ServiceNow AI Platformインスタンスで検出プロファイルを作成して、セキュリティインシデントの作成に適したCrowdStrike Next-Gen SIEM検出を特定します。
始める前に
必要なロール:sn_si.ingestion_profile_admin
重要: CrowdStrikeポータルに相関ルールが構成されていない場合、検出プロファイルに汎用の「アクティブな相関ルールが見つかりません。相関ルールが Crowdstrike 環境で構成、アクティブ化、公開されていることを確認してください」メッセージがインスタンス ServiceNow® 。この問題を回避するには、取り込みプロファイルを構成する前に、 CrowdStrike ポータルに少なくとも 1 つの相関ルールが作成されていることを確認します。
手順
-
移動先 .
-
[New (新規)] を選択します。
-
フォームのフィールドに入力します。
表 : 1. CrowdStrike Next-Gen SIEM - 検出取り込み構成フォーム
| フィールド |
説明 |
| 名前 |
プロファイルの名前。
この名前は、このプロファイルに関連付けられたセキュリティタグのデフォルト名でもあります。
|
| アクティブ |
プロファイルをアクティブにするためのオプション。
プロファイルがアクティブな場合、 ServiceNow AI Platform は検出 CrowdStrike Next-Gen SIEM アクティブにポーリングし、対応するセキュリティ検出が セキュリティインシデントレスポンス フィルタリング条件に一致した場合に作成されます。
|
| ソース |
CrowdStrike 検出を取り込むように構成したテナント。複数のテナントが構成されている場合は、プロファイルに取り込む予定の検出タイプに適したテナントを選択します。 |
| 順番 |
2 つ以上のプロファイルがトリガー条件を共有する場合にプロファイルが実行される優先度。通常、優先度の値は 100 (デフォルト値)、200、300 などです。 番号が最も小さいプロファイルの優先度が最も高くなります。 |
| 説明 |
プロファイルのオプションの説明。 |
-
[ 更新 ] を選択します。
基本情報を使用して初期検出プロファイルが作成されます。この時点でプロファイルを保存すると、中断された場合にプロファイルの定義を続行できます。
- オプション:
すぐにプロファイル定義プロセスを続行します。
-
[CrowdStrike-Nextgen 検出プロファイル] ページで、作成したプロファイルを選択します。
-
進捗状況バーで、[ 相関ルール] を選択します。