Empêcher les appareils CrowdStrike d'une détection
Vous pouvez initier le confinement des appareils CrowdStrike participant à une détection de sécurité. Le confinement empêche les appareils d'établir des connexions avec d'autres appareils de votre réseau.
Une fois que vous avez initié le confinement à la suite d'une détection, une demande est envoyée à CrowdStrike Falçon pour contenir les appareils et le statut Containment Pending apparaît à côté du participant. Le statut est mis à jour à Contained uniquement lorsque le système ExtraHop reçoit une réponse de CrowdStrike.
Before you begin
- Le confinement des appareils doit être activé pour Intégration à CrowdStrike .
- Les utilisateurs doivent avoir accès au module NDR et disposer d'un nombre d'écriture limité privilèges ou supérieur pour effectuer les tâches décrites dans ce guide.
-
Cliquez sur le titre d'une détection pour afficher la page détaillée de la détection.
Le nombre d'appareils CrowdStrike participant à la détection apparaît dans la section Intégrations sous Track Detection.
-
Cliquez Contenir les appareils dans CrowdStrike.
La boîte de dialogue affiche les appareils CrowdStrike associés à la détection.
Que faire ensuite
- Vérifiez le confinement de l'équipement en vérifiant son état à partir des détails de détection. L'état
du confinement apparaît également dans propriétés de l'équipement.
- Réessayez de contenir un équipement. Le statut Containment Pending n'apparaît plus lorsqu' une demande de confinement adressée à CrowdStrike est refusée ou expire.
- Libérez un équipement du confinement depuis la console CrowdStrike Falçon. Dans la section Intégrations, sous Détection des pistes, cliquez sur CrowdStrike Falçon pour ouvrir la console dans un nouvel onglet. L'état du confinement n'apparaît plus une fois que le système ExtraHop reçoit une réponse de CrowdStrike.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?