Zeigen Sie den Premium-Bedrohungsfeed für CrowdStrike an

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Zeigen Sie den neu hinzugefügten Premium-Bedrohungsfeed für den anwenderdefinierten Feed-Typ an. Jeder Premium-Feed, der den Datenquellenmanager verwendet, erfordert Punktintegrationen.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    2. Klicken Sie auf das Symbol Integrationen.
    3. Wählen Sie Anwenderdefiniert aus.
    4. Klicken Sie auf die Karte CrowdStrike Feed.
      Hinweis:
      Standardmäßig ist der CrowdStrike-Feed deaktiviert. Sie müssen die Konfigurationen bearbeiten, um den Feed zu aktivieren.
      CrowdStrike-Premium-Feed
    5. Führen Sie einen Drilldown zum Abschnitt „ Konfigurationsdetails “ durch.
    6. Geben Sie die Basis-URL,Client-IDund den geheimen Clientschlüsselein.
      Hinweis:
      1. Basis-URL: Jede CrowdStrike-Cloud hat eine andere Basis-URL. Wenn Sie Anforderungen an die CrowdStrike-API stellen, verwenden Sie die Basis-URL, die der Cloud entspricht, in der CrowdStrike gehostet wird.
      2. Sie müssen Ihre Client-ID und Ihren geheimen Clientschlüssel generieren, falls Sie keine haben. Weitere Informationen zur Client-ID und zum geheimen Clientschlüssel finden Sie im Abschnitt „Ihren ersten API-Client definieren “.
      3. Rufen Sie die Client-ID und den geheimen Clientschlüssel von CrowdStrike für erforderliche Bereiche ab. Nachfolgend sind die Bereiche aufgeführt, die für die Client-ID und den geheimen Clientschlüssel aus Crowdstrike erforderlich sind:
        • Indikatoren (Falcon Intelligence)
        • Akteure (Falcon Intelligence)
        • Berichte (Falcon Intelligence)
    7. Navigieren Sie zu Zusätzliche Einstellungen, die für die Integration des CrowdStrike-Bedrohungsfeeds spezifisch sind, können zum Filtern von Daten verwendet werden, die aus der Quelle erfasst werden.
      Registerkarte „Zusätzliche Einstellungen“ für CrowdStrike
    8. Klicken Sie auf Einstellungen bearbeiten.
      Registerkarte „Zusätzliche Einstellungen für CrowdStrike“ – Bearbeiten
    9. Wählen Sie eine der Optionen aus: Zu erfassende CrowdStrike -Indikatortypen oder Zu erfassende böswillige Konfidenz von CrowdStrike-Indikatoren.
      Registerkarte „Zusätzliche Einstellungen für CrowdStrike“ – Optionen bearbeiten Registerkarte „Zusätzliche Einstellungen“ von CrowdStrike – Optionen bearbeiten
      Hinweis:
      1. Zu erfassende CrowdStrike-Indikatortypen: Nur die ausgewählten Indikatortypen werden beim Abrufen der aktualisierten Indikatoren aus CrowdStrike erfasst (Indikatoren in CrowdStrike werden erkennbaren Elementen in TISC zugeordnet). Wenn dieses Feld leer gelassen wird, werden Indikatoren aller Typen erfasst.
      2. Böswilliges Vertrauen der zu erfassenden CrowdStrike-Indikatoren: Nur der ausgewählte Indikator mit dem ausgewählten schädlichen Vertrauen wird beim Abrufen der aktualisierten Indikatoren von CrowdStrike erfasst (Indikatoren in CrowdStrike werden erkennbaren Elementen in TISC zugeordnet). Wenn leer gelassen, werden Indikatoren aller schädlichen Konfidenzen erfasst.
    10. Wählen Sie die erforderlichen Werte für jede Option aus. Basierend darauf werden die übereinstimmenden Indikatoren erfasst.
    11. Klicken Sie auf Aktualisieren.
    12. Klicken Sie auf Aktivieren.
      Hinweis:
      Der Premium-Feed entspricht anderen Feeds bis auf die Antwort, die während der Konfiguration analysiert wird. Eine bestimmte Antwort wird in CrowdStrike analysiert, indem die Client-ID und der geheime Clientschlüssel hinzugefügt werden.
      Welche Art von Daten wird von CrowdStrike abgerufen?
      1. Indikatoren aus CrowdStrike, die nach der konfigurierten Erfassungszeit aktualisiert werden. Diese Indikatoren aus CrowdStrike werden dann erkennbaren Elementen in TISC zugeordnet. Nachfolgend sind die Indikatortypen aufgeführt, die in TISC erfasst werden:
        • SHA256-Hash
        • MD5-Hash
        • SHA1-Hash
        • URL
        • Domäne
        • IP-Adresse
        • Mutex-Name
        • Dateiname
        • E-Mail-Adresse
        • Anwendername
        • IP-Adressblock
      2. Bedrohungsakteure aus CrowdStrike, die nach der konfigurierten Erfassungszeit aktualisiert werden. Diese Akteure aus CrowdStrike werden in unserem System Bedrohungsakteur zugeordnet.
      3. Berichte aus CrowdStrike, die nach der konfigurierten Erfassungszeit aktualisiert werden. Diese Berichte aus CrowdStrike werden den Bedrohungsberichten in unserem System zugeordnet.
      4. Zusätzlich zu den oben genannten Entitäten rufen wir auch die folgenden Daten ab.
        1. Bedrohungsakteure/-berichte/-indikatoren, die mit den oben erfassten Indikatoren zusammenhängen.
        2. Bedrohungsakteure/-indikatoren, die sich auf alle Berichte beziehen, die im Rahmen der aktuellen Erfassung erfasst werden.