Utilisation de l’intégration CrowdStrike Falcon Insight dans Analyst Workspace

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Utilisez l’intégration CrowdStrike Falcon Insight pour exploiter les CrowdStrike Falcon Insight options de l’espace de travail d’analyste SIR.

    Avant de commencer

    Rôle requis : sn_si.admin

    Avant d’utiliser CrowdStrike Falcon Insight l’intégration dans l’espace de travail Réponse aux incidents de sécurité, vous devez la télécharger à partir du ServiceNow Store et la configurer. Pour plus d'informations, consultez Mise en route de l’intégration CrowdStrike Falcon Insight.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser l’intégration CrowdStrike Falcon Insight pour effectuer des actions de rattrapage sur les points de terminaison en temps réel, utiliser des profils pour recueillir des détails sur l’hôte et effectuer des requêtes ou des actions spécifiques sur le point de terminaison à l’aide de l’espace de Réponse aux incidents de sécurité travail.

    L’intégration CrowdStrike Falcon Insight permet aux analystes d’utiliser les options suivantes CrowdStrike Falcon Insight dans l’espace de travail de l’analyste Réponse aux incidents de sécurité :
    • Obtenir les détails de l'hôte
    • Obtenir les utilisateurs connectés
    • Obtenir les statistiques réseau
    • Obtenir les processus en cours d'exécution
    • Obtenir les services d'exécution
    • Isoler l'hôte
    • Supprimer l'isolement
    • Obtenir un fichier

    Procédure

    1. Dans l’espace de travail SIR, ouvrez l’incident de sécurité requis et sélectionnez l’onglet Enregistrements connexes .
    2. Vous pouvez utiliser les options de CrowdStrike Falcon Insight dans la liste connexe Impact sur l’entreprise à des fins d’analyse.
      1. Sélectionnez un élément de configuration, puis choisissez une option dans la liste déroulante.
        Figure 1. CrowdStrike Falcon Insight pour CI
        CrowdStrike Falcon Insight pour CI
      2. Sélectionnez l’implémentation de CrowdStrike Falcon Insight , puis cliquez sur Soumettre.
        L’option Obtenir les statistiques réseau est appelée sur le CI. Vous pouvez consulter les notes de travail pour connaître les résultats et les conclusions.
    3. Vous pouvez utiliser les options de CrowdStrike Falcon Insight sur la liste connexe Protection des points de terminaison et réponse (EDR) à des fins d’analyse.
      1. Dans la liste connexe Protection évolutive des points de terminaison (PEPT), choisissez un EDR dans la liste.
      2. Cliquez sur un processus en cours d’exécution particulier pour afficher les détails du processus en cours d’exécution de CrowdStrike Falcon Insight.
      3. Pour exécuter une recherche d’observation de CrowdStrike Falcon sur un processus en cours d’exécution particulier, sélectionnez le processus en cours et cliquez sur Exécuter l’observation CrowdStrike.
        Figure 2. CrowdStrike Falcon Insight pour EDR
        CrowdStrike Falcon Insight pour la détection et la réponse aux points de terminaison
      4. Sélectionnez l’implémentation de CrowdStrike Falcon Insight , puis cliquez sur Exécuter la recherche.
        Ensuite, une recherche de perception de hachage est exécutée sur le processus en cours d’exécution sélectionné. Vous pouvez consulter les notes de travail pour connaître les résultats et les conclusions.
    4. Vous pouvez utiliser les options de CrowdStrike Falcon Insight sur Threat Intelligence à des fins d’analyse.
      1. Dans le groupe Renseignements sur les menaces, sélectionnez un observable, puis choisissez une CrowdStrike Falcon Insight option dans la liste déroulante.
      2. Sélectionnez l’implémentation de CrowdStrike Falcon Insight , puis cliquez sur Suivant.
        Figure 3. CrowdStrike Falcon Insight pour Renseignements sur les menaces
        CrowdStrike Falcon Insight pour Renseignements sur les menaces
      3. Dans la fenêtre contextuelle Sélectionner la date/l’heure, sélectionnez une valeur aléatoire et cliquez sur Envoyer.
        Ensuite, une recherche d’observation est exécutée sur l’observable sélectionné. Vous pouvez consulter les notes de travail pour connaître les résultats et les conclusions.