Envoyez des observables à l’outil de sécurité EDR.
Avant de commencer
Rôle requis : sn_sec_tisc.analyst
Procédure
Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces.
Cliquez sur l’icône Bibliothèque de Renseignements sur les menaces .
Accéder à Observables > Tous les observables.
Ouvrez n’importe quel enregistrement d’observable.
Sélectionnez Envoyer à EDR.
L’écran modal Envoyer aux implémentations EDR s’affiche.
Sélectionnez l’implémentation requise dans la liste.
Cliquez sur Suivant.
Sélectionnez les détails de la durée d’exécution, tels que le type d’action et la description de l’implémentation.
Les options disponibles pour les détails de la durée d’exécution de l’implémentation CrowdStrike sont les suivantes :
Aucune action (enregistrez l’indicateur pour une utilisation ultérieure, mais n’effectuez aucune action) : dans la vue de formulaire Observable, la gravité de menace de l’observable est facultative pour CrowdStrike Falcon EDR.
Détecter (activer les détections pour l’indicateur au niveau de gravité de la menace de l’enregistrement) : dans la vue de formulaire Observable, la gravité de la menace est obligatoire pour CrowdStrike Falcon EDR. La gravité de la menace de l’observable ne doit pas être vide pour cet observable sélectionné.
Cliquez sur Envoyer.
L’action sélectionnée est exécutée et un message d’information s’affiche indiquant que l’exécution de l’envoi observable à EDR a commencé.
Remarque :
Une fois l’exécution lancée ou terminée, une note de travail est publiée sur le flux d’activité de la vue de formulaire.
L’action Envoyer à EDR est également disponible dans la liste des observables sous l’onglet Artefacts pour un enregistrement de ticket. Pour plus d'informations, consultez Ajouter des artefacts aux tickets ou aux tâches de ticket.