Konfigurieren Sie die CrowdStrike Falcon EDR-Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Bevor Sie verwenden können CrowdStrikeFalcon EDR-Integration, Sie müssen sie von herunterladen ServiceNow StoreSpeichern und fügen Sie die entsprechende Client-ID und das geheime Clientgeheimnis hinzu.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin
    • Die Anwendung „Threat Intelligence Security Center“ muss installiert und aktiviert sein.
    • Rufen Sie die API-Client-ID und den API-Clientschlüssel ab CrowdStrikeFalcon-Konsole.
    • In CrowdStrikeFalcon-Portal-API-Bereiche, aktivieren Sie IOC-Verwaltung: Lese- und Schreibzugriff .

    Prozedur

    1. Greifen Sie mithilfe Ihrer Instanz auf zu Threat Intelligence-Sicherheitszentrum .
    2. Laden Sie die Integration von herunter ServiceNow Storean.
    3. Auswählen Integrationen > Sicherheitstools > EDRan.
    4. Klicken Sie Auf Konfigurieren Sie Das Neue Sicherheitstool Zum Konfigurieren CrowdStrikeFalcon EDR-Integration.
    5. Wählen Sie Aus CrowdStrike Falcon EDR Option.
    6. Füllen Sie die Felder im Formular „Neues Sicherheitstool konfigurieren“ aus.
      Tabelle : 1. Neue Ergänzungsintegration erstellen
      Feld Beschreibung
      Name Geben Sie einen Namen für die Integration des neuen Sicherheitstools ein. Beispiel: CrowdStrikeFalcon EDR.
      Lieferantenname Name des Lieferanten. Die Details des ausgewählten Lieferanten werden standardmäßig ausgefüllt. Beispiel: CrowdStrikeFalcon EDR.
      Beschreibung Geben Sie die Beschreibung für die neue Sicherheitstool-Integration ein.
      Integrationstyp Option, die den Integrationstyp anzeigt.
      Integrationskategorie Option, die die Integrationskategorie anzeigt.
      Integrationskonfiguration
      Basis-URL Die Basis-URL ist die Basis-URL der CrowdStrike-API. Der Standardwert ist https://api.crowdstrike.com. Weitere Informationen finden Sie unter https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis#k9578c40
      Client-ID Die Client-ID, die Sie von erhalten haben CrowdStrike. Weitere Informationen finden Sie unter https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis.
      Geheimer Clientschlüssel Der geheime Clientschlüssel, von dem Sie abgerufen haben CrowdStrike. Weitere Informationen finden Sie unter https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis.
      Ablaufzeitraum in Tagen für jede Art von erkennbaren Elementen Der Ablaufzeitraum in Tagen, der für eine beliebige Art von erkennbaren Elementen angewendet wird, wenn sie an gesendet werden CrowdStrikeEDR.
      Hinweis:
      Diese Option ist ein Ablaufzeitraum für Rückfälle, wenn die Ablaufzeit für keinen bestimmten erkennbaren Typ festgelegt ist.
      Ablaufzeit des erkennbaren IP-Elements Der Ablaufzeitraum in Tagen, der für den IP-Typ des erkennbaren Elements angewendet wird, wenn sie an gesendet werden CrowdStrikeEDR.
      Ablaufzeit Des Erkennbaren Domänenelements Der Ablaufzeitraum in Tagen, der für den Domänentyp des erkennbaren Elements angewendet wird, wenn sie an gesendet werden CrowdStrikeEDR.
      Ablaufzeit Des Erkennbaren Hash-Elements Der Ablaufzeitraum in Tagen, der für den Hash-Typ des erkennbaren Elements angewendet wird, wenn sie an gesendet werden CrowdStrikeEDR.
    7. Klicken Sie auf Speichern.
      Die Integrationsdetails werden validiert, und standardmäßig die CrowdStrikeDer Status der EDR-Integration ist deaktiviert.
    8. Klicken Sie Auf Aktivieren Zum Aktivieren von CrowdStrikeEDR-Integration.
      Hinweis:
      Mehrere Konfigurationen sind für zulässig CrowdStrikeFalcon EDR-Integration.