Acionar um perfil CrowdStrike Falcon Insight manualmente a partir de um incidente de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Acione um perfil manualmente depois de revisar um incidente de segurança.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Depois de ativar o perfil, com base nas condições do gatilho configuradas, você pode exibir os resultados da consulta nos Now Platform incidentes de segurança. CrowdStrike Falcon Insight também permite que você execute capacidades individuais em itens de configuração (ICs) sem usar um perfil.

    Procedimento

    1. Navegar até Tudo > Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com as informações CrowdStrike Falcon Insight.
    3. Na seção de listas relacionadas, selecione Executar perfil(is) de EDR.
    4. Navegue e selecione um perfil na lista de perfis disponíveis.
    5. Selecione Incluir IC relacionado para executar este perfil em todos os ICs relacionados do perfil.
      Por exemplo, se houver cinco ICs associados ao incidente de segurança, o perfil selecionado será executado em todos os cinco ICs.
    6. Clique em Enviar.
      O perfil selecionado é acionado manualmente. Você pode revisar a seção de anotações de trabalho e atividades e os marcadores iniciados e concluídos pelo perfil na seção de anotações de trabalho. Revisando anotações de trabalho para atividade de automação.
    7. Os resultados aparecem na forma de listas relacionadas, como Obter arquivo, Detalhes do host, Usuários conectados, Processos em execução, Serviços em execução, Estatísticas de rede e assim por diante.Revise a lista relacionada para obter detalhes adicionais.
    8. Para executar capacidades individuais em um IC, execute as seguintes etapas:
      1. Na lista relacionada Itens de configuração, selecione o IC necessário.
      2. Clique na lista suspensa Ações em linhas selecionadas... e selecione a capacidade necessária que você deseja executar para o IC selecionado.
        Por exemplo, Isolar host.
      3. Pesquise a implementação da capacidade necessária para o IC usando a opção de pesquisa e selecione Isolar host do CrowdStrike Falcon Insight.
      4. Clique em Isolar host para executá-lo no IC selecionado.