Premium-Bedrohungs-Feed für CrowdStrike anzeigen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Mit dem CrowdStrike-Feed können Anwender Indikatoren, Akteure, Berichte und den zugehörigen Kontext aus dem CrowdStrike Falcon Intelligence-Feed in erfassen TISC.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Integrationenan.
    2. Wählen Sie Aus Anwenderdefiniert .
    3. Klicken Sie auf Bearbeiten Schaltfläche von CrowdStrikeFeed Formularseite.
      Hinweis:
      Standardmäßig ist der CrowdStrike-Feed deaktiviert. Sie müssen die Konfigurationen bearbeiten, um den Feed zu aktivieren.
      CrowdStrike-Premium-Feed
    4. Führen Sie einen Drilldown zu Konfigurationsdetails Abschnitt.
    5. Geben Sie ein Client-ID , Und Geheimer Client-Schlüssel .
      Hinweis:
      1. Sie müssen Ihre Client-ID und das geheime Clientgeheimnis generieren, falls Sie es nicht haben. Weitere Informationen zur Client-ID und zum geheimen Client finden Sie unter Definieren Sie Ihren ersten API-Client Abschnitt.
      2. Client-ID und geheimer Client-Schlüssel von abrufen CrowdStrikeFür erforderliche Bereiche. Nachfolgend finden Sie die Bereiche, die für die Client-ID und das geheime Clientgeheimnis von erforderlich sind CrowdStrike:
        • Indikatoren (Falcon Intelligence)
        • Akteure (Falcon Intelligence)
        • Berichte (Falcon Intelligence)
    6. Navigieren Sie zu Zusätzliche Einstellungen Zum Konfigurieren der Filter, die beim Erfassen von Indikatoren aus angewendet werden CrowdStrike.

      Registerkarte „zusätzliche CrowdStrike-Einstellungen“

      Die Zusätzliche Einstellungen Die Registerkarte wird hauptsächlich verwendet, um die Filter zu konfigurieren, die steuern, wie Daten in die Anwendung aufgenommen werden.

      Mit diesen Filtern können Sie den Datenintegrationsprozess an Ihre spezifischen Anforderungen anpassen und sicherstellen, dass nur die relevantesten Informationen enthalten sind.

    7. Klicken Sie Auf Bearbeiten Sie Die Einstellungen .

      Registerkarte „zusätzliche CrowdStrike-Einstellungen“ – Bearbeiten

    8. Wählen Sie die erforderlichen Filter aus.
      Hinweis:
      Alle konfigurierten Filter werden beim Erfassen von Indikatoren aus in Verbindung angewendet CrowdStrike.
      Der folgende Abschnitt enthält eine detaillierte Erklärung der einzelnen verfügbaren Optionen. Überprüfen Sie jede Option in der folgenden Tabelle, um zu verstehen, wie die Filter angewendet werden können, um die in die Anwendung erfassten Daten zu optimieren.
    9. Wählen Sie die erforderlichen Werte aus den folgenden verfügbaren Filtern aus.
      Tabelle : 1. Zusätzliche Einstellungen bearbeiten
      Feld Beschreibung
      Zu erfassende Datensatztypen
      Wählen Sie Datensatztypen aus, die erfasst werden sollen Wählen Sie die Datensatztypen aus, die Sie erfassen möchten. Die verfügbaren Datensatztypen sind Indikatoren, Berichte und Akteure.
      Hinweis:

      Wenn Sie nur auswählen Indikatoren Als Datensatztyp, der erfasst werden soll, werden die zugehörigen Berichte und Akteure, die diesen Indikatoren zugeordnet sind, nicht automatisch erfasst.

      Um die zugehörigen Berichte und Akteure zu erfassen, müssen Sie alle drei Datensatztypen auswählen: Indikatoren, Berichte und Akteure.
      Filtert nach Indikatorattributen
      Gelöschte Indikatoren für die Erfassung einschließen Aktivieren Sie dieses Kontrollkästchen, um die Erfassung von Indikatoren zu ermöglichen, die gelöscht wurden.
      Hinweis:
      Gelöschte Indikatoren werden nur dann als erkennbare Elemente erstellt, wenn sie zuvor erfasst wurden. A In CrowdStrike gelöscht Das Tag wird Indikatoren hinzugefügt, die aus entfernt werden CrowdStrike.
      Zu erfassende Indikatortypen Wählen Sie die spezifische aus CrowdStrike Indikatortypen, die Sie erfassen möchten. Wenn keine ausgewählt ist, werden standardmäßig alle verfügbaren Indikatoren abgerufen.
      Böswillige Konfidenz der zu erfassenden Indikatoren Wählen Sie die böswillige Vertrauensstufe von aus CrowdStrike Zu erfassende Indikatoren. Wenn leer gelassen, werden alle Indikatoren aus abgerufen CrowdStrike Unabhängig von ihrem böswilligen Vertrauen.
      Zielbranchen von zu erfassenden Indikatoren Wählen Sie die Zielbranchen aus, die zugeordnet sind CrowdStrike Zu erfassende Indikatoren. Wenn keine ausgewählt ist, werden alle Indikatoren aus abgerufen CrowdStrike Unabhängig von der Zielbranche.
      Filtert nach zugeordneten Akteuren
      Indikatoren nur abrufen, wenn Akteure ihm zugeordnet sind Aktivieren Sie dieses Kontrollkästchen, um Indikatoren nur abzurufen, wenn sie Akteuren zugeordnet sind.
      Erfassen Sie nur Indikatoren, die diesen Akteuren zugeordnet sind Geben Sie kommagetrennte Akteurnamen für die Indikatoren für die Erfassung an. Wenn nicht angegeben, werden alle Indikatoren aus abgerufen CrowdStrike Unabhängig von zugeordneten Akteuren.
      Filtert zugeordnete Berichte
      Indikatoren nur abrufen, wenn ihnen Berichte zugeordnet sind Aktivieren Sie dieses Kontrollkästchen, um Indikatoren nur abzurufen, wenn sie Berichten zugeordnet sind.
      Erfassen Sie nur Indikatoren, die diesen Berichten zugeordnet sind Geben Sie kommagetrennte Berichtsnamen ein, die den Indikatoren für die Erfassung zugeordnet sind. Wenn leer gelassen, werden alle Berichte in den Erfassungsprozess einbezogen.

      Wenn nicht angegeben, werden alle Indikatoren aus abgerufen CrowdStrike Unabhängig von zugeordneten Berichten.
      Filtert nach zugehörigen Malware-Familien
      Rufen Sie Indikatoren nur ab, wenn Malware-Familien damit verknüpft sind Aktivieren Sie dieses Kontrollkästchen, um Indikatoren nur abzurufen, wenn sie Malware-Familien zugeordnet sind.
      Erfasst nur Indikatoren, die diesen Malware-Familien zugeordnet sind Geben Sie kommagetrennte Malware-Familiennamen ein, die den Indikatoren für die Erfassung zugeordnet sind. Wenn leer gelassen, werden alle Malware-Familien in den Erfassungsprozess einbezogen.

      Wenn nicht angegeben, werden alle Indikatoren aus abgerufen CrowdStrike Unabhängig von Malware-Familien.
      Zuordnung der böswilligen Konfidenz des Indikators zu TISC-Konfidenz
      Hinweis:
      Die Werte „hoch“, „Mittel“ und „Niedrig“ sind der Quellwert oder das schädliche Vertrauen, das von empfangen wurde CrowdStrike.
      Hoch Geben Sie einen Konfidenzwert (0–100) für Indikatoren mit hoher böswilliger Konfidenz ein.
      Hinweis:
      Wenn eine übereinstimmende schädliche Konfidenzzuordnung in gefunden wird Zusätzliche Einstellungen , Überschreibt den in angegebenen Wert Details Abschnitt, auch wenn ein Konfidenzwert manuell eingegeben wird.
      Mittel Geben Sie einen Konfidenzwert (0–100) für Indikatoren mit mittlerer böswilliger Konfidenz ein.
      Niedrig Geben Sie einen Konfidenzwert (0–100) für Indikatoren mit geringer böswilliger Konfidenz ein.
      Nicht verifiziert Geben Sie einen Konfidenzwert (0–100) für Indikatoren mit nicht verifizierter böswilliger Konfidenz ein.
      Hinweis:
      Mit denselben zusätzlichen Einstellungen, die Sie oben definiert haben, können Sie den Feed beim Erstellen eines neuen Feeds duplizieren.
    10. Klicken Sie Auf Aktualisieren Auf der Zusätzliche Einstellungen Dialogfeld zum Speichern der geänderten zusätzlichen Einstellungen.
    11. Klicken Sie Auf Aktivieren Zum Aktivieren CrowdStrike Feed für Erfassung.
      Hinweis:
      Der Premium-Feed ist mit anderen Feeds identisch, mit Ausnahme der Antwort, die während der Konfiguration analysiert wird. Eine bestimmte Antwort wird analysiert CrowdStrike Durch Hinzufügen der Client-ID und des geheimen Clientschlüssels.
      Welche Art von Daten abgerufen werden CrowdStrike:
      1. Indikatoren von CrowdStrike Die nach der konfigurierten Erfassungszeit aktualisiert werden und den Filtern entsprechen, die als Teil zusätzlicher Einstellungen konfiguriert sind. Diese Indikatoren von CrowdStrike Wird dann erkennbaren Elementen in zugeordnet TISC. Nachfolgend finden Sie die Indikatortypen, die in erfasst werden TISC:
        • SHA256-Hash
        • MD5-Hash
        • SHA1-Hash
        • URL
        • Domäne
        • IP-Adresse
        • Mutex-Name
        • Dateiname
        • E-Mail-Adresse
        • Anwendername
        • IP-Adressblock
      2. Bedrohungsakteure von CrowdStrike Die nach der konfigurierten Erfassungszeit aktualisiert werden, werden Bedrohungsakteuren in zugeordnet TISC.
      3. Berichte von CrowdStrike Die nach der konfigurierten Erfassungszeit aktualisiert werden, werden Bedrohungsberichten in zugeordnet TISC Basierend auf den übereinstimmenden Attributen.
      4. Zusätzlich zu den oben genannten Entitäten werden auch die folgenden zugehörigen Daten abgerufen:
        1. Bedrohungsakteure, Berichte und Indikatoren im Zusammenhang mit den zuvor erfassten Indikatoren.
        2. Bedrohungsakteure und -Indikatoren, die allen während des aktuellen Erfassungsprozesses erfassten Berichten zugeordnet sind.
        Hinweis:
        In konfigurierte Filter Zusätzliche Einstellungen Wird auch angewendet, wenn die Indikatoren erfasst werden, die den zuvor erfassten Indikatoren, Berichten oder Akteuren zugeordnet sind.
    12. Wahlweise: Klicken Sie Auf Duplikat Um den Feed zu duplizieren.
      Weitere Informationen finden Sie unter Doppelte Threat Intelligence-Feeds.