CrowdStrike Falcon Intelligence Integrationsübersicht

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • CrowdStrike Falcon IntelligenceBietet Cybersicherheits-Intelligence, die leicht in integriert werden kann Security Operations.

    Hinweis:
    Die Threat IntelligencePlugin ist erforderlich, um zu implementieren CrowdStrike Falcon IntelligenceIntegration.

    Bedrohungssuche – CrowdStrike Falcon IntelligenceFlows

    Die Bedrohungssuche – CrowdStrike Falcon IntelligenceFlow Designer führt eine Suche nach ausgewählten erkennbaren Elementen durch. Wenn die erkennbaren Elemente einen Typ haben, der von erkannt wird CrowdStrike Falcon Intelligence, Die erkennbaren Elemente werden auf Malware gescannt, und die Ergebnisse werden zurückgegeben.

    Dieser Flow wird durch ausgelöst Integration von Sicherheitsvorgängen: Fähigkeit zur BedrohungssucheWenn Sie ein oder mehrere erkennbare Elemente in einer Beobachtungsliste veröffentlichen und die Implementierung von CrowdStrike Falcon Intelligence ausgewählt ist. Nachdem sie veröffentlicht wurden, können die Beobachtungslisten in der CrowdStrike Falcon Host-Software angezeigt werden.

    Erforderliche Rolle: Administrator

    Bedrohungssuche: Subflow „CrowdStrike Falcon Intelligence“

    Informationen zu den von diesem Flow Designer verwendeten Aktivitäten finden Sie unter Integrations-Flows und Orchestration-Aktivitäten für allgemeine Sicherheitsvorgänge.

    Aktivieren und konfigurieren Sie CrowdStrike Falcon IntelligenceIntegration

    Mit der Integrationskonfigurationsfunktion können Sie Sicherheitsintegrationen von Drittparteien schnell aktivieren und einrichten, einschließlich CrowdStrike Falcon IntelligenceIntegration. Bevor Sie verwenden können CrowdStrike Falcon Intelligence, Sie müssen es von herunterladen ServiceNow StoreUnd fügen Sie den entsprechenden API-Schlüssel und die entsprechende ID hinzu.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    • Die Threat IntelligenceDas Plugin muss installiert und aktiviert werden, bevor Sie verwenden können CrowdStrike Falcon IntelligenceIntegration.
    • Rufen Sie die API-Client-ID und das API-Clientgeheimnis unter ab CrowdStrike Falcon IntelligenceProfil.
    • Wenn Sie ein Upgrade durchführen CrowdStrike Falcon IntelligenceIntegration aus einer vorherigen Version, dann müssen Sie die vorhandene Konfiguration löschen und eine neue Konfiguration einrichten. Die Integration unterstützt die OAUTH2-Authentifizierung. Für dieses Update müssen Sie eingeben API-Client-ID Und Geheimer API-Clientschlüssel Zum Authentifizieren und Abschließen der Konfiguration.
    • In CrowdStrike Falcon IntelligencePortal API-Umfänge , Aktivieren Sie Lesen Einstellung für Indikatoren (Falcon X) Oder IOCs (Kompromittierungsindikatoren) .

    Prozedur

    1. Laden Sie die Integration von herunter ServiceNow Storean.
    2. Navigieren Sie in Ihrer Instanz zu Security Operations > Integrationen > Integrationskonfigurationenan.
      Die verfügbaren Sicherheitsintegrationen werden als Reihe von Karten angezeigt.
    3. In CrowdStrike Falcon IntelligenceKarte, klicken Sie auf Konfigurieren .
    4. Füllen Sie im Formular die Felder aus, um die Konfiguration abzuschließen:
      Tabelle : 1. CrowdStrike Falcon Intelligence Konfiguration
      Feld Beschreibung
      Name

      Name der Integration, z. B. Demo-1 .
      API-Client-ID

      Die Client-ID, die Sie im Abschnitt „Einstellungen“ Ihres Account-Profils in abrufen CrowdStrike Falcon IntelligencePortal.
      API-Client-Geheimnis

      Der geheime Clientschlüssel, den Sie im Abschnitt „Einstellungen“ Ihres Account-Profils in abrufen CrowdStrike Falcon IntelligencePortal.
    5. Klicken Sie auf Absenden.

    Ergebnisse

    Nach der Konfiguration CrowdStrike Falcon IntelligenceKann zum Durchführen von Suchen nach erkennbaren Elementen in ausgewählt werden Threat IntelligenceUnd für erkennbare Elemente in Security Incidents.