보안 인시던트에서 수동으로 프로필 트리거 CrowdStrike Falcon 인사이트

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 보안 인시던트를 검토한 후 프로필을 수동으로 트리거합니다.

    시작하기 전에

    필요한 역할: admin

    이 태스크 정보

    구성된 트리거 조건에 따라 프로필을 활성화하면 보안 인시던트에서 Now Platform 쿼리 결과를 볼 수 있습니다. CrowdStrike Falcon 인사이트 또한 프로필을 사용하지 않고 CI(구성 항목)에서 개별 기능을 실행할 수도 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 정보를 사용하여 CrowdStrike Falcon 인사이트 검토하려는 보안 인시던트를 선택합니다.
    3. 관련 목록 섹션에서 EDR 프로필 실행을 선택합니다.
    4. 사용 가능한 프로필 목록에서 프로필을 찾아 선택합니다.
    5. 프로파일의 모든 관련 CI에서 이 프로파일을 실행하려면 관련 CI 포함 을 선택합니다.
      예를 들어 보안 인시던트와 연결된 5개의 CI가 있는 경우 선택한 프로파일은 5개의 CI 모두에서 실행됩니다.
    6. 제출을 클릭합니다.
      선택한 프로필이 수동으로 트리거됩니다. 작업 메모 섹션에서 작업 메모 및 활동 섹션과 프로파일 시작 및 프로파일 완료 태그를 검토할 수 있습니다. 자동화 활동에 대한 작업 메모 검토.
    7. 결과는 파일 가져오기, 호스트 세부 정보, 로그온한 사용자, 실행 중인 프로세스, 실행 중인 서비스, 네트워크 통계 등과 같은 관련 목록 형식으로 나타납니다.자세한 내용은 관련 목록을 검토하십시오.
    8. CI에서 개별 기능을 실행하려면 다음 단계를 수행합니다.
      1. 구성 항목 관련 목록에서 필요한 CI를 선택합니다.
      2. 선택한 행에 대해 수행할 작업...(Actions on selected rows...) 드롭다운 목록을 클릭하고 선택한 CI에 대해 실행할 필수 역량을 선택합니다.
        예: 호스트 격리.
      3. 검색 옵션을 사용하여 CI에 필요한 역량 구현을 조회하고 CrowdStrike Falcon Insight 호스트 격리를 선택합니다.
      4. 호스트 분리를 클릭하여 선택한 CI에서 실행합니다.