Affichez le flux de menaces premium nouvellement ajouté pour le type de flux personnalisé. Chaque flux premium utilisant un gestionnaire de sources de données nécessite des intégrations ponctuelles.
Avant de commencer
Rôle requis : sn_sec_tisc.admin
Procédure
-
Accédez à la .
-
Cliquez sur l’icône Intégrations .
-
Sélectionnez Personnalisé.
-
Cliquez sur la carte du flux CrowdStrike .
Remarque : Par défaut, le flux CrowdStrike est désactivé, vous devez modifier les configurations pour activer le flux.
-
Explorez jusqu’à la section Détails de la configuration .
-
Saisissez l’URL de base, l’ID client et la clé secrète du client.
Remarque :
- URL de base : chaque cloud CrowdStrike a une URL de base différente. Lorsque vous envoyez des demandes à l’API CrowdStrike, utilisez l’URL de base qui correspond au cloud dans lequel CrowdStrike est hébergé.
- Vous devez générer votre ID client et votre secret client au cas où vous ne les auriez pas. Pour plus d’informations sur l’ID client et le secret client, consultez la section Définir votre premier client API .
- Obtenir l’ID client et le secret client à partir de CrowdStrike pour les champs d’application requis. Vous trouverez ci-dessous les champs d’application requis pour l’ID client et le secret client de Crowdstrike :
- Indicateurs (Falcon intelligence)
- Acteurs (Falcon Intelligence)
- Rapports (Falcon Intelligence)
-
Naviguer vers Paramètres supplémentaires spécifiques à CrowdStrike L’intégration du flux de menaces peut être utilisée pour filtrer les données ingérées à partir de la source.
-
Cliquez sur Modifier les paramètres.
-
Sélectionnez l’une des options suivantes : Types d’indicateurs Crowd Strike à ingérer ou Confiance malveillante des indicateurs CrowdStrike à ingérer.
Remarque :
- Types d’indicateurs CrowdStrike à ingérer : seuls les types d’indicateurs sélectionnés seront ingérés à partir de CrowdStrike lors de l’extraction des indicateurs mis à jour (les indicateurs sur CrowdStrike sont mappés aux observables dans TISC). Si ce champ est laissé vide, les indicateurs de tous types seront ingérés.
- Confiance malveillante des indicateurs CrowdStrike à ingérer : seul l’indicateur sélectionné avec la confiance malveillante sélectionnée sera ingéré à partir de CrowdStrike lors de l’extraction des indicateurs mis à jour (les indicateurs sur CrowdStrike sont mappés aux observables dans TISC). Si ce champ est laissé vide, les indicateurs de toute confiance malveillante sont ingérés.
-
Sélectionnez les valeurs requises pour chaque option, en fonction de cela, les indicateurs correspondants seront ingérés.
-
Cliquez sur Mettre à jour.
-
Cliquez sur Activer.
Remarque : Le flux Premium est identique aux autres flux, à l’exception de la réponse qui est analysée lors de la configuration. Une réponse spécifique est analysée dans CrowdStrike en ajoutant l’ID client et le secret client.
Quel type de données est extrait de CrowdStrike :
- Indicateurs de CrowdStrike qui sont mis à jour après le délai d’ingestion configuré. Ces indicateurs de CrowdStrike seront ensuite mappés aux observables dans TISC. Voici les types d’indicateurs ingérés dans TISC :
- Hachage SHA256
- Hachage MD5
- Hachage SHA1
- URL
- Domaine
- Adresse IP
- Nom Mutex
- Nom du fichier
- Adresses e-mail
- Nom d'utilisateur
- Bloc d'adresses IP
- Acteurs de menace de CrowdStrike qui sont mis à jour après le délai d’ingestion configuré. Ces acteurs de CrowdStrike seront mappés aux acteurs de menace dans notre système.
- Rapports de CrowdStrike qui sont mis à jour après le délai d’ingestion configuré. Ces rapports de CrowdStrike seront mappés aux rapports de menace de notre système.
- Nous récupérons également les données ci-dessous en plus des entités mentionnées ci-dessus.
- Acteurs/rapports/indicateurs de menace associés aux indicateurs ingérés ci-dessus.
- Acteurs/indicateurs de menace associés à tous les rapports ingérés dans le cadre de l’ingestion actuelle.