CrowdStrike Falcon Insight 구현을 선택하고 다음을 클릭합니다.
그림 3. 위협 인텔리전스용 CrowdStrike Falcon Insight
-
CrowdStrike Falcon Insight 구현을 선택하고 다음을 클릭합니다.