Utiliser l’intégration CrowdStrike Falcon Insight dans Analyst Workspace

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

2 minutes de lecture

Utilisez l’intégration CrowdStrike Falcon Insight pour tirer parti des CrowdStrike Falcon Insight options de l’espace de travail d’analyste SIR.

Avant de commencer

Rôle requis : sn_si.admin

Avant d’utiliser CrowdStrike Falcon Insight l’intégration dans l’espace de travail Réponse aux incidents de sécurité, vous devez la télécharger à partir de et la ServiceNow Store configurer. Pour plus d'informations, consultez Mise en route de l’intégration CrowdStrike Falcon Insight.

Pourquoi et quand exécuter cette tâche

Vous pouvez utiliser l’intégration CrowdStrike Falcon Insight pour effectuer des actions de correction sur les points de terminaison en temps réel, utiliser des profils pour recueillir des détails sur l’hôte et effectuer des requêtes ou des actions spécifiques sur le point de terminaison à l’aide de l’espace Réponse aux incidents de sécurité de travail.

L’intégration CrowdStrike Falcon Insight permet aux analystes d’utiliser les options suivantes CrowdStrike Falcon Insight sur l’espace de travail d’analyste Réponse aux incidents de sécurité :

Obtenir les détails de l'hôte
Obtenir les utilisateurs connectés
Obtenir les statistiques réseau
Obtenir les processus en cours d’exécution
Obtenir les services d'exécution
Isoler l’hôte
Supprimer l'isolement
Obtenir un fichier

Procédure

Dans l’espace de travail SIR, ouvrez l’incident de sécurité requis et sélectionnez l’onglet Enregistrements connexes .
Vous pouvez utiliser les options de CrowdStrike Falcon Insight sur la liste connexe Impact sur l’entreprise à des fins d’analyse.
1. Sélectionnez un élément de configuration, puis choisissez une option dans la liste déroulante.
  
  Figure 1. CrowdStrike Falcon Insight pour CI
2. Sélectionnez l’implémentation de CrowdStrike Falcon Insight , puis cliquez sur Envoyer.
  L’option Obtenir les statistiques réseau est invoquée sur le CI. Vous pouvez afficher les notes de travail pour les résultats et les conclusions.
Vous pouvez utiliser les options de CrowdStrike Falcon Insight de la liste connexe Endpoint Detection and Reponse (EDR) à des fins d’analyse.
1. Dans la liste connexe Endpoint Detection and Reponse (PEPT), choisissez un EDR dans la liste.
2. Cliquez sur un processus en cours particulier pour afficher les détails du processus en cours d’exécution de CrowdStrike Falcon Insight.
3. Pour exécuter une recherche d’observation CrowdStrike Falcon sur un processus en cours d’exécution particulier, sélectionnez le processus en cours et cliquez sur Exécuter l’observation CrowdStrike.
  
  Figure 2. CrowdStrike Falcon Insight pour EDR
4. Sélectionnez l’implémentation de CrowdStrike Falcon Insight , puis cliquez sur Exécuter la recherche.
  Ensuite, une recherche de perception de hachage est exécutée sur le processus en cours sélectionné. Vous pouvez afficher les notes de travail pour les résultats et les conclusions.
Vous pouvez utiliser les options de CrowdStrike Falcon Insight sur Threat Intelligence à des fins d’analyse.
1. Dans le groupe Threat Intelligence ( Connaissance des menaces), sélectionnez un observable et choisissez une CrowdStrike Falcon Insight option dans la liste déroulante.
2. Sélectionnez l’implémentation de CrowdStrike Falcon Insight , puis cliquez sur Suivant.
  
  Figure 3. CrowdStrike Falcon Insight pour Threat Intelligence
3. Dans la fenêtre contextuelle Sélectionner la date/l’heure, sélectionnez une valeur aléatoire et cliquez sur Soumettre.
  Ensuite, une recherche de perception est exécutée sur l’observable sélectionné. Vous pouvez afficher les notes de travail pour les résultats et les conclusions.