Envie observáveis para a ferramenta de segurança de EDR.
Antes de Iniciar
Função necessária: sn_sec_tisc.analyst
Procedimento
Navegar até Espaços > Central de segurança de inteligência contra ameaças.
Clique no ícone Biblioteca de informações sobre ameaças.
Ir para Observáveis > Todos os observáveis.
Abra qualquer registro observável.
Selecione Enviar para EDR.
A tela do modal Enviar para implementações de EDR é exibida.
Selecione a implementação necessária na lista.
Clique em Avançar.
Selecione os detalhes do tempo de execução, como o Tipo de ação e a Descrição da implementação.
As opções disponíveis para CrowdStrike durante os detalhes do tempo de execução da implementação são:
Nenhuma ação (salve o indicador para uso futuro, mas não execute nenhuma ação): na exibição de formulário do Observável, a severidade da ameaça do observável é opcional para CrowdStrike Falcon EDR.
Detectar (habilitar detecções para o indicador na gravidade da ameaça do registro): na exibição do formulário Observável, a gravidade da ameaça é obrigatória para CrowdStrike Falcon EDR. A severidade da ameaça do observável não deve estar em branco para esse observável selecionado.
Clique em Enviar.
A ação selecionada é executada e uma mensagem informativa é exibida informando que a execução do Envio do observável para EDR foi iniciada.
Nota:
Depois que a execução é iniciada ou concluída, uma anotação de trabalho é publicada no fluxo de atividades da exibição do formulário.
A açãoEnviar para EDR também está disponível na lista de observáveis na guia Artefatos de um registro de caso. Para obter mais informações, consulte Adicionar artefatos a casos ou tarefas de caso.