Usando CrowdStrike Falcon Insight Integração no Espaço do analista

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Use CrowdStrike Falcon Insight integração para aproveitar o. CrowdStrike Falcon Insight Recursos no Espaço do analista SIR.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Antes de usar CrowdStrike Falcon Insight Integração No espaço Resposta de incidentes de segurança, você deve baixá-lo do ServiceNow Store e configure-o. Para obter mais informações, consulte Introdução ao CrowdStrike Falcon Insight integração.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar CrowdStrike Falcon Insight integração para fazer ações de correção nos endpoints em tempo real, usar perfis para coletar detalhes sobre o host e fazer consultas ou ações específicas no endpoint usando o. Resposta a incidentes de segurança espaço.

    . CrowdStrike Falcon Insight a integração permite que os analistas usem o seguinte CrowdStrike Falcon Insight recursos no Resposta a incidentes de segurança Espaço do analista:
    • Obter detalhes do host
    • Obter usuários conectados
    • Obter estatísticas de rede
    • Obter processos em execução
    • Obter serviços em execução
    • Isolar Host
    • Remover isolamento
    • Obter arquivo

    Procedimento

    1. No espaço SIR, abra o incidente de segurança necessário e selecione Registros relacionados guia.
    2. Você pode usar os recursos do CrowdStrike Falcon Insight na lista relacionada Impacto nos negócios para análise.
      1. Selecione um Item de configuração e escolha um recurso na lista suspensa.
        Figura 1. CrowdStrike Falcon Insight para IC
        CrowdStrike Falcon Insight para IC
      2. Selecione CrowdStrike Falcon Insight implementação e clique em Enviar .
        O recurso Obter estatísticas de rede é invocado no IC. Você pode exibir as anotações de trabalho dos resultados e descobertas.
    3. Você pode usar os recursos do CrowdStrike Falcon Insight no Detecção e resposta de endpoint (EDR) lista relacionada para análise.
      1. Na lista relacionada Detecção e resposta de endpoint (EDR), escolha um EDR na lista.
      2. Clique em um Processo em execução específico para exibir os detalhes do processo em execução do CrowdStrike Falcon Insight.
      3. Para executar uma Pesquisa de avistamento do CrowdStrike Falcon em um processo em execução específico, selecione o processo em execução e clique em Execute o CrowdStrike Sighting .
        Figura 2. CrowdStrike Falcon Insight para EDR
        CrowdStrike Falcon Insight para detecção e resposta de endpoint
      4. Selecione CrowdStrike Falcon Insight implementação e clique em Executar pesquisa .
        Em seguida, uma pesquisa de detecção de hash é executada no processo em execução selecionado. Você pode exibir as anotações de trabalho dos resultados e descobertas.
    4. Você pode usar os recursos do CrowdStrike Falcon Insight no Informações sobre ameaças para análise.
      1. No grupo Intel de ameaças, selecione um Observável e escolha um CrowdStrike Falcon Insight capacidade na lista suspensa.
      2. Selecione CrowdStrike Falcon Insight implementação e clique em Próximo .
        Figura 3. CrowdStrike Falcon Insight for Threat Intel
        CrowdStrike Falcon Insight for Threat Intel
      3. No pop-up Selecionar data/hora, selecione um valor aleatório e clique em Enviar .
        Em seguida, uma pesquisa de detecções é executada no observável selecionado. Você pode exibir as anotações de trabalho dos resultados e descobertas.