Konfigurieren Sie die Crowdstrike Falcon EDR-Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Bevor Sie die CrowdStrike Falcon EDR-Integration verwenden können, müssen Sie sie aus dem ServiceNow Store Store herunterladen und die entsprechende Client-ID und den geheimen Clientschlüssel hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin
    • Die Anwendung Threat Intelligence Security Center muss installiert und aktiviert sein.
    • Rufen Sie die API-Client-ID und das API-Client-Geheimnis aus der Falcon-Konsole CrowdStrike ab.
    • Aktivieren Sie in den API-Bereichen des Falcon-Portals CrowdStrike den Lese- und Schreibzugriff für die IoC-Verwaltung.

    Prozedur

    1. Greifen Sie mit Ihrer -Instanz auf Threat Intelligence-Sicherheitszentrumzu.
    2. Laden Sie die -Integration aus dem herunter ServiceNow Store.
    3. Auswahlvorgang Integrationen > Sicherheitstools > EDR.
    4. Klicken Sie auf Neues Sicherheitstool konfigurieren, um CrowdStrike die Falcon EDR-Integration zu konfigurieren.
    5. Wählen Sie die Option CrowdStrike Falcon EDR aus.
    6. Füllen Sie die Felder im Formular „Neues Sicherheitstool konfigurieren“ aus.
      Tabelle : 1. Neue Ergänzungsintegration erstellen
      Feld Beschreibung
      Name Geben Sie einen Namen für die neue Sicherheitstool-Integration ein. Beispiel: CrowdStrike Falcon EDR.
      Lieferantenname Name des Lieferanten. Die Details des ausgewählten Lieferanten werden standardmäßig ausgefüllt. Beispiel: CrowdStrike Falcon EDR.
      Beschreibung Geben Sie die Beschreibung für die neue Sicherheitstool-Integration ein.
      Integrationstyp Option, die den Integrationstyp anzeigt.
      Integrationskategorie Option, mit der die Integrationskategorie angezeigt wird.
      Integrationskonfiguration
      Basis-URL Die Basis-URL ist die Basis-URL der CrowdStrike-API. Der Standardwert ist https://api.crowdstrike.com. Weitere Informationen finden Sie unter https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis#k9578c40
      Client-ID Die Client-ID, die Sie von CrowdStrikeerhalten haben. Weitere Informationen finden Sie unter https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis.
      Geheimer Clientschlüssel Der geheime Clientschlüssel, den Sie von CrowdStrikeerhalten haben. Weitere Informationen finden Sie unter https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis.
      Ablaufzeitraum in Tagen für jede Art von erkennbaren Elementen Der Ablaufzeitraum in Tagen, der für jede Art von erkennbarem Element gilt, wenn sie an CrowdStrike EDR gesendet werden.
      Hinweis:
      Diese Option ist ein Fallback-Ablaufzeitraum, wenn die Ablaufzeit nicht für einen bestimmten erkennbaren Elementtyp festgelegt ist.
      Ablaufzeit erkennbarer IP-Elemente Der Ablaufzeitraum in Tagen, der für den IP-Typ des erkennbaren Elements angewendet wird, wenn es an CrowdStrike EDR gesendet wird.
      Ablaufzeit erkennbarer Elemente der Domäne Der Ablaufzeitraum in Tagen, der für den Domänentyp des erkennbaren Elements gilt, wenn es an CrowdStrike EDR gesendet wird.
      Ablaufzeit des erkennbaren Elements im Hash Der Ablaufzeitraum in Tagen, der für den Hash-Typ des erkennbaren Elements angewendet wird, wenn er an CrowdStrike EDR gesendet wird.
    7. Klicken Sie auf Speichern.
      Die Integrationsdetails werden validiert, und standardmäßig ist der Status der CrowdStrike EDR-Integration deaktiviert.
    8. Klicken Sie auf Aktivieren, um die CrowdStrike EDR-Integration zu aktivieren.
      Hinweis:
      Für CrowdStrike die Falcon EDR-Integration sind mehrere Konfigurationen zulässig.