Exibir Feed de ameaças premium para CrowdStrike

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • O feed do CrowdStrike permite que os usuários ingerem indicadores, atores, relatórios e seu contexto associado do feed CrowdStrike Falcon Intelligence no TISC.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças > Integrações.
    2. Selecione Personalizado .
    3. Clique em Editar botão do CrowdStrikeFeed página de formulário.
      Nota:
      Por padrão, o feed do CrowdStrike está desabilitado, você deve editar as configurações para habilitar o feed.
      Feed CrowdStrike-Premium
    4. Detalhar até Detalhes da configuração seção.
    5. Insira ID do cliente e Segredo do cliente .
      Nota:
      1. Caso não os tenha, você deve gerar o ID do cliente e o segredo do cliente. Para obter mais informações sobre o ID do cliente e o segredo do cliente, consulte Definir seu primeiro cliente de API seção.
      2. Obter ID do cliente e segredo do cliente de CrowdStrikepara escopos necessários. Abaixo estão os escopos necessários para o ID do cliente e o segredo do cliente de CrowdStrike:
        • Indicadores (Falcon Intelligence)
        • Agentes (Falcon Intelligence)
        • Relatórios (Falcon Intelligence)
    6. Navegue até Configurações adicionais para configurar os filtros que serão aplicados ao ingerir indicadores de CrowdStrike.

      Guia de configurações adicionais do CrowdStrike

      . Configurações adicionais a guia é usada principalmente para configurar os filtros que controlam como os dados são ingeridos na aplicação.

      Esses filtros permitem personalizar o processo de integração de dados para atender aos seus requisitos específicos, garantindo que somente as informações mais relevantes sejam incluídas.

    7. Clique em Editar configurações .

      Guia de configurações adicionais do CrowdStrike - Editar

    8. Selecione os filtros necessários.
      Nota:
      Todos os filtros configurados serão aplicados em conjunto ao ingerir indicadores de CrowdStrike.
      A seção abaixo fornece uma explicação detalhada de cada opção disponível. Revise cada opção na tabela a seguir para entender como os filtros podem ser aplicados para otimizar os dados ingeridos na aplicação.
    9. Selecione os valores necessários nos filtros disponíveis abaixo.
      Tabela 1. Editar configurações adicionais
      Campo Descrição
      Tipos de registro a serem incluídos
      Selecione os tipos de registro para ingerir Selecione os tipos de registro que você deseja ingerir. Os tipos de registro disponíveis são Indicadores, Relatórios e Atores.
      Nota:

      Se você selecionar Somente Indicadores Como o tipo de registro a ser incluído, os Relatórios e Atores relacionados associados a esses indicadores não serão ingeridos automaticamente.

      Para ingerir os Relatórios e Atores relacionados, você deve selecionar todos os três tipos de registro: Indicadores, Relatórios e Atores.
      Filtros nos atributos do indicador
      Incluir indicadores excluídos para ingestão Marque esta caixa de seleção para permitir a ingestão de indicadores que foram excluídos.
      Nota:
      Indicadores excluídos serão criados como observáveis somente se tiverem sido ingeridos anteriormente. . Excluído no CrowdStrike o marcador é adicionado aos indicadores que são removidos de CrowdStrike.
      Tipos de indicador a serem incluídos Selecione o específico CrowdStrike tipos de indicador que você deseja ingerir. Se nenhum for selecionado, todos os indicadores disponíveis serão recuperados por padrão.
      Confiança mal-intencionada dos indicadores para ingerir Selecione o nível de confiança mal-intencionado de CrowdStrike indicadores a serem incluídos. Se deixado em branco, todos os indicadores serão obtidos de CrowdStrike independentemente de sua confiança maliciosa.
      Setores direcionados de indicadores a ingerir Selecione os setores de destino associados a. CrowdStrike indicadores a serem incluídos. Se nenhum for selecionado, todos os indicadores serão obtidos de CrowdStrike independentemente do setor de destino.
      Filtros nos atores associados
      Busque indicadores somente se os atores estiverem associados a ele Marque esta caixa de seleção para buscar indicadores somente se eles estiverem associados a atores.
      Indicadores de ingestão associados somente a esses atores Especifique nomes de atores separados por vírgulas relacionados aos indicadores para ingestão. Se não for fornecido, todos os indicadores serão obtidos de CrowdStrike independentemente dos atores associados.
      Filtros nos relatórios associados
      Buscar indicadores somente se houver relatórios associados a ele Marque esta caixa de seleção para buscar indicadores somente se eles estiverem associados a relatórios.
      Indicadores de ingestão associados somente a esses relatórios Insira nomes de relatório separados por vírgulas associados aos indicadores para ingestão. Se deixado em branco, todos os relatórios serão incluídos no processo de ingestão.

      Se não for fornecido, todos os indicadores serão obtidos de CrowdStrike independentemente dos relatórios associados.
      Filtros nas famílias de malware associadas
      Busque indicadores somente se famílias de malware associadas a ele Marque esta caixa de seleção para buscar indicadores somente se eles estiverem associados a famílias de malware.
      Indicadores de ingestão associados somente a essas famílias de malware Insira nomes de famílias de malware separados por vírgulas associados aos indicadores de ingestão. Se deixado em branco, todas as famílias de malware serão incluídas no processo de ingestão.

      Se não for fornecido, todos os indicadores serão obtidos de CrowdStrike independentemente das famílias de malware.
      Mapeamento de confiança mal-intencionada do indicador para confiança do TISC
      Nota:
      Os valores Alto, Médio e Baixo são o valor de origem ou confiança mal-intencionada recebida de CrowdStrike.
      Alto(a) Insira um valor de confiança (0 a 100) para indicadores com alta confiança mal-intencionada.
      Nota:
      Se um mapeamento de confiança mal-intencionado correspondente for encontrado em Configurações adicionais . ele substituirá o valor fornecido em Detalhes mesmo se um valor de confiança for inserido manualmente.
      Médio Insira um valor de confiança (0 a 100) para indicadores com confiança mal-intencionada média.
      Baixo(a) Insira um valor de confiança (0 a 100) para indicadores com baixa confiança mal-intencionada.
      Não verificado Insira um valor de confiança (0 a 100) para indicadores com confiança mal-intencionada não verificada.
      Nota:
      Com as mesmas configurações adicionais definidas acima, você pode duplicar o feed ao criar um novo.
    10. Clique em Atualização em Configurações adicionais caixa de diálogo para salvar as configurações adicionais modificadas.
    11. Clique em Habilitar para habilitar CrowdStrike Feed para ingestão.
      Nota:
      O feed premium é o mesmo que outros feeds, exceto a resposta que é analisada durante a configuração. Uma resposta específica é analisada para CrowdStrike Adicionando o ID do cliente e o segredo do cliente.
      De que tipo de dados são obtidos CrowdStrike:
      1. Indicadores de CrowdStrike que são atualizados após o tempo de ingestão configurado e correspondem aos filtros configurados como parte das configurações adicionais. Esses indicadores de CrowdStrike em seguida, será mapeado para observáveis em TISC. Abaixo estão os tipos de indicador que são ingeridos em TISC:
        • Hash SHA256
        • Hash MD5
        • Hash SHA1
        • URL
        • Domínio
        • Endereço IP
        • Nome de mutex
        • Nome de arquivo
        • Endereço de E-mail
        • Nome do usuário
        • Bloco de endereços IP
      2. Agentes de ameaça de CrowdStrike Atualizados após o tempo de ingestão configurado serão mapeados para os agentes de ameaça em TISC.
      3. Relatórios de CrowdStrike atualizados após o tempo de ingestão configurado serão mapeados para relatórios de ameaças em TISC com base nos atributos correspondentes.
      4. Além das entidades mencionadas acima, os seguintes dados relacionados também são obtidos:
        1. Agentes de ameaça, relatórios e indicadores relacionados aos indicadores ingeridos anteriormente.
        2. Agentes de ameaça e indicadores associados a todos os relatórios ingeridos durante o processo de ingestão atual.
        Nota:
        Filtros configurados em Configurações adicionais também será aplicado ao ingerir os indicadores associados aos indicadores, relatórios ou atores ingeridos anteriormente.
    12. Opcional: Clique em Duplicado para duplicar o feed.
      Para obter mais informações, consulte Feeds de inteligência contra ameaças duplicados.