Affichez le flux de menaces premium récemment ajouté pour le type de flux personnalisé. Chaque flux premium utilisant un gestionnaire de sources de données nécessite des intégrations ponctuelles.
Avant de commencer
Rôle requis : sn_sec_tisc.admin
Procédure
-
Accédez à la .
-
Cliquez sur l’icône Intégrations .
-
Sélectionnez Personnalisé.
-
Cliquez sur la carte du flux CrowdStrike .
Remarque : Par défaut, le flux CrowdStrike est désactivé, vous devez modifier les configurations pour activer le flux.
-
Explorez la section Détails de la configuration .
-
Saisissez l’URL de base, l’ID client et la clé secrète du client.
Remarque :
- URL de base : chaque cloud CrowdStrike a une URL de base différente. Lorsque vous effectuez des demandes à l’API CrowdStrike, utilisez l’URL de base qui correspond au cloud où CrowdStrike est hébergé.
- Vous devez générer votre ID client et votre secret client au cas où vous ne les auriez pas. Pour plus d’informations sur l’ID client et le secret client, consultez la section Définition de votre premier client d’API .
- Obtenir l’ID client et le secret client à partir de CrowdStrike pour les champs d’application requis. Vous trouverez ci-dessous les champs d’application requis pour l’ID client et le secret client de Crowdstrike :
- Indicateurs (intelligence Falcon)
- Acteurs (Falcon Intelligence)
- Rapports (Falcon Intelligence)
-
Accéder aux paramètres supplémentaires spécifiques à CrowdStrike L’intégration du flux de menaces peut être utilisée pour filtrer les données ingérées à partir de la source.
-
Cliquez sur Modifier les paramètres.
-
Sélectionnez l’une des options suivantes : Types d’indicateurs Crowd Strike à ingérer ou Confiance malveillante des indicateurs CrowdStrike à ingérer.
Remarque :
- Types d’indicateurs CrowdStrike à ingérer : seuls les types d’indicateurs sélectionnés seront ingérés à partir de CrowdStrike lors de l’extraction des indicateurs mis à jour (les indicateurs sur CrowdStrike sont mappés aux observables dans TISC). S’ils sont laissés vides, les indicateurs de tous types seront ingérés.
- Fiabilité malveillante des indicateurs CrowdStrike à ingérer : seul l’indicateur sélectionné avec la confiance malveillante sélectionnée sera ingéré à partir de CrowdStrike lors de l’extraction des indicateurs mis à jour (les indicateurs sur CrowdStrike sont mappés aux observables dans TISC). S’ils sont laissés vides, des indicateurs de confiance malveillante seront ingérés.
-
Sélectionnez les valeurs requises pour chaque option, en fonction de cela, les indicateurs correspondants seront ingérés.
-
Cliquez sur Mettre à jour.
-
Cliquez sur Activer.
Remarque : Le flux premium est identique aux autres flux, à l’exception de la réponse qui est analysée pendant la configuration. Une réponse spécifique est analysée dans CrowdStrike en ajoutant l’ID client et le secret client.
Quel type de données est récupéré à partir de CrowdStrike ?
- Indicateurs de CrowdStrike qui sont mis à jour après le délai d’ingestion configuré. Ces indicateurs de CrowdStrike seront ensuite mappés aux observables dans TISC. Voici les types d’indicateurs qui sont ingérés dans TISC :
- Hachage SHA256
- Hachage MD5
- Hachage SHA1
- URL
- Domaine
- Adresse IP
- Nom Mutex
- Nom du fichier
- Adresses e-mail
- Nom d'utilisateur
- Bloc d'adresses IP
- Acteurs de menace de CrowdStrike qui sont mis à jour après le délai d’ingestion configuré. Ces acteurs de CrowdStrike seront mappés aux acteurs de menace dans notre système.
- Rapports de CrowdStrike qui sont mis à jour après le délai d’ingestion configuré. Ces rapports de CrowdStrike seront mappés aux rapports de menace dans notre système.
- Nous récupérons également les données ci-dessous en plus des entités mentionnées ci-dessus.
- Acteurs/rapports/indicateurs de menace liés aux indicateurs ingérés ci-dessus.
- Acteurs/indicateurs de menace associés à tous les rapports ingérés dans le cadre de l’ingestion actuelle.