CrowdStrike のプレミアム脅威フィードの表示

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:7分

    • CrowdStrike フィードを使用すると、ユーザーはインジケーター、アクター、レポート、および関連するコンテキストを CrowdStrike Falcon Intelligence フィードから TISC に取り込むことができます。

    始める前に

    必要なロール:sn_sec_tisc.admin

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター > 統合.
    2. [カスタム] を選択します。
    3. CrowdStrike フィードフォームページの [編集] ボタンをクリックします。
      注:
      デフォルトでは、CrowdStrike フィードは無効になっています。フィードを有効にするには構成を編集する必要があります。
      CrowdStrike プレミアムフィード
    4. [構成の詳細] セクションにドリルダウンします。
    5. [クライアント ID] と [クライアントシークレット] を入力します。
      注:
      1. ベース URL がない場合は、クライアント ID とクライアントシークレットを生成する必要があります。クライアント ID とクライアントシークレットの詳細については、「Defining your first API Client (最初の API クライアントの定義)」セクションを参照してください。
      2. 必要なスコープの CrowdStrike からクライアント ID とクライアントシークレットを取得します。以下は、 CrowdStrike からのクライアント ID とクライアントシークレットに必要なスコープです。
        • インジケーター (Falcon Intelligence)
        • アクター (Falcon Intelligence)
        • レポート (Falcon Intelligence)
    6. [追加の設定] に移動して、CrowdStrikeからインジケーターを取り込むときに適用されるフィルターを構成します。

      CrowdStrike の [追加設定] タブ

      [ 追加の設定 ] タブは、主に、アプリケーションにデータを取り込む方法を制御するフィルターを構成するために使用されます。

      これらのフィルターを使用すると、特定の要件を満たすようにデータ統合プロセスをカスタマイズでき、最も関連性の高い情報のみを含めることができます。

    7. [設定を編集] をクリックします。

      CrowdStrike の [追加設定] タブ - 編集

    8. 必要なフィルターを選択します。
      注:
      構成されたすべてのフィルターは、 CrowdStrike からインジケーターを取り込むときに連動して適用されます。
      以下のセクションでは、使用可能な各オプションについて詳しく説明します。次の表の各オプションを確認し、フィルターを適用してアプリケーションに取り込まれるデータを最適化する方法を理解してください。
    9. 以下の利用可能なフィルターから必要な値を選択します。
      表 : 1. 追加の設定を編集
      フィールド 説明
      取り込むレコードタイプ
      取り込むレコードタイプを選択 取り込むレコードタイプを選択します。使用可能なレコードタイプは、インジケーター、レポート、およびアクターです。
      注:

      取り込むレコードタイプとして インジケーター のみを選択した場合、それらのインジケーターに関連付けられた関連レポートとアクタは自動的に取り込まれません。

      関連するレポートとアクターを取り込むには、インジケーター、レポート、アクターの 3 つのレコードタイプをすべて選択する必要があります。
      インジケーター属性のフィルター
      削除されたインジケーターを取り込みに含める 削除されたインジケーターの取り込みを許可するには、このチェックボックスをオンにします。
      注:
      削除されたインジケーターは、以前に取り込まれた場合にのみ観測事象として作成されます。CrowdStrike での削除済みタグは、CrowdStrikeから削除されたインジケーターに追加されます。
      取り込むインジケータータイプ 取り込む特定の CrowdStrike インジケータータイプを選択します。何も選択されていない場合は、利用可能なすべてのインジケーターがデフォルトで取得されます。
      取り込むインジケーターの悪意のある信頼性 取り込む CrowdStrike インジケーターの悪意のある信頼性レベルを選択します。空白のままにすると、悪意のある信頼性に関係なく、すべてのインジケーターが CrowdStrike からフェッチされます。
      取り込むインジケーターの対象業界 取り込む CrowdStrike インジケーターに関連付けられたターゲット業界を選択します。何も選択しない場合、ターゲット業界に関係なく、すべてのインジケーターが CrowdStrike からフェッチされます。
      関連付けられたアクターのフィルター
      アクターが関連付けられている場合にのみインジケーターをフェッチ アクターに関連付けられている場合にのみインジケーターをフェッチするには、このチェックボックスをオンにします。
      これらのアクターに関連付けられたインジケーターのみを取り込みます 取り込みのインジケーターに関連するアクター名をカンマで区切って指定します。指定しない場合、関連付けられているアクターに関係なく、すべてのインジケーターが CrowdStrike からフェッチされます。
      関連レポートのフィルター
      インジケーターが関連付けられている場合にのみインジケーターをフェッチ インジケーターがレポートに関連付けられている場合にのみフェッチするには、このチェックボックスをオンにします。
      これらのレポートに関連付けられたインジケーターのみを取り込む 取り込みのインジケーターに関連付けられたレポート名をカンマで区切って入力します。空白のままにすると、すべてのレポートが取り込みプロセスに含まれます。

      指定しない場合、関連するレポートに関係なく、すべてのインジケーターが CrowdStrike からフェッチされます。
      関連するマルウェアファミリのフィルター
      マルウェアファミリが関連付けられている場合にのみインジケーターをフェッチします マルウェアファミリに関連付けられている場合にのみインジケーターをフェッチするには、このチェックボックスをオンにします。
      これらのマルウェアファミリに関連付けられたインジケーターのみを取り込みます 取り込みのインジケーターに関連付けられたマルウェアファミリ名をカンマ区切り形式で入力します。空白のままにすると、すべてのマルウェアファミリが取り込みプロセスに含まれます。

      指定しない場合、マルウェアファミリに関係なく、すべてのインジケーターが CrowdStrike からフェッチされます。
      インジケーターの悪意のある信頼から TISC の信頼性へのマッピング
      注:
      [高]、[中]、および [低] の値は、 CrowdStrike から受信したソース値または悪意のある信頼度です。
      悪意のある信頼度が高いインジケーターの信頼値 (0 〜 100) を入力します。
      注:
      一致する悪意のある信頼マッピングが [追加の設定] で見つかった場合は、信頼性の値が手動で入力された場合でも、[ 詳細 ] セクションで指定された値が上書きされます。
      悪意がある信頼性が中程度のインジケーターの信頼値 (0 〜 100) を入力します。
      悪意がある信頼度が低いインジケーターの信頼値 (0 〜 100) を入力します。
      未検証 検証されていない悪意のある信頼度を持つインジケーターの信頼値 (0 〜 100) を入力します。
      注:
      上記で定義したのと同じ追加設定を使用して、新しいフィードを作成するときにフィードを複製できます。
    10. [追加設定] ダイアログ ボックスの [更新] をクリックして、変更した追加設定を保存します。
    11. [ 有効にする ] をクリックして、フィード CrowdStrike 取り込みを有効にします。
      注:
      プレミアムフィードは、構成中に解析される応答を除き、他のフィードと同じです。特定の応答は、クライアント ID とクライアントシークレットを追加することによって解析されて CrowdStrike されます。
      CrowdStrikeからフェッチされるデータのタイプ:
      1. 構成された取り込み時間の後に更新され、追加設定の一部として構成されたフィルターに一致する CrowdStrike のインジケーター。CrowdStrikeからのこれらのインジケーターは、TISCで観測事象にマッピングされます。TISCに取り込まれるインジケータータイプは次のとおりです。
        • SHA256 ハッシュ
        • MD5 ハッシュ
        • SHA1 ハッシュ
        • URL
        • ドメイン
        • IP アドレス
        • ミューテックス名
        • ファイル名
        • メールアドレス
        • ユーザー名
        • IP アドレスブロック
      2. 設定された取り込み時間の後に更新された CrowdStrike の攻撃者が、 TISCで攻撃者にマッピングされます。
      3. 構成された取り込み時間の後に更新された CrowdStrike からのレポートは、一致する属性に基づいて TISC で脅威レポートにマッピングされます。
      4. 上記のエンティティに加えて、次の関連データもフェッチされます。
        1. 以前に取り込まれたインジケーターに関連する攻撃者、レポート、およびインジケーター。
        2. 現在の取り込みプロセス中に取り込まれたすべてのレポートに関連付けられた攻撃者とインジケーター。
        注:
        [追加設定] で構成されたフィルターは、以前に取り込んだインジケーター、レポート、またはアクターに関連付けられたインジケーターを取り込むときにも適用されます。
    12. オプション: [ 複製] をクリックしてフィードを複製します。
      詳細については、「脅威インテリジェンスフィードの複製」を参照してください。