Afficher le flux de menaces Premium pour CrowdStrike

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Le CrowdStrike flux permet aux utilisateurs d’ingérer des indicateurs, des acteurs, des rapports et leur contexte associé à partir du flux CrowdStrike Falcon Intelligence dans TISC.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Intégrations.
    2. Sélectionnez Personnalisé.
    3. Sur la page CrowdStrike du formulaire de flux , sélectionnez Modifier.
      Remarque :
      Par défaut, le flux CrowdStrike est désactivé. Modifiez les configurations pour activer le flux.
      Flux CrowdStrike-Premium
    4. Accédez à la section Détails de la configuration .
    5. Saisissez l’ID client et le secret client.
      Remarque :
      1. Vous devez générer votre ID client et votre secret client si vous ne les avez pas. Pour plus d’informations sur l’ID client et le secret client, consultez la section Définir votre premier client API .
      2. Obtenir l’ID client et le secret client pour les champs d’application CrowdStrike requis. Les champs d’application suivants sont requis pour l’ID client et le secret client de CrowdStrike:
        • Indicateurs (Falcon Intelligence)
        • Acteurs (Falcon Intelligence)
        • Rapports (Falcon Intelligence)
    6. Accédez à Paramètres supplémentaires pour configurer les filtres qui seront appliqués lors de l’ingestion d’indicateurs à partir de CrowdStrike.

      Onglet Paramètres supplémentaires de CrowdStrike

      L’onglet Paramètres supplémentaires est principalement utilisé pour configurer les filtres qui contrôlent la façon dont les données sont ingérées dans l’application.

      Ces filtres vous permettent de personnaliser le processus d’intégration des données pour répondre à vos besoins spécifiques, en veillant à ce que seules les informations les plus pertinentes soient incluses.

    7. Sélectionnez Modifier les paramètres.

      Onglet des paramètres supplémentaires CrowdStrike : modifier

    8. Sélectionnez les filtres requis.
      Remarque :
      Tous les filtres configurés sont appliqués ensemble lors de l’ingestion d’indicateurs à partir de CrowdStrike.
      La section suivante fournit une explication détaillée de chaque option disponible. Passez en revue chaque option dans le tableau suivant pour comprendre comment les filtres optimisent l’ingestion de données.
    9. Sélectionnez les valeurs requises parmi les filtres disponibles.
      Tableau 1. Modifier les paramètres supplémentaires
      Champ Description
      Types d’enregistrements à ingérer
      Sélectionner les types d’enregistrements à ingérer Sélectionnez les types d’enregistrements que vous souhaitez ingérer. Les types d’enregistrement disponibles sont Indicateurs, Rapports et Acteurs.
      Remarque :

      Si vous sélectionnez uniquement les indicateurs comme type d’enregistrement à ingérer, les rapports connexes et les acteurs associés à ces indicateurs ne sont pas ingérés automatiquement.

      Pour ingérer les rapports et acteurs associés, vous devez sélectionner les trois types d’enregistrement : Indicateurs, Rapports et Acteurs.
      Filtres sur les attributs d’indicateur
      Inclure les indicateurs supprimés pour l’ingestion Cochez cette case pour autoriser l’ingestion des indicateurs qui ont été supprimés.
      Remarque :
      Les indicateurs supprimés ne sont créés en tant qu’observables que s’ils ont été précédemment ingérés. Une balise Supprimé dans CrowdStrike est ajoutée aux indicateurs supprimés de CrowdStrike.
      Types d’indicateurs à ingérer Sélectionnez les types d’indicateurs spécifiques CrowdStrike que vous souhaitez ingérer. Si aucun n’est sélectionné, tous les indicateurs disponibles sont récupérés par défaut.
      Confiance malveillante des indicateurs à ingérer Sélectionnez le niveau de confiance malveillante des CrowdStrike indicateurs à ingérer. Si ce champ est laissé vide, tous les indicateurs sont extraits à partir de CrowdStrike la confiance malveillante ou non.
      Secteurs ciblés des indicateurs à ingérer Sélectionnez les secteurs ciblés associés aux CrowdStrike indicateurs à ingérer. Si aucun n’est sélectionné, tous les indicateurs sont récupérés, quel que soit le CrowdStrike secteur cible.
      Filtres sur les acteurs associés
      Extraire les indicateurs uniquement si des acteurs y sont associés Cochez cette case pour extraire des indicateurs uniquement s’ils sont associés à des acteurs.
      Indicateurs d’ingestion uniquement associés à ces acteurs Spécifiez des noms d’acteurs séparés par des virgules liés aux indicateurs pour l’ingestion. S’ils CrowdStrike ne sont pas fournis, tous les indicateurs sont récupérés, quels que soient les acteurs associés.
      Filtres sur les rapports associés
      Extraire les indicateurs uniquement si des rapports leur sont associés Cochez cette case pour extraire des indicateurs uniquement s’ils sont associés à des rapports.
      Indicateurs d’ingestion uniquement associés à ces rapports Saisissez les noms de rapports séparés par des virgules associés aux indicateurs pour l’ingestion. Si ce champ est vide, tous les rapports sont inclus dans le processus d’ingestion.

      S’ils ne sont pas fournis, tous les indicateurs sont extraits à partir de CrowdStrike quels rapports associés.
      Filtres sur les familles de programmes malveillants associées
      Extraire les indicateurs uniquement si des familles de programmes malveillants y sont associées Cochez cette case pour extraire les indicateurs uniquement s’ils sont associés à des familles de programmes malveillants.
      Indicateurs d’ingestion uniquement associés à ces familles de programmes malveillants Saisissez les noms de famille de programmes malveillants séparés par des virgules associés aux indicateurs d’ingestion. Si ce champ est vide, toutes les familles de programmes malveillants sont incluses dans le processus d’ingestion.

      S’ils ne sont pas fournis, tous les indicateurs sont récupérés, quelle que soit la famille de CrowdStrike programmes malveillants.
      Mappage de la confiance malveillante de l’indicateur à la confiance TISC
      Remarque :
      Les valeurs Élevée, Moyenne et Faible correspondent à la valeur source ou à la confiance malveillante reçue de .CrowdStrike
      Élevé Entrez une valeur de confiance (0 à 100) pour les indicateurs avec un score de confiance malveillant élevé.
      Remarque :
      Si un mappage de fiabilité malveillant correspondant est trouvé dans les paramètres supplémentaires, il remplace la valeur fournie dans la section Détails , même si une valeur de confiance est saisie manuellement.
      Moyen Entrez une valeur de confiance (0 à 100) pour les indicateurs avec une confiance malveillante moyenne.
      Faible Entrez une valeur de confiance (0 à 100) pour les indicateurs avec un faible score de confiance malveillant.
      Non vérifié Saisissez une valeur de confiance (0 à 100) pour les indicateurs dont la fiabilité malveillante n’a pas été vérifiée.
      Remarque :
      Avec les mêmes paramètres supplémentaires que vous avez définis, vous pouvez dupliquer le flux lors de la création d’un nouveau flux.
    10. Sélectionnez Mettre à jour dans la boîte de dialogue Paramètres supplémentaires pour enregistrer les paramètres supplémentaires modifiés.
    11. Sélectionnez Activer pour activer le flux pour l’ingestion CrowdStrike .
      Remarque :
      Le flux premium est identique aux autres flux, à l’exception de la réponse qui est analysée lors de la configuration. Une réponse spécifique est analysée en CrowdStrike ajoutant l’ID client et le secret client.
      À partir de quel type de données sont extraites :CrowdStrike
      1. Les indicateurs sont mis à jour après l’heure d’ingestion CrowdStrike configurée et correspondent aux filtres configurés dans les paramètres supplémentaires. Ces indicateurs de CrowdStrike sont ensuite mappés aux observables dans TISC. Les types d’indicateurs suivants sont ingérés dans TISC:
        • Hachage SHA256
        • Hachage MD5
        • Hachage SHA1
        • URL
        • Domaine
        • Adresse IP
        • Nom Mutex
        • Nom du fichier
        • Adresses e-mail
        • Nom d'utilisateur
        • Bloc d’adresses IP
      2. Les acteurs de menace mis à jour après le délai d’ingestion configuré sont mappés aux acteurs de CrowdStrike menace dans TISC.
      3. Les rapports mis à jour après le délai d’ingestion configuré sont mappés aux rapports sur CrowdStrike les menaces en TISC fonction des attributs correspondants.
      4. En plus des entités mentionnées précédemment, les données connexes suivantes sont également extraites :
        1. Acteurs, rapports et indicateurs de menace liés aux indicateurs précédemment ingérés.
        2. Acteurs et indicateurs de menace associés à tous les rapports ingérés au cours du processus d’ingestion actuel.
        Remarque :
        Les filtres configurés dans Paramètres supplémentaires sont également appliqués lors de l’ingestion d’indicateurs associés à des indicateurs, des rapports ou des acteurs précédemment ingérés.
    12. Facultatif : Sélectionnez Dupliquer pour dupliquer le flux.
      Pour plus d'informations, consultez Dupliquer les flux de renseignements sur les menaces.