CrowdStrikeのプレミアム脅威フィードを表示

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:7分

    • CrowdStrike フィードを使用すると、ユーザーはインジケーター、アクター、レポート、および関連するコンテキストを CrowdStrike Falcon Intelligence フィードから TISC に取り込むことができます。

    始める前に

    必要なロール:sn_sec_tisc.admin

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター > 統合.
    2. [カスタム] を選択します。
    3. CrowdStrike [フィードフォーム] ページで、[編集] を選択します。
      注:
      デフォルトでは、CrowdStrike フィードは無効になっています。構成を編集してフィードを有効にします。
      CrowdStrike プレミアムフィード
    4. [ 構成の詳細 ] セクションに移動します。
    5. クライアント IDクライアントシークレットを入力します。
      注:
      1. クライアント ID とクライアントシークレットがない場合は、生成する必要があります。クライアント ID とクライアントシークレットの詳細については、「Defining your first API Client (最初の API クライアントの定義)」セクションを参照してください。
      2. 必要なスコープの CrowdStrike からクライアント ID とクライアントシークレットを取得します。CrowdStrike のクライアント ID とクライアントシークレットには、次のスコープが必要です。
        • インジケーター (Falcon Intelligence)
        • アクター (Falcon Intelligence)
        • レポート (Falcon Intelligence)
    6. [ 追加の設定 ] に移動して、 CrowdStrikeからインジケーターを取り込むときに適用されるフィルターを構成します。

      CrowdStrike の [追加設定] タブ

      [ 追加設定] タブは、主に、アプリケーションへのデータの取り込み方法を制御するフィルターを構成するために使用されます。

      これらのフィルターを使用すると、特定の要件を満たすようにデータ統合プロセスをカスタマイズし、最も関連性の高い情報のみを含めることができます。

    7. [ 設定を編集] を選択します。

      CrowdStrike の [追加設定] タブ - 編集

    8. 必要なフィルターを選択します。
      注:
      CrowdStrikeからインジケーターを取り込むときに、構成されたすべてのフィルターが一緒に適用されます。
      次のセクションでは、利用可能な各オプションについて詳しく説明します。次の表の各オプションを確認して、フィルターがデータの取り込みを最適化する方法を理解してください。
    9. 使用可能なフィルターから必要な値を選択します。
      表 : 1. 追加の設定を編集
      フィールド 説明
      取り込むレコードタイプ
      取り込むレコードタイプを選択 取り込むレコードタイプを選択します。使用可能なレコードタイプは、インジケーター、レポート、およびアクターです。
      注:

      取り込むレコードタイプとして インジケーター のみを選択した場合、それらのインジケーターに関連付けられた関連するレポートとアクターは自動的に取り込まれません。

      関連するレポートとアクターを取り込むには、インジケーター、レポート、アクターの 3 つのレコードタイプをすべて選択する必要があります。
      インジケーター属性のフィルター
      取り込み対象に削除されたインジケーターを含める 削除されたインジケーターの取り込みを許可するには、このチェックボックスをオンにします。
      注:
      削除済みインジケーターは、以前に取り込まれた場合にのみ観測事象として作成されます。CrowdStrikeから削除されたインジケーターに [CrowdStrike で削除済み] タグが追加されます。
      取り込むインジケータータイプ 取り込む特定の CrowdStrike インジケータータイプを選択します。何も選択されていない場合は、デフォルトで使用可能なすべてのインジケーターが取得されます。
      取り込むインジケーターの悪意のある信頼性 取り込む CrowdStrike インジケーターの悪意のある信頼度を選択します。空白のままにすると、悪意のある信頼性に関係なく、すべてのインジケーターが CrowdStrike からフェッチされます。
      取り込むインジケーターのターゲット業界 取り込む CrowdStrike インジケーターに関連付けられた対象業界を選択します。何も選択されていない場合は、ターゲット業界に関係なく、すべてのインジケーターが CrowdStrike からフェッチされます。
      関連するアクターのフィルター
      アクターが関連付けられている場合にのみインジケーターをフェッチ インジケーターがアクターに関連付けられている場合にのみフェッチするには、このチェックボックスをオンにします。
      これらのアクターにのみ関連付けられたインジケーターを取り込む 取り込みのインジケーターに関連するアクター名をカンマで区切って指定します。指定しない場合、関連付けられているアクターに関係なく、すべてのインジケーターが CrowdStrike からフェッチされます。
      関連レポートのフィルター
      インジケーターが関連付けられている場合にのみインジケーターをフェッチ レポートに関連付けられているインジケーターのみをフェッチするには、このチェックボックスをオンにします。
      これらのレポートにのみ関連付けられたインジケーターを取り込みます 取り込みのインジケーターに関連付けられたレポート名をカンマで区切って入力します。空白のままにすると、すべてのレポートが取り込みプロセスに含まれます。

      指定しない場合、関連付けられているレポートに関係なく、すべてのインジケーターが CrowdStrike からフェッチされます。
      関連するマルウェアファミリでのフィルター
      マルウェアファミリが関連付けられている場合にのみインジケーターをフェッチ マルウェアファミリに関連付けられているインジケーターのみをフェッチするには、このチェックボックスをオンにします。
      これらのマルウェアファミリにのみ関連付けられたインジケーターを取り込む 取り込みのインジケーターに関連付けられたマルウェアファミリー名をカンマ区切りで入力します。空のままにすると、すべてのマルウェアファミリが取り込みプロセスに含まれます。

      指定しない場合、マルウェアファミリに関係なく、すべてのインジケーターが CrowdStrike からフェッチされます。
      インジケーターの悪意のある信頼度と TISC 信頼度のマッピング
      注:
      [高]、[中]、および [低] の値は、 CrowdStrikeから受け取ったソース値または悪意のある信頼性です。
      悪意のある信頼性が高いインジケーターの信頼値 (0 〜 100) を入力します。
      注:
      一致する悪意のある信頼度マッピングが [追加設定] で見つかった場合、信頼度の値を手動で入力した場合でも、[ 詳細 ] セクションに指定された値が上書きされます。
      悪意のある信頼度が中程度のインジケーターの信頼度値 (0 〜 100) を入力します。
      悪意のある信頼度が低いインジケーターの信頼値 (0 〜 100) を入力します。
      未検証 悪意のある信頼度が未検証のインジケーターの信頼度値 (0 〜 100) を入力します。
      注:
      定義したのと同じ追加設定を使用して、新しいフィードを作成するときにフィードを複製できます。
    10. [追加設定] ダイアログボックスで [更新] を選択して、変更した追加設定を保存します。
    11. [ 有効化 ] を選択して、取り込み用に CrowdStrike フィードを有効にします。
      注:
      プレミアムフィードは、構成中に解析される応答を除き、他のフィードと同じです。特定の応答は、クライアント ID とクライアントシークレットを追加することで解析され、 CrowdStrike されます。
      CrowdStrikeからフェッチされるデータのタイプ:
      1. 構成された取り込み時間の後に更新され、追加設定で構成されたフィルターに一致する CrowdStrike のインジケーター。CrowdStrike のこれらのインジケーターは、TISC の観測事象にマッピングされます。次のインジケータータイプが TISC に取り込まれます。
        • SHA256 ハッシュ
        • MD5 ハッシュ
        • SHA1 ハッシュ
        • URL
        • ドメイン
        • IP アドレス
        • ミューテックス名
        • ファイル名
        • メールアドレス
        • ユーザー名
        • IP アドレスブロック
      2. 構成された取り込み時間の後に更新された CrowdStrike の攻撃者は、 TISC の攻撃者にマッピングされます。
      3. 構成された取り込み時間の後に更新された CrowdStrike からのレポートは、一致する属性に基づいて TISC で脅威レポートにマッピングされます。
      4. 前述のエンティティに加えて、次の関連データもフェッチされます。
        1. 以前に取り込まれたインジケーターに関連する攻撃者、レポート、およびインジケーター。
        2. 現在の取り込みプロセス中に取り込まれたすべてのレポートに関連付けられた攻撃者とインジケーター。
        注:
        [追加設定] で構成されたフィルターは、以前に取り込んだインジケーター、レポート、またはアクターに関連付けられたインジケーターを取り込むときにも適用されます。
    12. オプション: フィードを複製するには、[ 複製 ] を選択します。
      詳細については、「重複した脅威インテリジェンスフィード」を参照してください。