CrowdStrike Falcon

安全

通过 Neotask 查询威胁检测、管理端点安全并调查事件——OpenClaw 让 CrowdStrike Falcon 的可见性通过对话实现。

• 用自然语言查询 CrowdStrike Falcon 中的近期威胁检测、IOC 和事件摘要
• 搜索主机和端点库存，检查保护状态，识别未受保护的资产
• 通过提取检测详情、进程树和修复操作，使用 Neotask 调查安全事件

你可以做什么

查询威胁检测

让 Neotask 显示过去 24 小时内的所有高危检测、汇总活跃事件，或查找特定主机的检测。OpenClaw 查询 CrowdStrike Falcon 的 API 并返回结构化威胁情报。

搜索端点库存

让 Neotask 列出 Falcon 环境中的所有主机、识别缺少传感器的主机、检查特定端点的最后在线时间，或查找运行过时传感器版本的主机。

调查事件

当告警触发时，让 Neotask 提取特定事件的完整检测详情、进程树、网络连接和相关 IOC。

管理预防策略

让 Neotask 列出您的 Falcon 预防策略、检查主机组分配了哪个策略，或描述特定策略的当前配置。

搜索入侵指标

让 Neotask 在您的 Falcon 检测中搜索特定文件哈希、IP 地址或域名，以确定它是否出现在您的环境中。

试试这样问

"显示过去 24 小时内的所有严重检测"

"我的环境中哪些主机缺少 CrowdStrike Falcon 传感器？"

"调查检测 ID 12345——给我完整的进程树和时间线"

"在我所有的 Falcon 检测中搜索文件哈希 abc123def456"

"哪些端点在过去 7 天内未被发现？"

专业技巧

先按严重性过滤——始终先用严重性过滤器处理调查查询，在分类中低级别检测之前聚焦于严重和高危检测。

进程树上下文——进程树是 Falcon 中最有价值的调查产物；提取检测详情时始终包含它。

IOC 交叉参考——在一个检测中发现可疑哈希或 IP 时，立即在所有其他检测中搜索它；横向移动通常在多个地方显示相同的 IOC。

传感器版本合规——每月运行审计，识别所有运行落后两个版本以上传感器的主机；过时的传感器会错过较新的检测能力。

Works Well With

• figma - Connect CrowdStrike Falcon threat intelligence with Figma design workflows. Investigate detections, map security compone...
• google-forms - Connect CrowdStrike Falcon with Google Forms to automate security workflows, collect incident data, and streamline threa...
• port - Connect Confluence and Zoom with Neotask to automate meeting documentation, sync recaps to your wiki, and keep your team...