Déclencher manuellement un CrowdStrike Falcon Insight profil à partir d’un incident de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Déclenchez manuellement un profil après avoir examiné un incident de sécurité.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Une fois que vous avez activé le profil, en fonction des conditions de déclenchement configurées, vous pouvez afficher les résultats de la requête dans les Now Platform incidents de sécurité. CrowdStrike Falcon Insight vous permet également d’exécuter des options individuelles sur des éléments de configuration (CI) sans utiliser de profil.

    Procédure

    1. Accédez à la Tout > Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les CrowdStrike Falcon Insight informations.
    3. Dans la section des listes connexes, sélectionnez Exécuter le(s) profil(s) EDR.
    4. Parcourez et sélectionnez un profil dans la liste des profils disponibles.
    5. Sélectionnez Inclure le CI connexe pour exécuter ce profil sur tous les CI associés du profil.
      Par exemple, si cinq CI sont associés à l’incident de sécurité, le profil sélectionné s’exécute sur les cinq CI.
    6. Cliquez sur Envoyer.
      Le profil sélectionné est déclenché manuellement. Vous pouvez consulter la section Notes de travail et activités ainsi que les balises initiées et terminées par le profil dans la section Notes de travail. Examen des notes de travail pour l’activité d’automatisation.
    7. Les résultats s’affichent sous la forme de listes connexes telles que Obtenir un fichier, Détails de l’hôte, Utilisateurs connectés, Processus en cours, Services en cours, Statistiques réseau, etc.Consultez la liste connexe pour plus de détails.
    8. Pour exécuter des options individuelles sur un CI, procédez comme suit :
      1. Dans la liste connexe Éléments de configuration, sélectionnez le CI requis.
      2. Cliquez sur la liste déroulante Actions sur les lignes sélectionnées... et sélectionnez l’option requise que vous souhaitez exécuter pour le CI sélectionné.
        Par exemple, Isoler l’hôte.
      3. Recherchez l’implémentation de l’aptitude requise pour le CI à l’aide de l’option de recherche, puis sélectionnez Isoler l’hôte de CrowdStrike Falcon Insight.
      4. Cliquez sur Isoler l’hôte pour l’exécuter sur le CI sélectionné.