CrowdStrike Falcon

Seguridad

Consulta detecciones de amenazas, gestiona la seguridad de endpoints e investiga incidentes: visibilidad de CrowdStrike Falcon a través de conversación

Qué puedes hacer

Consultar detecciones de amenazas

Solicite a Neotask que muestre todas las detecciones de alta gravedad en las últimas 24 horas, resuma los incidentes activos o busque detecciones para un host específico. OpenClaw consulta el API de CrowdStrike Falcon y devuelve inteligencia estructurada sobre amenazas.

Buscar inventario de terminales

Pídale a Neotask que enumere todos los hosts en su entorno Falcon, identifique a qué hosts les falta el sensor, verifique la última hora vista para un punto final específico o encuentre hosts que ejecuten una versión de sensor desactualizada.

Investigar incidentes

Cuando se activa una alerta, solicite a Neotask que obtenga los detalles completos de la detección, el árbol de procesos, las conexiones de red y los IOC asociados para un incidente específico.

Gestionar políticas de prevención

Solicite a Neotask que enumere sus políticas de prevención Falcon, verifique a qué política está asignado un grupo de hosts o describa la configuración actual de una política específica.

Buscar indicadores de compromiso

Pídale a Neotask que busque un hash de archivo, una dirección IP o un dominio específico en sus detecciones Falcon para determinar si ha aparecido en su entorno.

Intenta preguntar

  • "Muéstrame todas las detecciones críticas de las últimas 24 horas"
  • "¿A qué hosts de mi entorno les falta el sensor CrowdStrike Falcon?"
  • "Investigue el ID de detección 12345: proporcione el árbol de proceso completo y el cronograma"
  • "Buscar el hash de archivo abc123def456 en todas mis detecciones de Falcon"
  • "¿Qué puntos finales no se han visto en los últimos 7 días?"

    • Consejos profesionales

  • Filtrar primero por gravedad: inicie siempre las consultas de investigación con un filtro de gravedad para centrarse en las detecciones críticas y altas antes de clasificar las medias y bajas.
  • Contexto del árbol de procesos: el árbol de procesos es el artefacto de investigación más valioso en Falcon; inclúyalo siempre al extraer los detalles de detección.
  • Referencia cruzada del COI: cuando encuentre un hash o IP sospechoso en una detección, búsquelo inmediatamente en todas las demás detecciones; El movimiento lateral a menudo muestra el mismo COI en varios lugares.
  • Cumplimiento de la versión del sensor: ejecute una auditoría mensual para identificar todos los hosts que ejecutan una versión del sensor con más de dos versiones de retraso; Los sensores obsoletos pierden capacidades de detección más nuevas.

    • Works Well With