Sie können die Profileinstellungen so konfigurieren, dass ein Profil nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt ist, oder Sie können ein Profil einrichten, um nach bestimmten Feldwerten für einen Security Incident zu suchen.

Nachdem Sie ein Profil erstellt und ausgewählt haben CrowdStrike Falcon Insight Fähigkeiten, auf denen das Profil ausgeführt werden soll. Sie können Auslöserbedingungen festlegen, damit Ihr Profil automatisch ausgeführt wird, wenn die Standardfeldwerte mit übereinstimmen ServiceNow AI Platform Security Incident.

Standardmäßig verwendet die -Integration Konfigurationselement (CI) Feld in einem Security Incident. Dieses Feld wird verwendet, um Ihre Asset-IDs mit den Informationen abzugleichen, die in gespeichert sind ServiceNow AI Platform Datenbank. Wenn ein SIR Security Incident durch ein Sicherheitsereignis erstellt und ein Profil aktiviert wird, werden Ihre Assets nach einem übereinstimmenden Wert im Hostnamen oder einer IP-Adresse gescannt.

Wenn ein übereinstimmender Wert in der Datenbank gefunden wird, werden diese Daten aus dem gesammelt CrowdStrike Falcon Insight-Konsole und wird in abgerufen ServiceNow AI Platform Instanz, in der sie in den zugehörigen Listen eines Security Incidents angezeigt wird.

Das folgende Beispiel zeigt ein Konfigurationselement-Feld, das mit einem Hostnamen für einen SIR Security Incident gefüllt ist.

Wenn Konfigurationselement Das Feld (CI) ist nicht mit einem Hostnamen oder einer IP-Adresse gefüllt, die der Datenbank entspricht. Sie können ein anderes Feld im Security Incident auswählen, um alle übereinstimmenden CI-Daten anzuzeigen, die Sie beim Scannen Ihrer Assets finden.

Wenn Sie das Profil-Setup konfigurieren, können Sie eine Alternative auswählen CI-Auslöser Feld für die Endpunktidentifizierung, um sicherzustellen, dass die CI-Daten aus dem CrowdStrike Falcon Insight Die Suche wird für den zugehörigen Security Incident ausgefüllt. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Wenn das Feld CI beim Erstellen des Incident nicht für den zugehörigen Security Incident ausgefüllt ist, wählen Sie das Feld alternatives CI aus, um sicherzustellen, dass Ihre Profile ausgelöst werden.

Das folgende Beispiel zeigt ein alternatives Feld, das mit einem Hostnamen für einen SIR Security Incident gefüllt ist. Das alternative Feld ist Beschreibung Feld.