一連の特定の条件が満たされた場合にのみプロファイルが実行されるようにプロファイル設定を構成したり、セキュリティインシデントの特定のフィールド値を検索するようにプロファイルを設定したりできます。

プロファイルを作成し、プロファイルを実行する CrowdStrike Falcon Insight 機能を選択したら、デフォルトのフィールド値が ServiceNow AI Platform セキュリティインシデントに一致したときにプロファイルが自動的に実行されるように、トリガー条件を設定できます。

デフォルトでは、統合はセキュリティインシデントの [構成アイテム (CI)] フィールドを使用します。このフィールドは、資産 ID を ServiceNow AI Platform データベースに格納されている情報と照合するために使用されます。SIR セキュリティインシデントがセキュリティイベントによって作成され、プロファイルがアクティブ化されたときに、ホスト名または IP アドレスの値が一致するかどうか、資産がスキャンされます。

一致する値がデータベース内で見つかると、そのデータが CrowdStrike Falcon Insight コンソールから収集され、ServiceNow AI Platform インスタンスにプルされて、セキュリティインシデントの関連リストに表示されます。

次に、SIR セキュリティインシデントのホスト名が入力された [構成アイテム] フィールドの例を示します。

[構成アイテム (CI)] フィールドにデータベースと一致するホスト名または IP アドレスが入力されていない場合は、セキュリティインシデントのその他のフィールドを選択して、資産のスキャン中に見つかった一致する CI データを表示できます。

プロファイルセットアップを構成するときに、エンドポイント識別用の代替 CI トリガー フィールドを選択して、 CrowdStrike Falcon Insight ルックアップからの CI データが関連するセキュリティインシデントに入力されていることを確認できます。作成したカスタムフィールドを含む、セキュリティインシデントの任意のフィールドを代替 CI トリガーフィールドとして選択できます。インシデントの作成時に関連するセキュリティインシデントで CI フィールドが入力されていない場合は、この代替 CI フィールドを選択して、プロファイルがトリガーされるようにします。

次に、SIR セキュリティインシデントのホスト名が入力された代替フィールドの例を示します。代替フィールドは [説明] フィールドです。