Você pode definir as configurações de perfil para que um perfil seja executado somente quando um conjunto de condições específicas for atendido ou pode configurar um perfil para pesquisar valores de campos específicos em um incidente de segurança.

Depois de criar um perfil e selecionar os recursos CrowdStrike Falcon Insight nos quais deseja que o perfil seja executado, você pode definir condições de gatilho para que seu perfil seja executado automaticamente quando os valores de campo padrão corresponderem ao incidente de segurança Now Platform.

Por padrão, a integração usa o campo Item de configuração (IC) em um incidente de segurança. Este campo é usado para corresponder seus IDs de ativo com as informações armazenadas no banco de dados Now Platform. Quando um incidente de segurança SIR é criado por um evento de segurança e um perfil é ativado, seus ativos são verificados quanto a um valor correspondente no nome do host ou em um endereço IP.

Quando um valor correspondente é encontrado no banco de dados, esses dados são coletados do console CrowdStrike Falcon Insight e extraídos para a instância Now Platform, onde são exibidos nas listas relacionadas de um incidente de segurança.

O exemplo a seguir mostra um campo Item de configuração que é preenchido com um nome de host em um incidente de segurança SIR.

Quando o campo Item de configuração (IC) não estiver preenchido com um nome de host ou um endereço IP que corresponda ao banco de dados, você poderá selecionar outro campo no incidente de segurança para exibir todos os dados de IC correspondentes encontrados durante a verificação de seus ativos.

Ao definir a configuração do perfil, você pode selecionar um campo de gatilho de IC alternativo para identificação de endpoint para garantir que os dados de IC da pesquisa CrowdStrike Falcon Insight sejam preenchidos no incidente de segurança associado. Você pode selecionar qualquer campo no incidente de segurança como um campo de gatilho de IC alternativo, incluindo campos personalizados que você cria. Se o campo de IC não estiver preenchido no incidente de segurança associado quando o incidente for criado, selecione o campo de IC alternativo para garantir que seus perfis sejam acionados.

O exemplo a seguir mostra um campo alternativo que é preenchido com um nome de host em um incidente de segurança SIR. O campo alternativo é o campo Descrição.