Configurer l’intégration EDR Crowdstrike Falcon

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Avant de pouvoir utiliser l’intégration CrowdStrike EDR Falcon, vous devez la télécharger à partir du ServiceNow Store Store et ajouter l’ID client et le secret client appropriés.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin
    • L’application Centre de sécurité des renseignements sur les menaces doit être installée et activée.
    • Obtenez l’ID client API et le secret client API à partir de CrowdStrike la console Falcon.
    • Dans les champs d’application de l’API CrowdStrike du portail Falcon, activez la gestion IOC : accès en lecture et en écriture.

    Procédure

    1. À l’aide de votre instance, accédez au Centre de sécurité des renseignements sur les menaces.
    2. Télécharger l’intégration à partir de ServiceNow Store.
    3. Sélectionner Intégrations > Outils de Security > EDR.
    4. Cliquez sur Configurer le nouvel outil de Security pour configurer CrowdStrike l’intégration de Falcon EDR.
    5. Sélectionnez l’option EDR CrowdStrike Falcon .
    6. Renseignez les champs du formulaire Configurer un nouvel outil de Security.
      Tableau 1. Créer une intégration de l'enrichissement
      Champ Description
      Nom Saisissez un nom pour la nouvelle intégration d’outil de Security. Par exemple, CrowdStrike Falcon EDR.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont renseignés par défaut. Par exemple, CrowdStrike Falcon EDR.
      Description Saisissez la description de la nouvelle intégration d’outil de Security.
      Type d'intégration Option qui affiche le type d’intégration.
      Catégorie d'intégration Option qui affiche la catégorie d’intégration.
      Configuration de l'intégration
      URL de base L’URL de base est l’URL de base de l’API CrowdStrike. La valeur par défaut est https://api.crowdstrike.com. Pour plus d'informations, voir https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis#k9578c40
      ID client L’ID client que vous avez obtenu à partir de CrowdStrike. Pour plus d'informations, consultez https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis.
      Secret client La clé secrète client que vous avez obtenue à partir de CrowdStrike. Pour plus d'informations, consultez https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis.
      Période d’expiration en jours pour tout type d’observables Période d’expiration en jours appliquée à tout type d’observable lorsqu’ils sont envoyés à CrowdStrike EDR.
      Remarque :
      Cette option est une période d’expiration de secours lorsque le délai d’expiration n’est défini pour aucun type d’observable spécifique.
      Délai d’expiration observable IP Période d’expiration, en jours, qui est appliquée au type d’adresse IP de l’observable lors de son envoi à CrowdStrike EDR.
      Délai d’expiration observable du domaine Période d’expiration, en jours, qui est appliquée au type de domaine de l’observable lorsqu’ils sont envoyés à CrowdStrike EDR.
      Délai d’expiration de l’observable de hachage Période d’expiration, en jours, qui est appliquée au type Hachage de l’observable lors de leur envoi à CrowdStrike EDR.
    7. Cliquez sur Enregistrer.
      Les détails de l’intégration sont validés et, par défaut, l’état de l’intégration CrowdStrike EDR est désactivé.
    8. Cliquez sur Activer pour activer l’intégration CrowdStrike EDR.
      Remarque :
      Plusieurs configurations sont autorisées pour CrowdStrike l’intégration de Falcon EDR.