Crowdstrike Falcon EDR 統合の構成
CrowdStrike Falcon EDR 統合をダウンロードして構成し、ServiceNowインスタンスでエンドポイント検出および応答機能を有効にします。
始める前に
必要なロール:sn_sec_tisc.admin
重要:
- 脅威インテリジェンスセキュリティセンター アプリケーションをインストールしてアクティブ化する必要があります。
- CrowdStrike Falcon コンソールから API クライアント ID と API クライアントシークレットを取得します。
- CrowdStrike Falcon ポータルの API スコープで、[IOC 管理:読み取りおよび書き込みアクセス (IOC Management: read and write access)] を有効にします。
手順
- 脅威インテリジェンスセキュリティセンターに移動します。
- ServiceNow Storeから統合をダウンロードする .
- 選択 統合 > セキュリティツール > EDR.
- [ 新しいセキュリティツールを構成 ] を選択して CrowdStrike Falcon EDR 統合を構成します。
- [ CrowdStrike Falcon EDR] を選択します。
-
[新しいセキュリティツールを構成 (Configure new security tool)] フォームで、必要に応じてフィールドに入力します。
表 : 1. 拡張統合を作成 フィールド 説明 名前 新しいセキュリティツール統合の名前。例:CrowdStrike Falcon EDR。 ベンダー名 ベンダーの名前。選択したベンダーの詳細がデフォルトで入力されます。例:CrowdStrike Falcon EDR。 説明 新しいセキュリティツール統合の説明。 統合タイプ 統合のタイプ。 統合カテゴリ 統合のカテゴリ。 データ連携の構成 ベース URL ベース URL は CrowdStrike API ベース URL です。デフォルト値は https://api.crowdstrike.com です。詳細については、「https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis#k9578c40」を参照してください。 クライアント ID CrowdStrike から取得したクライアント ID。詳細については、「https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis」を参照してください。 クライアントシークレット CrowdStrike から取得したクライアントシークレットキー。詳細については、「https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis」を参照してください。 あらゆるタイプの観察事象の有効期限 (日数) 任意のタイプの観測事象が EDR に送信されたときに CrowdStrike 適用される有効期限 (日数)。 注:このオプションは、特定の観測事象タイプに有効期限が設定されていない場合の代替となる有効期限です。IP 観測事象の有効期限 観測事象が EDR に送信されたときに IP タイプに適用される有効期限 (日数 CrowdStrike 。 ドメイン観測事象の有効期限 観測事象が EDR に送信されたときに、観測事象のドメインタイプに適用される有効期限 (日数 CrowdStrike 。 ハッシュ観測事象の有効期限 観測事象が EDR に送信されるときにハッシュタイプに適用される有効期限 (日数 CrowdStrike 。 -
[ 保存] を選択して変更を適用します。
統合の詳細が検証され、 CrowdStrike EDR 統合のステータスはデフォルトでオフになっています。
-
[ 有効化] を選択して CrowdStrike EDR 統合を有効にします。
注:CrowdStrike Falcon EDR 統合には複数の構成を使用できます。