CrowdStrike

Bảo mật

Điều tra mối đe dọa, truy vấn phát hiện và phản ứng nhanh hơn — Neotask đưa OpenClaw vào dữ liệu CrowdStrike Falcon.

• Truy vấn phát hiện và sự cố Falcon bằng ngôn ngữ tự nhiên thay vì cú pháp SIEM phức tạp
• Điều tra hoạt động endpoint, cây tiến trình và IOC qua prompt hội thoại
• Kích hoạt hành động cách ly và tạo tóm tắt sự cố cấp lãnh đạo theo yêu cầu

Bạn có thể làm gì

Truy vấn phát hiện bằng tiếng Việt

Thay vì viết Falcon Query Language từ đầu, yêu cầu Neotask tìm tất cả phát hiện nghiêm trọng cao trong 24 giờ qua, lọc theo chiến thuật hoặc thu hẹp kết quả cho nhóm host cụ thể — và nhận kết quả có cấu trúc ngay.

Điều tra hoạt động endpoint

Đào sâu vào host đáng ngờ: yêu cầu cây tiến trình đầy đủ của sự kiện bị đánh dấu, liệt kê kết nối mạng trong khung thời gian hoặc xem tệp nào được tạo hoặc sửa đổi trong sự cố. OpenClaw chuyển đổi câu hỏi thành lệnh gọi API Falcon và trả tóm tắt dễ đọc.

Săn IOC trên toàn hạm đội

Dán hash, IP hoặc domain và yêu cầu Neotask kiểm tra xuất hiện ở đâu trong telemetry CrowdStrike. Xác định patient zero, đường di chuyển ngang và tất cả endpoint bị ảnh hưởng trong vài giây.

Phản ứng mối đe dọa đang hoạt động

Yêu cầu hành động cách ly — cô lập host, gỡ cách ly mạng sau khi khắc phục hoặc kích hoạt quét theo yêu cầu — tất cả qua hội thoại tự nhiên. Neotask xác nhận mỗi hành động trước khi thực hiện để bạn giữ kiểm soát.

Tạo tóm tắt sự cố

Sau phân loại, yêu cầu tóm tắt cấp lãnh đạo: dòng thời gian, tài sản bị ảnh hưởng, chiến thuật MITRE ATT&CK được sử dụng và bước khắc phục khuyến nghị. Xuất trực tiếp dạng báo cáo có định dạng.

Thử hỏi

"Cho tôi tất cả phát hiện Falcon nghiêm trọng cao trong 6 giờ qua"

"Điều tra cây tiến trình cho cảnh báo trên host WORKSTATION-42"

"IP 185.220.101.5 có trong telemetry CrowdStrike không?"

"Endpoint nào kích hoạt phát hiện tuần này chưa được khắc phục?"

"Cô lập host LAPTOP-007 khỏi mạng"

"Tóm tắt sự cố thứ Ba thành báo cáo cấp lãnh đạo"

"Liệt kê tất cả phát hiện gắn tag MITRE T1059 trong tháng qua"

"Người dùng nào có nhiều phát hiện endpoint liên quan nhất?"

Mẹo chuyên nghiệp

Bắt đầu điều tra với "cho tôi biết về host X" — Neotask sẽ lấy phát hiện gần đây, sức khỏe sensor và hoạt động trong một lần.

Sử dụng prompt có giới hạn thời gian để giữ kết quả dễ quản lý: "24 giờ qua" hoặc "từ sáng thứ Hai" thay vì truy vấn mở.

Yêu cầu phân tích chiến thuật MITRE ATT&CK để gắn phát hiện với framework threat-intel và truyền đạt tác động cho lãnh đạo.

Luôn xác nhận hành động cách ly trong prompt theo dõi: "xác nhận host LAPTOP-007 đã bị cô lập" để xác minh lệnh gọi API thành công.

Kết hợp truy vấn CrowdStrike với hệ thống ticket — yêu cầu Neotask tạo ticket Jira hoặc ServiceNow trực tiếp từ tóm tắt phát hiện.