Usando a integração CrowdStrike Falcon Insight no espaço do analista

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Use a integração CrowdStrike Falcon Insight para aproveitar os recursos CrowdStrike Falcon Insight no espaço do analista de SIR.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Antes de usar a integração CrowdStrike Falcon Insight no espaço do Security Incident Response, você deve baixá-la do ServiceNow Store e configurá-la. Para obter mais informações, consulte Introdução à integração CrowdStrike Falcon Insight.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar a integração CrowdStrike Falcon Insight para fazer ações de correção nos endpoints em tempo real, usar perfis para coletar detalhes sobre o host e fazer consultas ou ações específicas no endpoint usando o espaço Security Incident Response.

    A integração CrowdStrike Falcon Insight permite que os analistas usem os seguintes recursos [ CrowdStrike Falcon Insight no espaço do analista Security Incident Response :
    • Obter detalhes do host
    • Obter usuários conectados
    • Obter Estatísticas de Rede
    • Obter processos em execução
    • Obter serviços em execução
    • Isolar Host
    • Remover isolamento
    • Obter arquivo

    Procedimento

    1. No espaço de SIR, abra o incidente de segurança necessário e selecione a guia Registros relacionados.
    2. Você pode usar os recursos do CrowdStrike Falcon Insight na lista relacionada Impacto nos negócios para análise.
      1. Selecione um Item de configuraçãoe escolha um recurso na lista suspensa.
        Figura 1. CrowdStrike Falcon Insight para IC
        CrowdStrike Falcon Insight para IC
      2. Selecione a implementação do CrowdStrike Falcon Insight e clique em Enviar.
        O recurso Obter estatísticas de rede é invocado no IC. Você pode exibir as anotações de trabalho dos resultados e descobertas.
    3. Você pode usar os recursos do CrowdStrike Falcon Insight na lista relacionada de Detecção e resposta de endpoint (EDR) para análise.
      1. Na lista relacionada Detecção e resposta de endpoint (EDR), escolha um EDR na lista.
      2. Clique em um processo em execução específico para exibir os detalhes do processo em execução do CrowdStrike Falcon Insight.
      3. Para executar uma Pesquisa de detecções do CrowdStrike Falcon em um processo em execução específico, selecione o processo em execução e clique em Executar CrowdStrike Sighting.
        Figura 2. CrowdStrike Falcon Insight para EDR
        CrowdStrike Falcon Insight para detecção e resposta de endpoint
      4. Selecione a implementação do CrowdStrike Falcon Insight e clique em Executar pesquisa.
        Em seguida, uma pesquisa de vista de hash é executada no processo em execução selecionado. Você pode exibir as anotações de trabalho dos resultados e descobertas.
    4. Você pode usar os recursos do CrowdStrike Falcon Insight na Inteligência de ameaça para análise.
      1. No grupo Inteligência de ameaça, selecione um Observávele escolha uma capacidade CrowdStrike Falcon Insight na lista suspensa.
      2. Selecione a implementação do CrowdStrike Falcon Insight e clique em Avançar.
        Figura 3. CrowdStrike Falcon Insight para informações sobre ameaças
        CrowdStrike Falcon Insight para informações sobre ameaças
      3. No pop-up Selecionar data/hora, selecione um valor aleatório e clique em Enviar.
        Em seguida, uma pesquisa de vista é executada no observável selecionado. Você pode exibir as anotações de trabalho dos resultados e descobertas.