사용자 지정 피드 유형에 대해 새로 추가된 프리미엄 위협 피드를 봅니다. 데이터 소스 관리자를 사용하는 모든 프리미엄 피드에는 포인트 통합이 필요합니다.
시작하기 전에
필요한 역할: sn_sec_tisc.admin
프로시저
-
다음으로 이동 .
-
통합 아이콘을 클릭합니다.
-
사용자 지정을 선택합니다.
-
CrowdStrike 피드 카드를 클릭합니다.
주: 기본적으로 CrowdStrike 피드는 비활성화되어 있습니다. 피드를 활성화하려면 구성을 편집해야 합니다.
-
구성 상세 정보 섹션으로 드릴다운합니다.
-
기본 URL, 클라이언트 ID 및 클라이언트 비밀을 입력합니다.
주:
- 기본 URL: 각 CrowdStrike 클라우드의 기본 URL은 서로 다릅니다. CrowdStrike API를 요청할 때는 CrowdStrike가 호스팅되는 클라우드에 해당하는 기본 URL을 사용하십시오.
- 클라이언트 ID와 클라이언트 비밀이 없는 경우를 대비하여 생성해야 합니다. 클라이언트 ID 및 클라이언트 암호에 대한 자세한 내용은 첫 번째 API 클라이언트 정의 섹션을 참조하세요.
- 필요한 범위에 대한 CrowdStrike에서 클라이언트 ID 및 클라이언트 비밀을 가져옵니다. 다음은 Crowdstrike의 클라이언트 ID 및 클라이언트 암호에 필요한 범위입니다.
- 표시기(Falcon intelligence)
- 액터(Falcon Intelligence)
- 보고서(Falcon Intelligence)
-
CrowdStrike Threat Feed 통합과 관련된 추가 설정으로 이동하여 소스에서 수집된 데이터를 필터링할 수 있습니다.
-
설정 편집을 클릭합니다.
-
수집할 Crowd Strike Indicator Types 또는 수집할 CrowdStrike Indicators의 악성 신뢰도 옵션 중 하나를 선택합니다.
주:
- 수집할 CrowdStrike 표시기 유형: 업데이트된 표시기를 가져오는 동안 선택한 표시기 유형만 CrowdStrike에서 수집됩니다(CrowdStrike의 표시기는 TISC의 옵저버블에 매핑됨). 비워 두면 모든 유형의 표시기가 수집됩니다.
- 수집할 CrowdStrike 표시기의 악성 신뢰도: 업데이트된 표시기를 가져오는 동안 선택한 악성 신뢰도가 있는 선택한 표시기만 CrowdStrike에서 수집됩니다(CrowdStrike의 표시기는 TISC의 옵저버블에 매핑됨). 비워 두면 모든 악의적인 신뢰도 표시기가 수집됩니다.
-
각 옵션에 필요한 값을 선택합니다. 이에 따라 일치하는 표시기가 수집됩니다.
-
업데이트를 클릭합니다.
-
사용을 클릭합니다.
주: 프리미엄 피드는 구성 중에 구문 분석되는 응답을 제외하고 다른 피드와 동일합니다. 특정 응답은 클라이언트 ID 및 클라이언트 암호를 추가하여 CrowdStrike로 구문 분석됩니다.
CrowdStrike에서 가져오는 데이터 유형은 무엇입니까?
- 구성된 수집 시간 이후에 업데이트되는 CrowdStrike의 표시기입니다. CrowdStrike의 이러한 지표는 TISC의 옵저버블에 매핑됩니다. 다음은 TISC에서 수집되는 표시기 유형입니다.
- SHA256 해시
- MD5 해시
- SHA1 해시
- URL
- 도메인
- IP 주소
- 뮤텍스 이름
- 파일 이름
- 이메일 주소
- 사용자 이름
- IP 주소 차단
- 구성된 수집 시간 이후에 업데이트되는 CrowdStrike의 위협 액터입니다. CrowdStrike의 이러한 액터는 시스템의 위협 액터에 매핑됩니다.
- 구성된 수집 시간 이후에 업데이트되는 CrowdStrike의 보고서입니다. CrowdStrike의 이러한 보고서는 ServiceNow 시스템의 위협 보고서에 매핑됩니다.
- 또한 위에서 언급한 엔터티 외에 아래 데이터를 가져옵니다.
- 위에서 수집한 지표와 관련된 위협 액터/보고서/지표입니다.
- 현재 수집의 일부로 수집된 모든 보고서와 관련된 위협 행위자/표시기입니다.