Vue d’ensemble de l’intégration CrowdStrike Falcon Intelligence

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • CrowdStrike Falcon Intelligence fournit des renseignements sur la cybersécurité qui s’intègrent facilement à Opérations de sécurité.

    Remarque :
    Le Renseignements sur les menaces module d’extension est requis pour implémenter l’intégration CrowdStrike Falcon Intelligence .

    Recherche de menace : CrowdStrike Falcon Intelligence flux

    La fonction Recherche de menaces : CrowdStrike Falcon Intelligence Flow Designer effectue une recherche sur les observables sélectionnés. Si les observables sont d’un type reconnu par , les observables sont analysés à CrowdStrike Falcon Intelligencela recherche de programmes malveillants et les résultats sont renvoyés.

    Ce flux est déclenché lorsque Security Operations Integration - Aptitude Recherche de menace vous publiez un ou plusieurs observables dans une liste de surveillance et que l’implémentation de CrowdStrike Falcon Intelligence est sélectionnée. Une fois publiées, les listes de suivi peuvent être consultées dans le logiciel CrowdStrike Falcon Host.

    Rôle requis : administrateur

    Recherche de menace : flux secondaire de CrowdStrike Falcon Intelligence

    Pour en savoir plus sur les activités utilisées par ce concepteur de flux, reportez-vous à la section Workflows d’intégration et activités d’orchestration courants pour Opérations de sécurité.

    Activer et configurer l’intégration CrowdStrike Falcon Intelligence

    La fonctionnalité de configuration de l’intégration vous permet d’activer et de configurer rapidement des intégrations de sécurité tierces, y compris l’intégration CrowdStrike Falcon Intelligence . Avant de pouvoir utiliser le CrowdStrike Falcon Intelligence, vous devez le télécharger à ServiceNow Store partir du et ajouter la clé API et l’ID appropriés.

    Avant de commencer

    Rôle requis : administrateur

    • Le Renseignements sur les menaces module d’extension doit être installé et activé avant de pouvoir utiliser l’intégration CrowdStrike Falcon Intelligence .
    • Obtenez l’ID du client API et le secret du client API sous votre CrowdStrike Falcon Intelligence profil.
    • Si vous mettez à niveau CrowdStrike Falcon Intelligence l’intégration à partir d’une version précédente, vous devez supprimer la configuration existante et en configurer une nouvelle. L’intégration prend en charge l’authentification OAuth2. Cette mise à jour nécessite que vous saisissiez l’ID du client API et le secret du client API pour vous authentifier et terminer la configuration.
    • Dans les périmètres de l’API du CrowdStrike Falcon Intelligence portail, activez le paramètre de lecture pour les indicateurs (Falcon X) ou les IOC (indicateurs de compromission).

    Procédure

    1. Téléchargez l’intégration à partir de ServiceNow Store.
    2. Dans votre instance, accédez à Security Operations > Intégrations > Configurations d'intégration.
      Les intégrations de sécurité disponibles apparaissent sous la forme d’une série de cartes.
    3. Dans la CrowdStrike Falcon Intelligence carte, cliquez sur Configurer.
    4. Renseignez les champs du formulaire pour finaliser la configuration :
      Tableau 1. Configuration CrowdStrike Falcon Intelligence
      Champ Description
      Nom

      Nom de l’intégration, par exemple demo-1.
      ID client API

      L’ID client que vous obtenez à partir de la section des paramètres de votre profil de compte dans CrowdStrike Falcon Intelligence le portail.
      Secret client API

      Clé secrète du client que vous obtenez à partir de la section des paramètres de votre profil de compte dans CrowdStrike Falcon Intelligence le portail.
    5. Cliquez sur Envoyer.

    Résultats

    Une fois configuré, il est possible de CrowdStrike Falcon Intelligence le sélectionner pour effectuer des recherches sur les observables dans Renseignements sur les menaces et sur les observables dans les incidents de sécurité.