CrowdStrike

安全

调查威胁、查询检测并更快响应——Neotask 将 OpenClaw 带入您的 CrowdStrike Falcon 数据。

• 使用自然语言而非复杂的 SIEM 语法查询 Falcon 检测和事件
• 通过对话提示调查端点活动、进程树和 IOC
• 按需触发隔离操作并生成适合高管阅读的事件摘要

你能做什么

用简单英语进行查询检测

无需从头开始编写 Falcon 查询语言，而是要求 Neotask 查找过去 24 小时内的所有高严重性检测，按策略过滤或将结果缩小到特定主机组，并立即获得结构化结果。

调查端点活动

深入研究可疑主机：询问已标记事件的完整进程树，列出在某个时间窗口内进行的网络连接，或者查看在事件期间创建或修改了哪些文件。 OpenClaw 将您的问题转换为 Falcon API 调用并返回可读的摘要。

在您的舰队中寻找 IOC

粘贴哈希、IP 或域，并要求 Neotask 检查它是否出现在您的 CrowdStrike 遥测数据中的任何位置。在几秒钟内识别零号患者、横向移动路径以及所有受影响的端点。

应对主动威胁

请求遏制操作——隔离主机、修复后解除网络遏制，或启动按需扫描——所有这些都通过自然对话进行。 Neotask 在执行之前确认每个操作，以便您保持控制。

生成事件摘要

分类后，要求获得事件的执行摘要：时间线、受影响的资产、使用的 MITRE ATT&CK 策略以及建议的补救步骤。直接将其导出为格式化报告。

尝试询问

“显示过去 6 小时内所有高严重性的 Falcon 检测结果”

“调查主机 WORKSTATION-42 上警报的进程树”

“IP 185.220.101.5 是否存在于我们的 CrowdStrike 遥测中？”

“本周哪些端点触发了尚未修复的检测？”

“将主机 LAPTOP-007 与网络隔离”

“将周二发生的事件总结为行政简报”

“列出过去一个月内标记有 MITRE T1059 的所有检测结果”

“哪些用户拥有最多与其相关的端点检测？”

专业提示

通过“告诉我有关主机 X 的信息”开始调查 — Neotask 将一次性提取最近的检测结果、传感器运行状况和活动。

使用有时间限制的提示来保持结果易于管理：“过去 24 小时”或“自周一早上以来”，而不是开放式查询。

请求 MITRE ATT&CK 策略分解，将检测与威胁情报框架联系起来，并向领导层传达影响。

始终在后续提示中确认遏制操作：“确认主机 LAPTOP-007 现已隔离”，以验证 API 调用是否成功。

将 CrowdStrike 查询与您的票证系统配对 — 要求 Neotask 直接从检测摘要创建 Jira 或 ServiceNow 票证。