Déclencher un CrowdStrike Falcon Insight profil manuellement à partir d’un incident de sécurité

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Déclenchez un profil manuellement après avoir examiné un incident de sécurité.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Une fois que vous avez activé le profil, en fonction des conditions de déclenchement configurées, vous pouvez afficher les résultats de la requête dans les Now Platform incidents de sécurité. CrowdStrike Falcon Insight vous permet également d’exécuter des options individuelles sur des éléments de configuration (CI) sans utiliser de profil.

    Procédure

    1. Accédez à la Tous > Incidents de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les CrowdStrike Falcon Insight informations.
    3. Dans la section des listes connexes, sélectionnez Exécuter le(s) profil(s) PEPT.
    4. Parcourez et sélectionnez un profil dans la liste des profils disponibles.
    5. Sélectionnez Inclure le CI associé pour exécuter ce profil sur tous les CI associés du profil.
      Par exemple, si cinq CI sont associés à l’incident de sécurité, le profil sélectionné s’exécute sur les cinq CI.
    6. Cliquez sur Envoyer.
      Le profil sélectionné est déclenché manuellement. Vous pouvez examiner la section Notes de travail et activités, ainsi que les balises initiées et terminées par le profil dans la section Notes de travail. Examen des notes de travail pour l’activité d’automatisation.
    7. Les résultats apparaissent sous la forme de listes connexes telles que Obtenir un fichier, Détails de l’hôte, Utilisateurs connectés, Processus en cours, Services en cours d’exécution, Statistiques réseau, etc.Passez en revue la liste connexe pour plus de détails.
    8. Pour exécuter des options individuelles sur un CI, procédez comme suit :
      1. Dans la liste connexe Éléments de configuration, sélectionnez le CI requis.
      2. Cliquez sur la liste déroulante Actions sur les lignes sélectionnées... , puis sélectionnez l’option requise que vous souhaitez exécuter pour le CI sélectionné.
        Par exemple, Isoler l’hôte.
      3. Recherchez l’implémentation de l’aptitude requise pour le CI à l’aide de l’option de recherche, puis sélectionnez Isoler l’hôte de CrowdStrike Falcon Insight.
      4. Cliquez sur Isoler l’hôte pour l’exécuter sur le CI sélectionné.