Integrationsüberblick CrowdStrike Falcon Intelligence

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • CrowdStrike Falcon Intelligence bietet Cybersicherheitsinformationen, die sich problemlos in Security Operationsintegrieren lassen.

    Hinweis:
    Das Plugin Threat Intelligence ist erforderlich, um die Integration CrowdStrike Falcon Intelligence zu implementieren.

    Bedrohungssuche – Flows CrowdStrike Falcon Intelligence .

    Der Flow Designer „Bedrohungssuche – CrowdStrike Falcon Intelligence “ führt eine Suche für ausgewählte erkennbare Elemente durch. Wenn es sich bei den erkennbaren Elementen um einen von CrowdStrike Falcon Intelligenceerkannten Typ handelt, werden sie auf Malware gescannt, und die Ergebnisse werden zurückgegeben.

    Dieser Flow wird von Security Operations-Integration – Funktionalität zur Bedrohungssuche ausgelöst, wenn Sie ein oder mehrere erkennbare Elemente in einer Beobachtungsliste veröffentlichen und die CrowdStrike Falcon Intelligence-Implementierung ausgewählt ist. Nach der Veröffentlichung können die Beobachtungslisten in der CrowdStrike Falcon Host-Software angezeigt werden.

    Erforderliche Rolle: admin

    Subflow „Bedrohungssuche – CrowdStrike Falcon Intelligence“.

    Informationen zu den von diesem Flow Designer verwendeten Aktivitäten finden Sie unter Workflows bei der Integration von Common Security Operations und Orchestration-Aktivitäten.

    Aktivieren und konfigurieren Sie die CrowdStrike Falcon Intelligence -Integration

    Mit der Funktion „Integrationskonfiguration“ können Sie Sicherheitsintegrationen von Drittanbietern, einschließlich der CrowdStrike Falcon Intelligence -Integration, schnell aktivieren und einrichten. Bevor Sie CrowdStrike Falcon Intelligenceverwenden können, müssen Sie es von ServiceNow Store herunterladen und den entsprechenden API-Schlüssel und die ID hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: admin

    • Das Plugin Threat Intelligence muss installiert und aktiviert werden, bevor Sie die CrowdStrike Falcon Intelligence -Integration verwenden können.
    • Rufen Sie die API-Client-ID und das API-Client-Geheimnis in Ihrem Profil CrowdStrike Falcon Intelligence ab.
    • Wenn Sie die CrowdStrike Falcon Intelligence -Integration von einer früheren Version aktualisieren, müssen Sie die vorhandene Konfiguration löschen und eine neue Konfiguration einrichten. Die -Integration unterstützt die OAuth2-Authentifizierung. Dieses Update erfordert die Eingabe der API-Client-ID und des API-Clientgeheimnisses, um sich zu authentifizieren und die Konfiguration abzuschließen.
    • Aktivieren Sie in den API-Bereichen des Portals CrowdStrike Falcon Intelligence die Einstellung Lesen für Indikatoren (Falcon X) oder IoCs (Indicators of Compromise).

    Prozedur

    1. Laden Sie die -Integration aus dem herunter ServiceNow Storean.
    2. Navigieren Sie in Ihrer -Instanz zu Security Operations > Integrationen > Integrationskonfigurationenan.
      Die verfügbaren Sicherheitsintegrationen werden als Reihe von Karten angezeigt.
    3. Klicken Sie auf der Karte CrowdStrike Falcon Intelligence auf Konfigurieren.
    4. Füllen Sie die Felder des Formulars aus, um die Konfiguration abzuschließen:
      Tabelle : 1. CrowdStrike Falcon Intelligence Konfiguration
      Feld Beschreibung
      Name

      Name der Integration, z. B. demo-1.
      API-Client-ID

      Client-ID, die Sie im Abschnitt mit den Einstellungen Ihres Kontoprofils im Portal CrowdStrike Falcon Intelligence abrufen.
      API-Client-Geheimnis

      Der geheime Clientschlüssel, den Sie im Abschnitt mit den Einstellungen Ihres Kontoprofils im Portal CrowdStrike Falcon Intelligence erhalten.
    5. Klicken Sie auf Absenden.

    Ergebnisse

    Nach der Konfiguration kann CrowdStrike Falcon Intelligence für die Durchführung von Suchen für erkennbare Elemente in Threat Intelligence und für erkennbare Elemente in Security Incidents ausgewählt werden.