CrowdStrike용 프리미엄 위협 피드 보기
CrowdStrike 피드를 사용하면 사용자가 CrowdStrike Falcon Intelligence 피드 TISC에서 표시기, 행위자, 보고서 및 관련 컨텍스트를 .
시작하기 전에
필요한 역할: sn_sec_tisc.admin
프로시저
- 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터 > 통합.
- 사용자 지정을 선택합니다.
-
CrowdStrike 피드 양식 페이지에서 편집 버튼을 클릭합니다.
주:기본적으로 CrowdStrike 피드는 사용되지 않습니다. 피드를 사용하려면 구성을 편집해야 합니다.
- 구성 상세 정보 섹션으로 드릴다운합니다.
-
클라이언트 ID 및 클라이언트 비밀을 입력합니다.
주:
- 클라이언트 ID와 클라이언트 암호가 없는 경우 이를 생성해야 합니다. 클라이언트 ID 및 클라이언트 암호에 대한 자세한 내용은 첫 번째 API 클라이언트 정의 섹션을 참조하세요.
- 필요한 범위에 대해 클라이언트 ID 및 클라이언트 비밀 CrowdStrike 을 가져옵니다. 다음의 CrowdStrike클라이언트 ID 및 클라이언트 암호에 필요한 범위는 다음과 같습니다.
- 지표(Falcon intelligence)
- 배우(Falcon Intelligence)
- 보고서(Falcon Intelligence)
-
추가 설정으로 이동하여 에서 CrowdStrike표시기를 수집하는 동안 적용될 필터를 구성합니다.
추가 설정 탭은 주로 애플리케이션에 데이터를 수집하는 방법을 제어하는 필터를 구성하는 데 사용됩니다.
이러한 필터를 사용하면 특정 요구 사항에 맞게 데이터 통합 프로세스를 사용자 지정하여 가장 관련성이 높은 정보만 포함되도록 할 수 있습니다.
-
설정 편집을 클릭합니다.
-
필요한 필터를 선택합니다.
주:아래 섹션에서는 사용 가능한 각 옵션에 대한 자세한 설명을 제공합니다. 다음 표의 각 옵션을 검토하여 필터를 적용하여 애플리케이션에 수집된 데이터를 최적화하는 방법을 이해합니다.구성된 모든 필터는 에서 CrowdStrike표시기를 수집하는 동안 함께 적용됩니다.
-
아래에서 사용 가능한 필터에서 필요한 값을 선택하십시오.
표 1. 추가 설정 편집 필드 설명 수집할 기록 유형 수집할 기록 유형 선택 수집할 기록 유형을 선택합니다. 사용 가능한 기록 유형은 표시기, 보고서 및 행위자입니다. 주:수집할 기록 유형으로 표시기 만 선택하면 해당 표시기와 연결된 관련 보고서 및 액터가 자동으로 수집되지 않습니다.
관련 보고서 및 행위자를 수집하려면 세 가지 기록 유형(표시기, 보고서 및 행위자)을 모두 선택해야 합니다.
표시기 속성에 대한 필터 수집에 대한 삭제된 표시기 포함 삭제된 표시기를 수집할 수 있도록 하려면 이 확인란을 선택합니다. 주:삭제된 표시기는 이전에 수집된 경우에만 옵저버블로 생성됩니다. CrowdStrike에서 삭제된 태그가 에서 제거된 CrowdStrike표시기에 추가됩니다.수집할 표시기 유형 수집할 특정 CrowdStrike 표시기 유형을 선택합니다. 아무 것도 선택하지 않으면 기본적으로 사용 가능한 모든 표시기가 검색됩니다. 수집할 표시기의 악의적인 신뢰도 수집할 표시기의 CrowdStrike 악성 신뢰도 수준을 선택합니다. 비워 두면 악의적인 신뢰도에 관계없이 모든 지표를 가져옵니다 CrowdStrike . 수집할 표시기의 대상 산업 수집할 표시기와 CrowdStrike 연결된 대상 산업을 선택합니다. 아무 것도 선택하지 않으면 대상 산업에 관계없이 모든 표시기를 가져옵니다 CrowdStrike . 관련된 액터에 대한 필터 액터가 연결된 경우에만 표시기 가져오기 표시기가 액터와 연결된 경우에만 가져오려면 이 확인란을 선택합니다. 이 액터에만 연결된 표시기 수집 수집 표시기와 관련된 쉼표로 구분된 액터 이름을 지정합니다. 제공되지 않은 경우 연결된 액터에 관계없이 모든 표시기를 가져옵니다 CrowdStrike . 관련된 보고서의 필터 보고서가 관련된 경우에만 표시기 가져오기 보고서와 연결된 경우에만 표시기를 가져오려면 이 확인란을 선택합니다. 이 보고서에만 연결된 표시기 수집 수집 표시기와 관련된 보고서 이름을 쉼표로 구분하여 입력합니다. 비워 두면 모든 보고서가 수집 프로세스에 포함됩니다. 제공되지 않은 경우 연결된 보고서와 관계없이 모든 표시기를 가져옵니다 CrowdStrike .
연결된 맬웨어 제품군에 대한 필터 맬웨어 제품군이 연결된 경우에만 표시기 가져오기 맬웨어 제품군과 연결된 경우에만 표시기를 가져오려면 이 확인란을 선택합니다. 이러한 맬웨어 제품군에만 연결된 표시기 수집 수집 표시기와 연결된 맬웨어 제품군 이름을 쉼표로 구분하여 입력합니다. 비워 두면 모든 맬웨어 제품군이 수집 프로세스에 포함됩니다. 제공되지 않은 경우 맬웨어 제품군에 관계없이 모든 표시기를 가져옵니다 CrowdStrike .
표시기 악의적인 신뢰도를 TISC 신뢰도에 매핑 주:높음, 중간 및 낮음 값은 에서 받은 CrowdStrike소스 값 또는 악의적인 신뢰도입니다.높음 악의적인 신뢰도가 높은 표시기의 신뢰도 값(0–100)을 입력합니다. 주:추가 설정에서 일치하는 악의적인 신뢰도 매핑이 발견되면 신뢰도 값을 수동으로 입력하더라도 상세 정보 섹션에 제공된 값을 재정의합니다.중간 악의적인 신뢰도가 중간인 표시기의 신뢰도 값(0–100)을 입력합니다. 낮음 악의적인 신뢰도가 낮은 표시기의 신뢰도 값(0–100)을 입력합니다. 확인되지 않음 확인되지 않은 악의적인 신뢰도가 있는 표시기의 신뢰도 값(0–100)을 입력합니다. 주:위에서 정의한 것과 동일한 추가 설정을 사용하여 새 피드를 만들 때 피드를 복제할 수 있습니다. - 추가 설정 대화 상자에서 업데이트를 클릭하여 수정된 추가 설정을 저장합니다.
-
활성화를 클릭하여 수집을 위한 피드를 활성화합니다CrowdStrike.
주:프리미엄 피드는 구성 중에 구문 분석되는 응답을 제외하고 다른 피드와 동일합니다. 특정 응답은 클라이언트 ID 및 클라이언트 비밀을 추가하여 구문 분석 CrowdStrike 됩니다.에서 가져오는 CrowdStrike데이터 유형:
- 그 표시기 CrowdStrike 는 구성된 수집 시간 후에 업데이트되고 추가 설정의 일부로 구성된 필터와 일치합니다. 그런 다음 이러한 CrowdStrike 표시기는 의 옵저버블 TISC에 매핑됩니다. 다음에서 수집되는 표시기 유형은 다음과 같습니다.TISC
- SHA256 해시
- MD5 해시
- SHA1 해시
- URL
- 도메인
- IP 주소
- 뮤텍스 이름
- 파일 이름
- 이메일 주소
- 사용자 이름
- IP 주소 차단
- 구성된 수집 시간 이후에 업데이트되는 위협 액터 CrowdStrike 는 의 TISC위협 액터에 매핑됩니다.
- CrowdStrike 구성된 수집 시간 이후에 업데이트되는 보고서는 일치하는 속성에 따라 위협 TISC 보고서에 매핑됩니다.
- 위에서 언급한 엔터티 외에도 다음과 같은 관련 데이터도 가져옵니다.
- 이전에 수집된 표시기와 관련된 위협 액터, 보고서 및 표시기입니다.
- 현재 수집 프로세스 중에 수집된 모든 보고서와 연결된 위협 액터 및 표시기입니다.
주:추가 설정에 구성된 필터는 이전에 수집된 표시기, 보고서 또는 액터와 연결된 표시기를 수집할 때도 적용됩니다.
- 그 표시기 CrowdStrike 는 구성된 수집 시간 후에 업데이트되고 추가 설정의 일부로 구성된 필터와 일치합니다. 그런 다음 이러한 CrowdStrike 표시기는 의 옵저버블 TISC에 매핑됩니다. 다음에서 수집되는 표시기 유형은 다음과 같습니다.TISC
- 옵션:
복제를 클릭하여 피드를 복제합니다.
자세한 내용은 중복 위협 인텔리전스 피드 문서를 참조하십시오.