Überprüfen Sie die CrowdStrike Falcon Insight Profilauslöserbedingungen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Testen Sie das Profil, und vergewissern Sie sich, dass die von Ihnen konfigurierten Auslöserbedingungsfilter wie erwartet funktionieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Aktivieren Sie das Profil, das auf den von Ihnen angegebenen konfigurierten Auslösebedingungen basiert, damit Sie die Abfrageergebnisse in den Now Platform Security Incidents anzeigen können.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie Neu aus, um einen Security Incident zu erstellen.
    3. Um einen Security Incident zu erstellen, geben Sie die erforderlichen Informationen ein und klicken auf Speichern.
    4. Überprüfen Sie den Abschnitt „Arbeitsnotizen und Aktivitäten“, um die Tags „profileinitied“ und „profile-completed“ (Profil abgeschlossen) anzuzeigen.Arbeitsnotizen für Automatisierungsaktivität werden überprüft.
    5. Überprüfen Sie die Details in den zugehörigen Listen CrowdStrike Falcon Insight Details, z. B. Datei abrufen, Hostdetails, Angemeldete Benutzer, Laufende Prozesse, Laufende Services, Netzwerkstatistiken usw.
      Überprüfen Sie die zugehörigen Listen auf Details.