CrowdStrike

ความปลอดภัย

จัดการหัวข้อ ปรับใช้ และตรวจสอบเหตุการณ์ CrowdStrike ผ่าน

คุณสามารถทำอะไรได้บ้าง

การตรวจจับคำค้นหาในภาษาอังกฤษธรรมดา

แทนที่จะเขียน Falcon Query Language ตั้งแต่ต้น ขอให้ Neotask ค้นหาการตรวจจับที่มีความรุนแรงสูงทั้งหมดในช่วง 24 ชั่วโมงที่ผ่านมา กรองตามกลยุทธ์ หรือจำกัดผลลัพธ์ให้แคบลงเฉพาะกลุ่มโฮสต์เฉพาะ และรับผลลัพธ์ที่มีโครงสร้างทันที

ตรวจสอบกิจกรรมจุดสิ้นสุด

เจาะลึกโฮสต์ที่น่าสงสัย: ขอแผนผังกระบวนการทั้งหมดของเหตุการณ์ที่ถูกตั้งค่าสถานะ แสดงรายการการเชื่อมต่อเครือข่ายที่เกิดขึ้นในกรอบเวลา หรือดูว่าไฟล์ใดที่สร้างหรือแก้ไขในระหว่างเหตุการณ์ OpenClaw แปลคำถามของคุณเป็นการเรียก Falcon API และส่งคืนข้อมูลสรุปที่อ่านได้

ตามล่าหา IOCs ทั่วทั้งกองเรือของคุณ

วางแฮช, IP หรือโดเมนแล้วขอให้ Neotask ตรวจสอบว่าปรากฏที่ใดในการวัดและส่งข้อมูลทางไกลของ CrowdStrike หรือไม่ ระบุศูนย์ของผู้ป่วย เส้นทางการเคลื่อนไหวด้านข้าง และจุดสิ้นสุดที่ได้รับผลกระทบทั้งหมดในไม่กี่วินาที

ตอบสนองต่อภัยคุกคามที่ใช้งานอยู่

ร้องขอการดำเนินการกักกัน — แยกโฮสต์ ยกเลิกการกักกันเครือข่ายเมื่อแก้ไขแล้ว หรือเริ่มการสแกนตามความต้องการ — ทั้งหมดนี้ผ่านการสนทนาที่เป็นธรรมชาติ Neotask ยืนยันแต่ละการกระทำก่อนดำเนินการเพื่อให้คุณสามารถควบคุมได้

สร้างสรุปเหตุการณ์

หลังจากการคัดกรอง ให้ขอบทสรุปผู้บริหารของเหตุการณ์: ไทม์ไลน์ สินทรัพย์ที่ได้รับผลกระทบ กลยุทธ์ของ MITER ATT&CK ที่ใช้ และขั้นตอนการแก้ไขที่แนะนำ ส่งออกโดยตรงเป็นรายงานที่จัดรูปแบบ

ลองถามดู

  • "แสดงการตรวจจับเหยี่ยวที่มีความรุนแรงสูงทั้งหมดในช่วง 6 ชั่วโมงที่ผ่านมา"
  • "ตรวจสอบแผนผังกระบวนการสำหรับการแจ้งเตือนบนโฮสต์ WORKSTATION-42"
  • "IP 185.220.101.5 อยู่ในการตรวจวัดทางไกลของ CrowdStrike ของเราหรือไม่"
  • "ปลายทางใดที่ทำให้เกิดการตรวจจับในสัปดาห์นี้แต่ยังไม่ได้รับการแก้ไข"
  • "แยกโฮสต์ LAPTOP-007 ออกจากเครือข่าย"
  • “สรุปเหตุการณ์วันอังคารเป็น Executive Briefing”
  • "แสดงรายการการตรวจจับทั้งหมดที่แท็กด้วย MITER T1059 ในเดือนที่ผ่านมา"
  • “ผู้ใช้รายใดที่มีการตรวจหาปลายทางที่เกี่ยวข้องมากที่สุด”

    • เคล็ดลับมือโปร

  • เริ่มการตรวจสอบด้วย "บอกฉันเกี่ยวกับโฮสต์ X" — Neotask จะดึงการตรวจจับล่าสุด ความสมบูรณ์ของเซ็นเซอร์ และกิจกรรมในช็อตเดียว
  • ใช้ข้อความแจ้งที่มีขอบเขตเวลาเพื่อให้สามารถจัดการผลลัพธ์ได้: "24 ชั่วโมงที่ผ่านมา" หรือ "ตั้งแต่เช้าวันจันทร์" แทนที่จะใช้ข้อความค้นหาปลายเปิด
  • ขอรายละเอียดยุทธวิธีของ MITER ATT&CK เพื่อเชื่อมโยงการตรวจจับกับกรอบงานภัยคุกคาม Intel และสื่อสารผลกระทบต่อความเป็นผู้นำ
  • ยืนยันการดำเนินการกักกันเสมอในพร้อมท์ติดตามผล: "ยืนยันว่าโฮสต์ LAPTOP-007 ถูกแยกออกแล้ว" เพื่อยืนยันว่าการโทร API สำเร็จ
  • จับคู่คำค้นหา CrowdStrike กับระบบตั๋วของคุณ — ขอให้ Neotask สร้างตั๋ว Jira หรือ ServiceNow โดยตรงจากสรุปการตรวจจับ