Crowdstrike Falcon EDR 統合の構成
CrowdStrike Falcon EDR 統合を使用する前に、ServiceNow Store Store からダウンロードし、適切なクライアント ID とクライアントシークレットを追加する必要があります。
始める前に
必要なロール:sn_sec_tisc.admin
- 脅威インテリジェンスセキュリティセンターアプリケーションをインストールしてアクティブ化する必要があります。
- CrowdStrike Falcon コンソールから API クライアント ID と API クライアントシークレットを取得します。
- CrowdStrike Falcon ポータルの API スコープで、[IOC 管理:読み取りおよび書き込みアクセス (IOC Management: read and write access)] を有効にします。
手順
- 自身のインスタンスを使用して、脅威インテリジェンスセキュリティセンターにアクセスします。
- ServiceNow Storeから統合をダウンロードする .
- 選択 統合 > セキュリティツール > EDR.
- [新しいセキュリティツールの構成 (Configure New Security Tool)] をクリックして CrowdStrike Falcon EDR 統合を構成します。
- [CrowdStrike Falcon EDR] オプションを選択します。
-
[新しいセキュリティツールの構成 (Configure new security tool)] フォームのフィールドに入力します。
表 : 1. 新しい拡張統合を作成 フィールド 説明 名前 新しいセキュリティツール統合の名前を入力します。例: CrowdStrike Falcon EDR ベンダー名 ベンダーの名前。選択したベンダーの詳細がデフォルトで入力されます。例:CrowdStrike Falcon EDR。 説明 新しいセキュリティツール統合の説明を入力します。 統合タイプ 統合タイプを表示するオプション。 統合カテゴリ 統合カテゴリを表示するオプション。 データ連携の構成 ベース URL ベース URL は CrowdStrike API のベース URL です。デフォルト値は https://api.crowdstrike.com です。詳細については、「https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis#k9578c40」を参照してください。 クライアント ID CrowdStrike から取得したクライアント ID。詳細については、「https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis」を参照してください。 クライアントシークレット CrowdStrike から取得したクライアントシークレットキー。詳細については、「https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis」を参照してください。 あらゆるタイプの観察事象の有効期限 (日数) あらゆるタイプの観測事象が CrowdStrike EDR へ送信されるときに適用される有効期限 (日数)。 注:このオプションは、特定の観測事象タイプに有効期限が設定されていない場合の代替となる有効期限です。IP 観測事象の有効期限 観測事象が CrowdStrike EDR に送信されるときに、観測事象の IP タイプに適用される有効期限 (日数)。 ドメイン観測事象の有効期限 観測事象が CrowdStrike EDR に送信されるときに、観測事象のドメインタイプに適用される有効期限 (日数)。 ハッシュ観測事象の有効期限 観測事象が CrowdStrike EDR に送信されるときに、観測事象のハッシュタイプに適用される有効期限 (日数)。 -
[保存] をクリックします。
統合の詳細が検証されます。CrowdStrike EDR 統合のステータスはデフォルトで無効になります。
-
[有効化] をクリックして、CrowdStrike EDR 統合を有効化します。
注:CrowdStrike Falcon EDR 統合には複数の構成を使用できます。