Déclencher manuellement un profil à partir d’un CrowdStrike Falcon Insight incident de sécurité

  • Rversion finale: Australia
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Déclenchez manuellement un profil après avoir examiné un incident de sécurité.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Une fois que vous avez activé le profil, en fonction des conditions de déclenchement configurées, vous pouvez afficher les résultats de la requête dans les ServiceNow AI Platform incidents de sécurité. CrowdStrike Falcon Insight vous permet également d’exécuter des options individuelles sur des éléments de configuration (CI) sans utiliser de profil.

    Procédure

    1. Accédez à la Tous > Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les CrowdStrike Falcon Insight informations.
    3. Dans la section Listes connexes, sélectionnez Exécuter le(s) profil(s) EDR.
    4. Parcourez et sélectionnez un profil dans la liste des profils disponibles.
    5. Sélectionnez Inclure le CI associé pour exécuter ce profil sur tous les CI associés du profil.
      Par exemple, si cinq CI sont associés à l’incident de sécurité, le profil sélectionné s’exécute sur les cinq CI.
    6. Sélectionnez Envoyer.
      Le profil sélectionné est déclenché manuellement. Vous pouvez consulter la section Notes de travail et activités ainsi que les balises initiées et terminées par le profil dans la section Notes de travail. Examen des notes de travail pour l’activité d’automatisation.
    7. Les résultats s’affichent sous la forme de listes connexes telles que Obtenir un fichier, Détails de l’hôte, Utilisateurs connectés, Processus en cours, Services en exécution, Statistiques réseau, etc.
    8. Pour exécuter des options individuelles sur un CI, procédez comme suit :
      1. Dans la liste connexe Éléments de configuration, sélectionnez le CI requis.
      2. Sélectionnez la liste déroulante Actions sur les lignes sélectionnées... et sélectionnez l’aptitude requise que vous souhaitez exécuter pour le CI sélectionné.
        Par exemple, Isoler l’hôte.
      3. Recherchez l’implémentation de l’aptitude requise pour le CI à l’aide de l’option de recherche, puis sélectionnez Isoler l’hôte de CrowdStrike Falcon Insight.
      4. Sélectionnez Isoler l’hôte pour l’exécuter sur le CI sélectionné.