Usando a integração CrowdStrike Falcon Insight no Espaço do analista

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Use a integração CrowdStrike Falcon Insight para aproveitar os recursos CrowdStrike Falcon Insight no espaço do analista SIR.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Antes de usar a integração CrowdStrike Falcon Insight no espaço do Security Incident Response, você deve baixá-la do ServiceNow Store e configurá-la. Para obter mais informações, consulte Introdução à integração CrowdStrike Falcon Insight.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar a integração CrowdStrike Falcon Insight para realizar ações de correção nos endpoints em tempo real, usar perfis para coletar detalhes sobre o host e fazer consultas ou ações específicas no endpoint usando o espaço Resposta a incidentes de segurança.

    A integração CrowdStrike Falcon Insight permite que os analistas usem os seguintes recursos CrowdStrike Falcon Insight no espaço do analista Resposta a incidentes de segurança :
    • Obter detalhes do host
    • Obter usuários conectados
    • Obter estatísticas de rede
    • Obter processos em execução
    • Obter serviços em execução
    • Isolar Host
    • Remover isolamento
    • Obter arquivo

    Procedimento

    1. No espaço SIR, abra o incidente de segurança necessário e selecione a guia Registros relacionados.
    2. Você pode usar as capacidades do CrowdStrike Falcon Insight na lista relacionada Impacto nos negócios para análise.
      1. Selecione um Item de configuraçãoe escolha uma capacidade na lista suspensa.
        Figura 1. CrowdStrike Falcon Insight para IC
        CrowdStrike Falcon Insight para IC
      2. Selecione a implementação do CrowdStrike Falcon Insight e clique em Enviar.
        A capacidade Obter estatísticas de rede é invocada no IC. Você pode exibir as anotações de trabalho dos resultados e descobertas.
    3. Você pode usar os recursos do CrowdStrike Falcon Insight na lista relacionada de Detecção e resposta de endpoint (EDR) para análise.
      1. Na lista relacionada Detecção e resposta de endpoint (EDR), escolha um EDR na lista.
      2. Clique em um processo em execução específico para exibir os detalhes do processo em execução do CrowdStrike Falcon Insight.
      3. Para executar uma Pesquisa de detecções do CrowdStrike Falcon em um processo em execução específico, selecione o processo em execução e clique em Executar detecção de detecções do CrowdStrike.
        Figura 2. CrowdStrike Falcon Insight para EDR
        CrowdStrike Falcon Insight for Endpoint Detection and Response
      4. Selecione a implementação do CrowdStrike Falcon Insight e clique em Executar pesquisa.
        Em seguida, uma pesquisa de detecção de hash é executada no processo em execução selecionado. Você pode exibir as anotações de trabalho dos resultados e descobertas.
    4. Você pode usar as capacidades do CrowdStrike Falcon Insight no Threat Intel para análise.
      1. No grupo Informações sobre ameaças, selecione um Observávele escolha uma capacidade CrowdStrike Falcon Insight na lista suspensa.
      2. Selecione a implementação do CrowdStrike Falcon Insight e clique em Avançar.
        Figura 3. CrowdStrike Falcon Insight para informações sobre ameaças
        CrowdStrike Falcon Insight para informações sobre ameaças
      3. No pop-up Selecionar data/hora, selecione um valor aleatório e clique em Enviar.
        Em seguida, uma pesquisa de detecções é executada no observável selecionado. Você pode exibir as anotações de trabalho dos resultados e descobertas.