CrowdStrike-Geräte aus einer Erkennung eindämmen
Sie können die Eindämmung von CrowdStrike-Geräten einleiten, die an einer Sicherheitserkennung Erkennung sind. Containment verhindert, dass Geräte Verbindungen zu anderen Geräten in Ihrem Netzwerk herstellen.
Nachdem Sie die Eindämmung anhand einer Erkennung eingeleitet haben, wird eine Anfrage an CrowdStrike Falcon gestellt, um die Geräte einzudämmen, und neben dem Teilnehmer wird der Status Eindämmung ausstehend angezeigt. Der Status wird erst dann auf Enthalten aktualisiert, wenn das ExtraHop-System eine Antwort von CrowdStrike erhalten hat.
Before you begin
- Device Containment muss aktiviert sein für CrowdStrike-Integration .
- Benutzern muss Zugriff auf das NDR-Modul gewährt werden und sie müssen über eingeschränkte Schreibmöglichkeiten verfügen Privilegien oder höher, um die Aufgaben in diesem Handbuch zu erledigen.
-
Klicken Sie auf einen Erkennungstitel, um die Seite mit den Erkennungsdetails anzuzeigen.
Die Anzahl der CrowdStrike-Geräte, die an der Erkennung beteiligt sind, wird im Abschnitt Integrationen unter Track Detection angezeigt.
-
klicken Geräte in CrowdStrike enthalten.
Im Dialogfeld werden die CrowdStrike-Geräte angezeigt, die mit der Erkennung verknüpft sind.
Nächste Maßnahme
- Überprüfen Sie die Geräteeinhausung, indem Sie den Status anhand der Erkennungsdetails überprüfen. Der
Containment-Status erscheint auch in der Eigenschaften Gerät.
- Versuchen Sie erneut, ein Gerät zu enthalten. Der Status „Eindämmung steht noch aus" wird nicht mehr angezeigt, wenn eine Eindämmungsanfrage an CrowdStrike abgelehnt wird oder abläuft.
- Befreien Sie ein Gerät über die CrowdStrike Falcon-Konsole aus dem Container. Klicken Sie im Bereich Integrationen unter Track Detection auf CrowdStrike Falcon um die Konsole in einem neuen Tab zu öffnen. Der Containment-Status wird nicht mehr angezeigt, nachdem das ExtraHop-System eine Antwort von CrowdStrike erhalten hat.
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?