Crowdstrike Falcon EDR 통합 구성
Falcon EDR 통합을 사용하려면 CrowdStrike 먼저 스토어에서 다운로드하여 ServiceNow Store 적절한 클라이언트 ID 및 클라이언트 비밀을 추가해야 합니다.
시작하기 전에
필요한 역할: sn_sec_tisc.admin
- 위협 인텔리전스 보안 센터 애플리케이션을 설치하고 활성화해야 합니다.
- Falcon 콘솔에서 API 클라이언트 ID 및 API 클라이언트 비밀 CrowdStrike 을 가져옵니다.
- CrowdStrike Falcon 포털 API 범위에서 IOC 관리: 읽기 및 쓰기 권한을 활성화합니다.
프로시저
- 인스턴스를 사용하여 Threat Intelligence Security Center에 액세스합니다.
- 에서 통합을 다운로드합니다. ServiceNow Store.
- 선택 통합 > 보안 도구 > EDR.
- 새 보안 도구 구성을 클릭하여 Falcon EDR 통합을 구성합니다CrowdStrike.
- CrowdStrike Falcon EDR 옵션을 선택합니다.
-
새 보안 도구 구성 양식의 필드에 내용을 입력합니다.
표 1. 새 보강 통합 작성 필드 설명 이름 새 보안 도구 통합의 이름을 입력합니다. 예를 들어 Falcon EDR입니다 CrowdStrike . 벤더 이름 벤더의 이름입니다. 선택한 벤더의 상세 정보가 기본적으로 채워집니다. 예를 들어 Falcon EDR입니다 CrowdStrike . 설명 새 보안 도구 통합에 대한 설명을 입력합니다. 통합 유형 통합 유형을 표시하는 옵션입니다. 통합 범주 통합 범주를 표시하는 옵션입니다. 통합 구성 기본 URL 기본 URL은 CrowdStrike API 기본 URL입니다. 기본값은 입니다 https://api.crowdstrike.com. 자세한 내용은 https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis#k9578c40 문서를 참조하십시오. 클라이언트 ID 에서 가져온 CrowdStrike클라이언트 ID입니다. 자세한 내용은 https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis 문서를 참조하십시오. 클라이언트 비밀 에서 CrowdStrike가져온 클라이언트 비밀 키입니다. 자세한 내용은 https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis 문서를 참조하십시오. 모든 유형의 옵저버블에 대한 만료 기간(일) EDR로 CrowdStrike 전송될 때 모든 유형의 옵저버블에 적용되는 만료 기간(일)입니다. 주:이 옵션은 만료 시간이 특정 옵저버블 유형에 대해 설정되지 않은 경우 만료 기간을 대체하는 것입니다.IP 옵저버블 만료 시간 옵저버블의 IP 유형이 EDR로 CrowdStrike 전송될 때 적용되는 만료 기간(일)입니다. 도메인 옵저버블 만료 시간 옵저버블이 EDR로 CrowdStrike 전송될 때 옵저버블의 도메인 유형에 적용되는 만료 기간(일)입니다. 해시 옵저버블 만료 시간 옵저버블이 EDR로 CrowdStrike 전송될 때 옵저버블의 해시 유형에 적용되는 만료 기간(일)입니다. -
저장을 클릭합니다.
통합 상세 정보가 확인되고 기본적으로 EDR 통합의 CrowdStrike 상태가 비활성화됩니다.
-
EDR 통합을 활성화하려면 활성화를 CrowdStrike 클릭하십시오.
주:Falcon EDR 통합에는 CrowdStrike 여러 구성이 허용됩니다.