Você pode definir as configurações de perfil para que um perfil seja executado somente quando um conjunto de condições específicas for atendido ou você pode configurar um perfil para pesquisar valores de campo específicos em um incidente de segurança.

Depois de criar um perfil e selecionar CrowdStrike Falcon Insight recursos em que você deseja que o perfil seja executado, você pode definir condições de gatilho para que seu perfil seja executado automaticamente quando os valores de campo padrão corresponderem a. ServiceNow AI Platform incidente de segurança.

Por padrão, a integração usa Item de configuração Campo (IC) em um incidente de segurança. Este campo é usado para corresponder seus IDs de ativo com as informações armazenadas em ServiceNow AI Platform banco de dados. Quando um incidente de segurança SIR é criado por um evento de segurança e um perfil é ativado, seus ativos são verificados em busca de um valor correspondente no nome do host ou em um endereço IP.

Quando um valor correspondente é encontrado no banco de dados, esses dados são coletados do CrowdStrike Falcon Insight e é puxado para o seu ServiceNow AI Platform instância em que ele é exibido nas listas relacionadas de um incidente de segurança.

O exemplo a seguir mostra um campo Item de configuração preenchido com um nome de host em um incidente de segurança SIR.

. Item de configuração (IC) não está preenchido com um nome de host ou um endereço IP que corresponda ao banco de dados. Você pode selecionar outro campo no incidente de segurança para exibir todos os dados de IC correspondentes encontrados ao verificar seus ativos.

Ao configurar a configuração do perfil, você pode selecionar uma alternativa Gatilho de IC Campo para identificação de endpoint para garantir que os dados de IC do sejam fornecidos CrowdStrike Falcon Insight a pesquisa é preenchida no incidente de segurança associado. Você pode selecionar qualquer campo no incidente de segurança como um campo de gatilho de IC alternativo, incluindo campos personalizados que você cria. Se o campo IC não estiver preenchido no incidente de segurança associado quando o incidente for criado, selecione o campo IC alternativo para garantir que seus perfis sejam acionados.

O exemplo a seguir mostra um campo alternativo preenchido com um nome de host em um incidente de segurança SIR. O campo alternativo é Descrição campo.