Crie e configure um perfil para a pesquisa de vistas
Use pesquisas de vistas para CrowdStrike Falcon Insight localizar máquinas infectadas na rede da sua organização e lidar com casos de resposta a incidentes de segurança.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Selecione observáveis individuais ou múltiplos e execute uma pesquisa de vista manual em CrowdStrike Falcon Insight determinar a prevalência de uma ameaça ao longo do tempo.
Procedimento
- Navegar até Tudo > Integração com CrowdStrike Falcon Insight > Perfis de pesquisa de detecções.
- Clique em Nova.
- Configure este perfil para determinar quais servidores pesquisar um recurso de pesquisa específico do CrowdStrike Falcon Insight.
-
No formulário, preencha os campos:
Campo Descrição Nome Nome do perfil de Pesquisa de vistas. Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção. Origem da pesquisa de detecções A origem da pesquisa de vistas. Selecione Pesquisa de avistamento do CrowdStrike Falcon Insight como a origem. Ativo Opção para indicar se o adicional está ativo ou não. Tipo de observável A integração do CrowdStrike Falcon Insight oferece suporte aos seguintes tipos de observáveis: - Hash
- IP
- URL
A pesquisa de vistas é compatível com os seguintes tipos de observáveis:- Nome do domínio
- Endereço IP (V4)
- Endereço IP (v6)
- Hash MD5
- Hash SHA1
- Hash SHA256
Máximo de observáveis por pesquisa Número máximo de observáveis que você pode exibir em uma consulta de pesquisa. Pesquisar A cadeia de caracteres de pesquisa padrão é (observável), mas você pode definir sua própria consulta de pesquisa especificando parâmetros compatíveis com CrowdStrike Falcon Insight integração.Parâmetros da Pesquisa de detecções Parâmetros para definir consultas mais complexas que incluem lógica e outros operadores compatíveis com o armazenamento de logs especificado Você pode usar os links relacionados na parte inferior da página para gerar uma consulta de teste depois de definir os parâmetros de pesquisa de vistas.
-
Clique em Enviar.
A configuração está concluída e você pode invocar a pesquisa de vistas do ServiceNow AI Platform incidente de segurança.
-
Para verificar a configuração e executar uma pesquisa de vistas, execute as seguintes etapas:
- Abra um incidente de segurança, role até a parte inferior do incidente de segurança e clique em Mostrar todas as listas relacionadas .
-
Se você selecionar um ou mais Itens de configuração (IC) em Processos em execução listas relacionadas.
Nota:Se você executar uma pesquisa de detecção de um IC na lista relacionada Processos em execução, ela será apenas uma pesquisa de detecção de hash de processo.
- Clique em Ações nas linhas selecionadas... e selecione Execute a Pesquisa de avistamentos do CrowdStrike .
- PESQUISE o perfil de pesquisa de vistas necessário usando a opção de pesquisa.
- Selecione o Perfil de pesquisa de vistas necessário e clique em Enviar .
- Se você selecionar um ou mais observáveis no Observáveis associados listas relacionadas.
- Clique em Ações nas linhas selecionadas... e selecione Executar Pesquisa de vistas .
- No pop-up Intervalo de tempo, selecione qualquer valor aleatório e clique em Pesquisa .
-
Ao concluir a pesquisa, valide os resultados e os detalhes nas anotações de trabalho e nas listas relacionadas.
- Selecione Vistas para exibir os detalhes da vista.
- Clique em Visualização Ícone ao lado do IC para exibir mais informações sobre os detalhes de avistamento do CrowdStrike.
- Clique em Detalhes da pesquisa de vistas para exibir os detalhes da pesquisa de vistas e clique em Resultados da pesquisa de vistas guia para resultados da pesquisa.