Crowdstrike Falcon EDR 統合の構成
CrowdStrike Falcon EDR 統合を使用する前に、ServiceNow Store Store からダウンロードし、適切なクライアント ID とクライアントシークレットを追加する必要があります。
始める前に
必要なロール:sn_sec_tisc.admin
- 脅威インテリジェンスセキュリティセンターアプリケーションをインストールしてアクティブ化する必要があります。
- Falcon コンソールから API クライアント ID と API クライアントシークレットを取得しますCrowdStrike
- CrowdStrike Falcon ポータル API スコープで、IOC 管理:読み取りおよび書き込みアクセスを有効にします。
手順
- 自身のインスタンスを使用して、脅威インテリジェンスセキュリティセンターにアクセスします。
- から統合をダウンロードします ServiceNow Store.
- 選択 統合 > セキュリティツール > EDR.
- [ 新しいセキュリティツールを構成 ] をクリックして CrowdStrike Falcon EDR 統合を構成します。
- [CrowdStrike Falcon EDR] オプションを選択します。
-
[新しいセキュリティツールを構成 (Configure new security tool)] フォームのフィールドに入力します。
表 : 1. 新しい拡張統合を作成 フィールド 説明 名前 新しいセキュリティツール統合の名前を入力します。例: CrowdStrike Falcon EDR。 ベンダー名 ベンダーの名前。選択したベンダーの詳細がデフォルトで入力されます。例: CrowdStrike Falcon EDR。 説明 新しいセキュリティツール統合の説明を入力します。 統合タイプ 統合タイプを表示するオプション。 統合カテゴリ 統合カテゴリを表示するオプション。 データ連携の構成 ベース URL ベース URL は CrowdStrike API のベース URL です。デフォルト値は https://api.crowdstrike.com です。詳細については、「https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis#k9578c40」を参照してください。 クライアント ID CrowdStrike から取得したクライアント ID。詳細については、「https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis」を参照してください。 クライアントシークレット CrowdStrike から取得したクライアントシークレットキー。詳細については、「https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis」を参照してください。 すべてのタイプの観測事象の有効期間 (日数) 任意のタイプの観測事象が CrowdStrike EDR に送信されるときに適用される有効期限 (日数)。 注:このオプションは、特定の観測事象タイプに有効期限が設定されていない場合の代替有効期間です。IP 観察事項の有効期限 観測事象の IP タイプが CrowdStrike EDR に送信されるときに適用される有効期限 (日数)。 ドメイン観測事象の有効期限 観測事象のドメインタイプが CrowdStrike EDR に送信されるときに適用される有効期限 (日数)。 ハッシュ観測事象の有効期限 観測事象が CrowdStrike EDR に送信されるときにハッシュタイプの観測事象に適用される有効期限 (日数)。 -
[Save (保存)] をクリックします。
統合の詳細が検証されます。デフォルトでは、 CrowdStrike EDR 統合のステータスは無効になっています。
-
[ 有効化 ] をクリックして、 CrowdStrike EDR 統合を有効にします。
注:CrowdStrike Falcon EDR 統合では、複数の構成が許可されています。