Afficher le flux de menaces Premium pour CrowdStrike

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 6 minutes de lecture

    • Le flux CrowdStrike permet aux utilisateurs d’ingérer des indicateurs, des acteurs, des rapports et leur contexte associé à partir du flux CrowdStrike Falcon Intelligence vers TISC.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Intégrations.
    2. Sélectionnez Personnalisé.
    3. Cliquez sur le bouton Modifier dans la page CrowdStrike du formulaire Flux .
      Remarque :
      Par défaut, le flux CrowdStrike est désactivé, vous devez modifier les configurations pour activer le flux.
      Flux CrowdStrike-Premium
    4. Explorez jusqu’à la section Détails de la configuration .
    5. Saisissez l’ID et le secret client.
      Remarque :
      1. Vous devez générer votre ID client et votre secret client au cas où vous ne les auriez pas. Pour plus d’informations sur l’ID client et le secret client, consultez la section Définir votre premier client API .
      2. Obtenir l’ID client et le secret client pour CrowdStrike les champs d’application requis. Vous trouverez ci-dessous les champs d’application requis pour l’ID client et le secret client de CrowdStrike:
        • Indicateurs (Falcon intelligence)
        • Acteurs (Falcon Intelligence)
        • Rapports (Falcon Intelligence)
    6. Naviguez vers Paramètres supplémentaires pour configurer les filtres qui seront appliqués lors de l’ingestion d’indicateurs à partir de CrowdStrike.

      Onglet Paramètres supplémentaires CrowdStrike

      L’onglet Paramètres supplémentaires est principalement utilisé pour configurer les filtres qui contrôlent la façon dont les données sont ingérées dans l’application.

      Ces filtres vous permettent de personnaliser le processus d’intégration des données pour répondre à vos besoins spécifiques, en veillant à ce que seules les informations les plus pertinentes soient incluses.

    7. Cliquez sur Modifier les paramètres.

      Onglet des paramètres supplémentaires de CrowdStrike - Modifier

    8. Sélectionnez les filtres requis.
      Remarque :
      Tous les filtres configurés seront appliqués conjointement lors de l’ingestion d’indicateurs à partir de CrowdStrike.
      La section ci-dessous fournit une explication détaillée de chaque option disponible. Passez en revue chaque option dans le tableau suivant pour comprendre comment les filtres peuvent être appliqués pour optimiser les données ingérées dans l’application.
    9. Sélectionnez les valeurs requises dans les filtres disponibles ci-dessous.
      Tableau 1. Modifier les paramètres supplémentaires
      Champ Description
      Types d’enregistrements à ingérer
      Sélectionner les types d’enregistrement à ingérer Sélectionnez les types d’enregistrements que vous souhaitez ingérer. Les types d’enregistrement disponibles sont Indicateurs, Rapports et Acteurs.
      Remarque :

      Si vous sélectionnez uniquement les indicateurs comme type d’enregistrement à ingérer, les rapports connexes et les acteurs associés à ces indicateurs ne seront pas ingérés automatiquement.

      Pour ingérer les rapports et acteurs connexes, vous devez sélectionner les trois types d’enregistrements : Indicateurs, Rapports et Acteurs.
      Filtres sur les attributs d’indicateur
      Inclure les indicateurs supprimés pour l’ingestion Cochez cette case pour autoriser l’ingestion des indicateurs qui ont été supprimés.
      Remarque :
      Les indicateurs supprimés ne seront créés en tant qu’observables que s’ils ont été précédemment ingérés. Une balise Supprimé dans CrowdStrike est ajoutée aux indicateurs qui sont supprimés de CrowdStrike.
      Types d’indicateurs à ingérer Sélectionnez les types d’indicateurs spécifiques CrowdStrike que vous souhaitez ingérer. Si aucun n’est sélectionné, tous les indicateurs disponibles sont récupérés par défaut.
      Confiance malveillante des indicateurs à ingérer Sélectionnez le niveau de confiance malveillante des CrowdStrike indicateurs à ingérer. Si ce champ est laissé vide, tous les indicateurs sont extraits CrowdStrike , quelle que soit leur confiance malveillante.
      Secteurs ciblés des indicateurs à ingérer Sélectionnez les secteurs ciblés associés CrowdStrike aux indicateurs à ingérer. Si aucun n’est sélectionné, tous les indicateurs sont extraits CrowdStrike , quel que soit le secteur ciblé.
      Filtres sur les acteurs associés
      Extraire les indicateurs uniquement si des acteurs y sont associés Cochez cette case pour extraire des indicateurs uniquement s’ils sont associés à des acteurs.
      Indicateurs d’ingestion associés uniquement à ces acteurs Spécifiez des noms d’acteurs séparés par des virgules liés aux indicateurs pour l’ingestion. S’ils ne sont pas fournis, tous les indicateurs sont récupérés, CrowdStrike quels que soient les acteurs associés.
      Filtres sur les rapports associés
      Extraire les indicateurs uniquement si des rapports leur sont associés Cochez cette case pour extraire des indicateurs uniquement s’ils sont associés à des rapports.
      Ingérer les indicateurs uniquement associés à ces rapports Saisissez les noms des rapports séparés par des virgules associés aux indicateurs pour l’ingestion. Si ce champ est laissé vide, tous les rapports seront inclus dans le processus d’ingestion.

      Si ce n’est pas fourni, tous les indicateurs sont extraits CrowdStrike , quels que soient les rapports associés.
      Filtres sur les familles de programmes malveillants associées
      Extraire les indicateurs uniquement si des familles de programmes malveillants y sont associées Cochez cette case pour extraire les indicateurs uniquement s’ils sont associés à des familles de programmes malveillants.
      Indicateurs d’ingestion uniquement associés à ces familles de programmes malveillants Entrez des noms de familles de programmes malveillants séparés par des virgules associés aux indicateurs pour l’ingestion. Si ce champ est laissé vide, toutes les familles de programmes malveillants seront incluses dans le processus d’ingestion.

      S’ils ne sont pas fournis, tous les indicateurs sont récupérés, quelle que soit la famille de CrowdStrike programmes malveillants.
      Mappage de la confiance malveillante d’indicateur à la confiance TISC
      Remarque :
      Les valeurs Élevé, Moyen et Faible correspondent à la valeur source de la confiance malveillante reçue de CrowdStrike.
      Élevé Entrez une valeur de confiance (0-100) pour les indicateurs avec un score de confiance malveillant élevé.
      Remarque :
      Si un mappage de fiabilité malveillante correspondant est trouvé dans les paramètres supplémentaires, il remplacera la valeur fournie dans la section Détails même si une valeur de confiance est saisie manuellement.
      Moyen Entrez une valeur de confiance (0-100) pour les indicateurs avec une confiance malveillante moyenne.
      Faible Entrez une valeur de confiance (0 à 100) pour les indicateurs dont le score de confiance malveillant est faible.
      Non vérifié Saisissez une valeur de confiance (0-100) pour les indicateurs dont la fiabilité malveillante n’est pas vérifiée.
      Remarque :
      Avec les mêmes paramètres supplémentaires que ceux définis ci-dessus, vous pouvez dupliquer le flux lors de la création d’un nouveau flux.
    10. Cliquez sur Mettre à jour dans la boîte de dialogue Paramètres supplémentaires pour enregistrer les paramètres supplémentaires modifiés.
    11. Cliquez sur Activer pour activer CrowdStrike le flux pour l’ingestion.
      Remarque :
      Le flux Premium est identique aux autres flux, à l’exception de la réponse qui est analysée lors de la configuration. Une réponse spécifique est analysée CrowdStrike en ajoutant l’ID client et le secret client.
      À partir de quel type de données sont extraites :CrowdStrike
      1. Les indicateurs qui sont mis à jour après l’heure d’ingestion CrowdStrike configurée et qui correspondent aux filtres configurés dans le cadre des paramètres supplémentaires. Ces indicateurs seront CrowdStrike ensuite mappés aux observables dans TISC. Voici les types d’indicateurs qui sont ingérés dans TISC:
        • Hachage SHA256
        • Hachage MD5
        • Hachage SHA1
        • URL
        • Domaine
        • Adresse IP
        • Nom Mutex
        • Nom du fichier
        • Adresse e-mail
        • Nom d'utilisateur
        • Bloc d'adresses IP
      2. Les acteurs de menace qui sont mis à jour après le délai d’ingestion configuré sont mappés aux acteurs de CrowdStrike menace dans TISC.
      3. Les rapports mis à jour après le délai d’ingestion configuré sont mappés aux rapports sur CrowdStrike les menaces en TISC fonction des attributs correspondants.
      4. En plus des entités mentionnées ci-dessus, les données connexes suivantes sont également extraites :
        1. Acteurs de menace, rapports et indicateurs associés aux indicateurs précédemment ingérés.
        2. Acteurs de menace et indicateurs associés à tous les rapports ingérés au cours du processus d’ingestion actuel.
        Remarque :
        Les filtres configurés dans Paramètres supplémentaires seront également appliqués lors de l’ingestion des indicateurs associés aux indicateurs, rapports ou acteurs précédemment ingérés.
    12. Facultatif : Cliquez sur Dupliquer pour dupliquer le flux.
      Pour plus d'informations, consultez Dupliquer les flux Threat Intelligence.