사용자 지정 피드 유형에 대해 새로 추가된 프리미엄 위협 피드를 봅니다. 데이터 소스 관리자를 사용하는 모든 프리미엄 피드에는 포인트 통합이 필요합니다.
시작하기 전에
필요한 역할: sn_sec_tisc.admin
프로시저
-
다음으로 이동 .
-
통합 아이콘을 클릭합니다.
-
사용자 지정을 선택합니다.
-
CrowdStrike 피드 카드를 클릭합니다.
주: 기본적으로 CrowdStrike 피드는 사용되지 않습니다. 피드를 사용하려면 구성을 편집해야 합니다.
-
구성 상세 정보 섹션으로 드릴다운합니다.
-
기본 URL, 클라이언트 ID 및 클라이언트 비밀을 입력합니다.
주:
- 기본 URL: CrowdStrike 클라우드마다 기본 URL이 다릅니다. CrowdStrike API에 요청할 때는 CrowdStrike가 호스팅되는 클라우드에 해당하는 기본 URL을 사용합니다.
- 클라이언트 ID와 클라이언트 암호가 없는 경우 이를 생성해야 합니다. 클라이언트 ID 및 클라이언트 암호에 대한 자세한 내용은 첫 번째 API 클라이언트 정의 섹션을 참조하세요.
- 필수 범위에 대해 CrowdStrike에서 클라이언트 ID 및 클라이언트 비밀을 가져옵니다. 다음은 Crowdstrike에서 클라이언트 ID 및 클라이언트 암호에 필요한 범위입니다.
- 지표(Falcon intelligence)
- 배우(Falcon Intelligence)
- 보고서(Falcon Intelligence)
-
CrowdStrike와 관련된 추가 설정으로 이동 위협 피드 통합을 사용하여 소스에서 수집된 데이터를 필터링할 수 있습니다.
-
설정 편집을 클릭합니다.
-
수집할 CrowdStrike 표시기 유형 또는 수집할 CrowdStrike 표시기의 악의적인 신뢰도 옵션 중 하나를 선택합니다.
주:
- 수집할 CrowdStrike 표시기 유형: 업데이트된 표시기를 가져오는 동안 선택한 표시기 유형만 CrowdStrike에서 수집됩니다(CrowdStrike의 표시기는 TISC의 옵저버블에 매핑됨). 비워 두면 모든 유형의 표시기가 수집됩니다.
- 수집할 CrowdStrike 표시기의 악의적인 신뢰도: 업데이트된 표시기를 가져오는 동안 선택한 악성 신뢰도를 가진 선택한 표시기만 CrowdStrike에서 수집됩니다(CrowdStrike의 표시기는 TISC의 옵저버블에 매핑됨). 비워 두면 모든 악의적인 신뢰도의 표시기가 수집됩니다.
-
각 옵션에 필요한 값을 선택합니다. 이 값에 따라 일치하는 표시기가 수집됩니다.
-
업데이트를 클릭합니다.
-
사용을 클릭합니다.
주: 프리미엄 피드는 구성 중에 구문 분석되는 응답을 제외하고 다른 피드와 동일합니다. 클라이언트 ID와 클라이언트 비밀을 추가하여 특정 응답이 CrowdStrike에 구문 분석됩니다.
CrowdStrike에서 가져오는 데이터 유형은 무엇입니까?
- 구성된 수집 시간 이후에 업데이트되는 CrowdStrike의 표시기입니다. 그런 다음 CrowdStrike의 이러한 표시기가 TISC의 옵저버블에 매핑됩니다. 다음은 TISC에서 수집되는 표시기 유형입니다.
- SHA256 해시
- MD5 해시
- SHA1 해시
- URL
- 도메인
- IP 주소
- 뮤텍스 이름
- 파일 이름
- 이메일 주소
- 사용자 이름
- IP 주소 차단
- 구성된 수집 시간 후에 업데이트되는 CrowdStrike의 위협 액터입니다. CrowdStrike의 이러한 액터는 시스템의 위협 액터에 매핑됩니다.
- 구성된 수집 시간 이후에 업데이트되는 CrowdStrike의 보고서입니다. CrowdStrike의 이러한 보고서는 CrowdStrike 시스템의 위협 보고서에 매핑됩니다.
- 또한 위에서 언급한 엔터티 외에도 아래 데이터를 가져옵니다.
- 위에서 수집된 표시기와 관련된 위협 액터/보고서/표시기입니다.
- 현재 수집의 일부로 수집된 모든 보고서와 관련된 위협 액터/표시기입니다.