Configurer l’intégration EDR Crowdstrike Falcon

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Avant de pouvoir utiliser l’intégration CrowdStrike EDR Falcon, vous devez la télécharger à partir de la ServiceNow Store boutique et y ajouter l’ID client et le secret client appropriés.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin
    • L’application Centre de sécurité des renseignements sur les menaces doit être installée et activée.
    • Obtenez l’ID du client API et le secret du client API à partir de CrowdStrike la console Falcon.
    • Dans les champs d’application de l’API CrowdStrike du portail Falcon, activez l’accès en lecture et en écriture à la gestion IOC.

    Procédure

    1. À l’aide de votre instance, accédez au Centre de sécurité des renseignements sur les menaces.
    2. Télécharger l’intégration à partir de ServiceNow Store.
    3. Sélectionner Intégrations > Outils de Security > EDR.
    4. Cliquez sur Configurer le nouvel outil de sécurité pour configurer CrowdStrike l’intégration EDR Falcon.
    5. Sélectionnez l’option EDR CrowdStrike Falcon .
    6. Renseignez les champs du formulaire Configurer le nouvel outil de Security.
      Tableau 1. Créer une intégration de l'enrichissement
      Champ Description
      Nom Entrez un nom pour la nouvelle intégration de l’outil de Security. Par exemple, CrowdStrike Falcon EDR.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont renseignés par défaut. Par exemple, CrowdStrike Falcon EDR.
      Description Saisissez la description de la nouvelle intégration de l’outil de Security.
      Type d'intégration Option qui affiche le type d’intégration.
      Catégorie d'intégration Option qui affiche la catégorie d’intégration.
      Configuration de l’intégration
      URL de base L’URL de base est l’URL de base de l’API CrowdStrike. La valeur par défaut est https://api.crowdstrike.com. Pour plus d'informations, voir https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis#k9578c40
      ID client ID client que vous avez obtenu auprès de CrowdStrike. Pour plus d'informations, consultez https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis.
      Secret client Clé secrète du client que vous avez obtenue auprès de CrowdStrike. Pour plus d'informations, consultez https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis.
      Période d’expiration en jours pour tout type d’observables Période d’expiration, en jours, qui est appliquée à tout type d’observable lorsqu’ils sont envoyés à CrowdStrike EDR.
      Remarque :
      Cette option est une période d’expiration de secours lorsque le délai d’expiration n’est défini pour aucun type d’observable spécifique.
      Délai d’expiration de l’observable IP La période d’expiration en jours qui est appliquée au type d’adresse IP de l’observable lorsqu’il est envoyé à CrowdStrike EDR.
      Délai d’expiration de l’observable du domaine La période d’expiration, en jours, qui est appliquée au type de domaine des observables lorsqu’ils sont envoyés à CrowdStrike EDR.
      Délai d’expiration de l’observable de hachage Période d’expiration, en jours, qui est appliquée au type de hachage de l’observable lorsqu’il est envoyé à CrowdStrike EDR.
    7. Cliquez sur Enregistrer.
      Les détails de l’intégration sont validés et, par défaut, l’état de l’intégration CrowdStrike EDR est désactivé.
    8. Cliquez sur Activer pour activer l’intégration CrowdStrike EDR.
      Remarque :
      Plusieurs configurations sont autorisées pour CrowdStrike l’intégration de Falcon EDR.