Exiba o feed de ameaças premium recém-adicionado para o tipo personalizado de feeds. Cada feed premium que usa o gerenciador de fonte de dados requer integrações de ponto.
Antes de Iniciar
Função necessária: sn_sec_tisc.admin
Procedimento
-
Navegar até .
-
Clique no ícone Integrações.
-
Selecione Personalizado.
-
Clique no cartão Feed do CrowdStrike.
Nota: Por padrão, o feed do CrowdStrike está desabilitado. Você deve editar as configurações para habilitar o feed.
-
Faça o detalhamento ativo até a seção Detalhes da configuração.
-
Insira a URL base,o ID do clientee o Segredo do cliente.
Nota:
- URL base: cada nuvem do CrowdStrike tem uma URL base diferente. Ao fazer solicitações à API do CrowdStrike, use a URL base que corresponde à nuvem em que o CrowdStrike está hospedado.
- Você deve gerar seu ID de cliente e segredo do cliente, caso não os tenha. Para obter mais informações sobre o ID do cliente e o segredo do cliente, consulte a seção Definir seu primeiro cliente de API.
- Obtenha o ID do cliente e o segredo do cliente do CrowdStrike para os escopos necessários. Abaixo estão os escopos necessários para o ID do cliente e o segredo do cliente do Crowdstrike:
- Indicadores (Inteligência Falcon)
- Atores (Falcon Intelligence)
- Relatórios (Falcon Intelligence)
-
Navegue até Configurações adicionais específicas para o CrowdStrike A integração do feed de ameaças pode ser usada para filtrar dados que são ingeridos da origem.
-
Clique em Editar configurações.
-
Selecione uma das opções: Tipos de indicador de Crowd-Strike para ingerir ou Confiança mal-intencionada dos indicadores do CrowdStrike para ingerir.
Nota:
- Tipos de indicador do CrowdStrike a serem ingeridos: somente os tipos de indicador selecionados seriam ingeridos do CrowdStrike ao buscar os indicadores atualizados (os indicadores do CrowdStrike são mapeados para observáveis no TISC). Se for deixado em branco, indicadores de todos os tipos serão incluídos.
- Confiança mal-intencionada de indicadores do CrowdStrike para ingestão: somente o indicador selecionado com confiança mal-intencionada selecionada seria ingerido do CrowdStrike ao buscar os indicadores atualizados (os indicadores no CrowdStrike são mapeados para observáveis no TISC). Se deixado em branco, serão ingeridos indicadores de toda a confiança mal-intencionada.
-
Selecione os valores necessários para cada opção. Com base nisso, os indicadores correspondentes serão ingeridos.
-
Clique em Atualizar.
-
Clique em Habilitar.
Nota: O feed premium é igual aos outros feeds, exceto a resposta que é analisada durante a configuração. Uma resposta específica é analisada para o CrowdStrike adicionando o ID do cliente e o segredo do cliente.
Que tipo de dados é obtido do CrowdStrike:
- Indicadores do CrowdStrike que são atualizados após o tempo de ingestão configurado. Esses indicadores do CrowdStrike serão mapeados para observáveis no TISC. Abaixo estão os tipos de indicador que são ingeridos no TISC:
- Hash SHA256
- Hash MD5
- Hash SHA1
- URL
- Domínio
- Endereço IP
- Nome de Mutex
- Nome de arquivo
- Endereço de E-mail
- Nome do usuário
- Bloco de endereço IP
- Atores de ameaça do CrowdStrike que são atualizados após o tempo de ingestão configurado. Esses agentes do CrowdStrike serão mapeados para agentes de ameaça em nosso sistema.
- Relatórios do CrowdStrike que são atualizados após o tempo de ingestão configurado. Esses relatórios do CrowdStrike serão mapeados para relatórios de ameaças em nosso sistema.
- Também buscamos os dados abaixo, além das entidades mencionadas acima.
- Atores/relatórios/indicadores de ameaças que estão relacionados aos indicadores ingeridos acima.
- Atores/indicadores de ameaças relacionados a todos os relatórios ingeridos como parte da ingestão atual.