사용자 지정 CrowdStrike 피드 구성
이 피드를 CrowdStrike 통해 사용자는 Falcon Intelligence 피드TISC에서 CrowdStrike 표시기, 액터, 보고서 및 관련 컨텍스트를 수집할 수 있습니다.
시작하기 전에
필요한 역할: sn_sec_tisc.admin
프로시저
- 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터 > 통합.
- 사용자 지정을 선택합니다.
-
CrowdStrike 피드 양식 페이지에서 편집 버튼을 선택합니다.
주:기본적으로 CrowdStrike 피드를 사용할 수 없는 경우 피드를 사용하도록 구성을 편집해야 합니다.
- 구성 상세 정보 섹션으로 드릴다운합니다.
-
클라이언트 ID와 클라이언트 암호를 입력합니다.
주:
- 클라이언트 ID와 클라이언트 암호가 없는 경우 하나를 생성해야 합니다. 클라이언트 ID 및 클라이언트 암호를 가져오는 방법에 대한 자세한 내용은 첫 번째 API 클라이언트 정의 섹션을 참조하세요.
- 필요한 범위에 대한 클라이언트 ID 및 클라이언트 비밀을 CrowdStrike 가져옵니다. 다음은 다음에서 CrowdStrike클라이언트 ID 및 클라이언트 암호에 필요한 범위를 나열합니다.
- 표시기(Falcon 인텔리전스)
- 액터(Falcon Intelligence)
- 보고서(Falcon Intelligence)
-
추가 설정으로 이동하여 에서 표시기를 CrowdStrike수집하는 동안 적용될 필터를 구성합니다.
추가 설정 탭은 데이터를 애플리케이션에 수집하는 방법을 제어하는 필터를 구성하는 데 주로 사용됩니다.
이러한 필터를 사용하면 특정 요구 사항에 맞게 데이터 통합 프로세스를 사용자 지정하여 가장 관련성이 높은 정보만 포함되는지 확인할 수 있습니다.
-
설정 편집을 선택합니다.
-
필요한 필터를 선택합니다.
주:다음 섹션에서는 사용 가능한 각 옵션에 대해 자세히 설명합니다. 다음 테이블의 각 옵션을 검토하여 필터를 적용하여 애플리케이션에 수집된 데이터를 최적화하는 방법을 이해합니다.구성된 모든 필터는 에서 표시기를 CrowdStrike수집하는 동안 함께 적용됩니다.
-
다음과 같은 사용 가능한 필터에서 필요한 값을 선택합니다.
표 1. 추가 설정 편집 필드 설명 수집할 기록 유형 수집할 기록 유형 선택 수집할 기록 유형을 선택합니다. 사용 가능한 기록 유형은 표시기, 보고서 및 액터입니다. 주:수집할 기록 유형으로 표시기 만 선택하면 해당 표시기와 연결된 관련 보고서 및 액터가 자동으로 수집되지 않습니다.
관련 보고서 및 액터를 수집하려면 표시기, 보고서 및 액터의 세 가지 기록 유형을 모두 선택해야 합니다.
표시기 속성에 대한 필터 수집을 위해 삭제된 표시기 포함 삭제된 표시기의 수집을 사용하려면 이 확인란을 선택합니다. 주:삭제된 표시기는 이전에 수집된 경우에만 옵저버블로 생성됩니다. 에서 제거CrowdStrike된 CrowdStrike에서 삭제됨 태그가 추가됩니다.수집할 표시기 유형 수집할 특정 CrowdStrike 표시기 유형을 선택합니다. 아무 것도 선택하지 않으면 기본적으로 사용 가능한 모든 표시기가 검색됩니다. 수집할 표시기의 악성 신뢰도 수집할 표시기의 악성 신뢰도 수준을 CrowdStrike 선택합니다. 비워 두면 악성 신뢰도와 관계없이 모든 표시기를 가져옵니다 CrowdStrike . 수집할 표시기의 대상 산업 수집할 표시기와 CrowdStrike 연결된 대상 산업을 선택합니다. 아무 것도 선택하지 않으면 대상 산업에 관계없이 모든 표시기를 가져옵니다 CrowdStrike . 연결된 액터에 대한 필터 액터가 연결된 경우에만 표시기 가져오기 액터와 연결된 경우에만 표시기를 가져오려면 이 확인란을 선택합니다. 이러한 액터에만 연결된 수집 표시기 수집할 표시기와 관련된 쉼표로 구분된 액터 이름을 지정합니다. 제공되지 않은 경우 연결된 액터에 관계없이 모든 표시기를 가져옵니다 CrowdStrike . 연결된 보고서에 대한 필터 관련된 보고서인 경우에만 표시기 가져오기 보고서와 연결된 경우에만 표시기를 가져오려면 이 확인란을 선택합니다. 이 보고서에만 관련된 표시기 수집 수집할 표시기와 관련된 보고서 이름을 쉼표로 구분하여 입력합니다. 비워 두면 모든 보고서가 수집 프로세스에 포함됩니다. 제공되지 않은 경우 연결된 보고서에 관계없이 모든 표시기를 가져옵니다 CrowdStrike .
관련 맬웨어 제품군에 대한 필터 맬웨어 제품군이 연결된 경우에만 표시기 가져오기 맬웨어 제품군과 연결된 경우에만 표시기를 가져오려면 이 확인란을 선택합니다. 이러한 맬웨어 제품군에만 관련된 수집 표시기 수집 표시기와 연결된 맬웨어 제품군 이름을 쉼표로 구분하여 입력합니다. 비워 두면 모든 맬웨어 제품군이 수집 프로세스에 포함됩니다. 제공되지 않은 경우 맬웨어 제품군에 관계없이 모든 표시기를 가져옵니다 CrowdStrike .
TISC 신뢰도에 대한 악성 표시기 신뢰도 매핑 주:높음, 중간 및 낮음 값은 에서 받은 CrowdStrike소스 값 또는 악성 신뢰도입니다.높음 악성 신뢰도가 높은 표시기에 대한 신뢰도 값(0–100)을 입력합니다. 주:추가 설정에서 일치하는 악성 신뢰도 매핑이 발견되면 신뢰도 값을 수동으로 입력하더라도 상세 정보 섹션에 제공된 값이 재정의됩니다.보통 중간 악성 신뢰도를 가진 표시기에 대한 신뢰도 값(0–100)을 입력합니다. 낮음 악성 신뢰도가 낮은 표시기에 대한 신뢰도 값(0–100)을 입력합니다. 확인되지 않음 확인되지 않은 악성 신뢰도가 있는 표시기에 대한 신뢰도 값(0–100)을 입력합니다. 주:위에 정의된 것과 동일한 추가 설정을 사용하여 피드를 만들 때 피드를 복제할 수 있습니다. - 추가 설정 대화 상자에서 업데이트를 선택하여 수정된 추가 설정을 저장합니다.
-
피드를 수집하려면 CrowdStrike사용을 선택합니다.
주:프리미엄 피드는 구성 중에 구문 분석되는 응답을 제외하고 다른 피드와 동일합니다. 클라이언트 ID와 클라이언트 암호를 추가하여 특정 응답을 구문 분석합니다 CrowdStrike .다음에서 CrowdStrike가져오는 데이터 유형:
- 구성된 수집 시간 후에 업데이트되고 추가 설정의 일부로 구성된 필터와 일치하는 표시기 CrowdStrike 입니다. 그런 다음 의 이러한 CrowdStrike 표시기는 의 옵저버블 TISC에 매핑됩니다. 다음에서 TISC수집되는 표시기 유형은 다음과 같습니다.
- SHA256 해시
- MD5 해시
- SHA1 해시
- URL
- 도메인
- IP 주소
- 뮤텍스 이름
- 파일 이름
- 이메일 주소
- 사용자 이름
- IP 주소 차단
- 구성된 수집 시간 이후에 업데이트되는 위협 액터는 의 위협 액 CrowdStrike 터 TISC에 매핑됩니다.
- 구성된 수집 시간 이후에 업데이트되는 보고서 CrowdStrike 는 일치하는 속성에 따라 위협 보고서 TISC 에 매핑됩니다.
- 위에서 언급한 엔터티 외에도 다음과 같은 관련 데이터도 가져옵니다.
- 이전에 수집된 표시기와 관련된 위협 액터, 보고서 및 표시기입니다.
- 현재 수집 프로세스 중에 수집된 모든 보고서와 연결된 위협 액터 및 표시기입니다.
주:이전에 수집된 표시기, 보고서 또는 액터와 연결된 표시기를 수집할 때 추가 설정 섹션에서 설정된 필터를 적용할 수도 있습니다.
- 구성된 수집 시간 후에 업데이트되고 추가 설정의 일부로 구성된 필터와 일치하는 표시기 CrowdStrike 입니다. 그런 다음 의 이러한 CrowdStrike 표시기는 의 옵저버블 TISC에 매핑됩니다. 다음에서 TISC수집되는 표시기 유형은 다음과 같습니다.
- 옵션:
피드를 복제하려면 복제 를 선택합니다.
자세한 내용은 위협 인텔리전스 피드 복제 문서를 참조하십시오.