Configurar a integração do Crowdstrike Falcon EDR

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Antes de poder usar a integração do CrowdStrike Falcon EDR, você deve baixá-la da ServiceNow Store Store e adicionar o ID de cliente e o segredo do cliente apropriados.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin
    • A aplicação Central de segurança de inteligência contra ameaças deve ser instalada e ativada.
    • Obtenha o ID do cliente da API e o segredo do cliente da API no console CrowdStrike do Falcon.
    • Nos CrowdStrike Escopos de API do portal Falcon, habilite a Gestão de IOC: acesso de leitura e gravação.

    Procedimento

    1. Usando sua instância, acesse a Central de segurança de inteligência contra ameaças.
    2. Baixe a integração do ServiceNow Store.
    3. Selecionar Integrações > Ferramentas de segurança > EDR.
    4. Clique em Configurar nova ferramenta de segurança para configurar CrowdStrike a integração do Falcon EDR.
    5. Selecione a opção CrowdStrike Falcon EDR.
    6. Preencha os campos no formulário Configurar nova ferramenta de segurança.
      Tabela 1. Criar nova integração de aprimoramento
      Campo Descrição
      Nome Insira um nome para a nova integração da ferramenta de segurança. Por exemplo, CrowdStrike Falcon EDR.
      Nome do fornecedor Nome do fornecedor Os detalhes do fornecedor selecionado são preenchidos por padrão. Por exemplo, CrowdStrike Falcon EDR.
      Descrição Insira a descrição da nova integração da ferramenta de segurança.
      Tipo de Integração Opção que exibe o tipo de integração.
      Categoria de integração Opção que exibe a categoria de integração.
      Configuração de integração
      URL base A URL base é a URL base da API do CrowdStrike. O valor padrão é https://api.crowdstrike.com. Para obter mais informações, consulte https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis#k9578c40.
      ID de cliente O ID do cliente que você obteve de CrowdStrike. Para obter mais informações, consulte https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis.
      Segredo do cliente A chave secreta do cliente que você obteve de CrowdStrike. Para obter mais informações, consulte https://falcon.crowdstrike.com/documentation/page/a2a7fc0e/crowdstrike-oauth2-based-apis.
      Período de expiração em dias para qualquer tipo de observável O período de expiração em dias que é aplicado a qualquer tipo de observável quando eles são enviados para CrowdStrike EDR.
      Nota:
      Esta opção é um período de expiração de fallback quando o tempo de expiração não está definido para nenhum tipo de observável específico.
      Tempo de expiração do observável de IP O período de expiração em dias que é aplicado ao tipo de IP do observável quando ele é enviado para CrowdStrike EDR.
      Tempo de expiração do observável domínio O período de expiração em dias que é aplicado ao tipo de domínio do observável quando ele é enviado para CrowdStrike EDR.
      Tempo de expiração do observável de hash O período de expiração em dias que é aplicado ao tipo Hash do observável quando ele é enviado para CrowdStrike EDR.
    7. Clique em Salvar.
      Os detalhes da integração são validados e, por padrão, o CrowdStrike status da integração de EDR está desabilitado.
    8. Clique em Habilitar para habilitar a CrowdStrike integração de EDR.
      Nota:
      Várias configurações são permitidas para CrowdStrike a integração do Falcon EDR.