Zeigen Sie den neu hinzugefügten Premium-Bedrohungs-Feed für den anwenderdefinierten Feed-Typ an. Jeder Premium-Feed, der den Datenquellenmanager verwendet, erfordert Punktintegrationen.
Vorbereitungen
Erforderliche Rolle: sn_sec_tisc.admin
Prozedur
-
Navigieren zu an.
-
Klicken Sie auf Integrationen Symbol.
-
Wählen Sie Aus Anwenderdefiniert .
-
Klicken Sie auf CrowdStrike-Feed Karte.
Hinweis: Standardmäßig ist der CrowdStrike-Feed deaktiviert. Sie müssen die Konfigurationen bearbeiten, um den Feed zu aktivieren.
-
Drilldown zu Konfigurationsdetails Abschnitt.
-
Geben Sie ein Basis-URL , Client-ID , Und Geheimer Client .
Hinweis:
- Basis-URL : Jede CrowdStrike-Cloud hat eine andere Basis-URL. Wenn Sie Anforderungen an die CrowdStrike-API stellen, verwenden Sie die Basis-URL, die der Cloud entspricht, in der CrowdStrike gehostet wird.
- Sie müssen Ihre Client-ID und das geheime Clientgeheimnis generieren, falls Sie es nicht haben. Weitere Informationen zur Client-ID und zum geheimen Clientschlüssel finden Sie unter Definieren Sie Ihren ersten API-Client Abschnitt.
- Rufen Sie die Client-ID und das geheime Clientgeheimnis aus CrowdStrike für erforderliche Bereiche ab. Nachfolgend finden Sie die Umfänge, die für die Client-ID und das geheime Clientgeheimnis von CrowdStrike erforderlich sind:
- Indikatoren (Falcon Intelligence)
- Akteure (Falcon Intelligence)
- Berichte (Falcon Intelligence)
-
Navigieren Sie zu Zusätzliche Einstellungen Spezifisch für die CrowdStrike-Bedrohungs-Feed-Integration können zum Filtern von Daten verwendet werden, die aus der Quelle erfasst werden.
-
Klicken Sie Auf Bearbeiten Sie Einstellungen .
-
Wählen Sie eine der folgenden Optionen aus: Zu erfassende Crowd-Strike-Indikatortypen Oder Böswilliges Vertrauen der zu erfassenden CrowdStrike-Indikatoren .
Hinweis:
- Zu erfassende CrowdStrike-Indikatortypen : Nur die ausgewählten Indikatortypen werden beim Abrufen der aktualisierten Indikatoren aus CrowdStrike erfasst (Indikatoren in CrowdStrike werden erkennbaren Elementen in TISC zugeordnet). Wenn leer gelassen, werden Indikatoren aller Typen erfasst.
- Böswilliges Vertrauen der zu erfassenden CrowdStrike-Indikatoren : Nur der ausgewählte Indikator mit ausgewählter böswilliger Konfidenz wird beim Abrufen der aktualisierten Indikatoren aus CrowdStrike erfasst (Indikatoren auf CrowdStrike werden erkennbaren Elementen in TISC zugeordnet). Wenn leer gelassen, werden Indikatoren aller böswilligen Vertrauens erfasst.
-
Wählen Sie die erforderlichen Werte für jede Option aus. Basierend darauf werden die übereinstimmenden Indikatoren erfasst.
-
Klicken Sie auf Aktualisieren.
-
Klicken Sie Auf Aktivieren .
Hinweis: Der Premium-Feed ist mit anderen Feeds identisch, mit Ausnahme der Antwort, die während der Konfiguration analysiert wird. Eine bestimmte Antwort wird in CrowdStrike analysiert, indem die Client-ID und das geheime Clientgeheimnis hinzugefügt werden.
Welche Art von Daten wird von CrowdStrike abgerufen:
- Indikatoren von CrowdStrike, die nach der konfigurierten Erfassungszeit aktualisiert werden. Diese Indikatoren von CrowdStrike werden dann erkennbaren Elementen in TISC zugeordnet. Im Folgenden sind die Indikatortypen aufgeführt, die in TISC erfasst werden:
- SHA256-Hash
- MD5-Hash
- SHA1-Hash
- URL
- Domäne
- IP-Adresse
- Mutex-Name
- Dateiname
- E-Mail-Adresse
- Anwendername
- IP-Adressblock
- Bedrohungsakteure aus CrowdStrike, die nach der konfigurierten Erfassungszeit aktualisiert werden. Diese Akteure aus CrowdStrike werden Bedrohungsakteuren in unserem System zugeordnet.
- Berichte aus CrowdStrike, die nach der konfigurierten Erfassungszeit aktualisiert werden. Diese Berichte von CrowdStrike werden Bedrohungsberichten in unserem System zugeordnet.
- Zusätzlich zu den oben genannten Entitäten rufen wir auch die folgenden Daten ab.
- Bedrohungsakteure/-Berichte/-Indikatoren, die sich auf die oben erfassten Indikatoren beziehen.
- Bedrohungsakteure/-Indikatoren, die sich auf alle Berichte beziehen, die im Rahmen der aktuellen Erfassung erfasst werden.