Créer et configurer un profil pour la recherche de perception

  • Rversion finale: Australia
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Utilisez les recherches de perceptions pour CrowdStrike Falcon Insight localiser les ordinateurs infectés sur le réseau de votre organisation et traiter les tickets de réponse aux incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Sélectionnez un ou plusieurs observables et effectuez une recherche CrowdStrike Falcon Insight manuelle de perception pour déterminer la prévalence d’une menace au fil du temps.

    Procédure

    1. Accédez à la Tous > Intégration de CrowdStrike Falcon Insight > Profils de recherche de perception.
    2. Sélectionnez Nouveau.
    3. Configurez ce profil pour déterminer les serveurs à rechercher pour une option de recherche spécifique de CrowdStrike Falcon Insight.
    4. Renseignez les champs suivants du formulaire :
      Champ Description
      Nom Nom du profil de recherche de perceptions.
      Est une recherche enregistrée La configuration de recherche enregistrée est créée si vous sélectionnez cette option.
      Source de recherche de perceptions La source de la recherche d’observations. Sélectionnez la recherche d’observation de CrowdStrike Falcon Insight comme source.
      Actives Option permettant d’indiquer si le supplémentaire est actif ou non.
      Type d'observable L’intégration de CrowdStrike Falcon Insight prend en charge les types d’observables suivants :
      • Hachage
      • IP
      • URL
      La recherche de perception est prise en charge pour les types d’observables suivants :
      • Nom du domaine
      • Adresse IP (V4)
      • Adresse IP (V6)
      • Hachage MD5
      • Hachage SHA1
      • Hachage SHA256
      Nombre maximum d'observables par recherche Nombre maximal d’observables que vous pouvez afficher à partir d’une requête de recherche.
      Rechercher La chaîne de recherche par défaut est $(observable), mais vous pouvez définir votre propre requête de recherche en spécifiant les paramètres pris en charge par l’intégration CrowdStrike Falcon Insight .
      Paramètres de la recherche de perceptions Paramètres pour définir des requêtes plus complexes qui incluent la logique et d’autres opérateurs pris en charge par le magasin de journaux spécifié

      Vous pouvez utiliser les liens connexes en bas de la page pour générer une requête de test après avoir défini des paramètres de recherche de perceptions.

      Configuration de la recherche de perceptions.

    5. Sélectionnez Envoyer.
      La configuration est terminée et vous pouvez invoquer la recherche de perception à partir de l’incident ServiceNow AI Platform de sécurité.
    6. Pour vérifier la configuration et exécuter une recherche de perception, procédez comme suit :
      1. Ouvrez un incident de sécurité, faites défiler l’incident jusqu’en bas et cliquez sur Afficher toutes les listes connexes.
      2. Si vous sélectionnez un ou plusieurs éléments de configuration (CI) dans les listes connexes Processus en cours d’exécution .
        Remarque :
        Si vous exécutez une recherche de perception pour un CI à partir de la liste connexe Processus en cours d’exécution, il s’agira uniquement d’une recherche de perception de hachage de processus.
      3. Sélectionnez la liste déroulante Actions sur les lignes sélectionnées... , puis sélectionnez Exécuter la recherche d’observations CrowdStrike.
      4. Recherchez le profil de recherche de perceptions requis à l’aide de l’option de recherche.
      5. Sélectionnez le profil de recherche de perceptions requis, puis sélectionnez Soumettre.
      6. Si vous sélectionnez un ou plusieurs observables dans les listes connexes Observables associés .
      7. Sélectionnez la liste déroulante Actions sur les lignes sélectionnées... , puis sélectionnez Exécuter la recherche d’observations.
      8. Dans la fenêtre contextuelle du délai, sélectionnez une valeur aléatoire et sélectionnez Rechercher.
      9. Une fois la recherche terminée, validez les résultats et les détails dans les notes de travail et les listes connexes.
      10. Sélectionnez l’onglet Perceptions pour afficher les détails de la perception.
      11. Sélectionnez l’icône Aperçu en regard du CI pour afficher plus d’informations sur les détails d’observation de CrowdStrike.
      12. Sélectionnez les détails de la recherche de perception pour afficher les détails de la recherche de perception, puis sélectionnez l’onglet Résultats de recherche de perception pour les résultats de recherche.