CrowdStrike のプレミアム脅威フィードの表示

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • [カスタム] タイプのフィードに新しく追加されたプレミアム脅威フィードを表示します。データソースマネージャーを使用するすべてのプレミアムフィードには、ポイント統合が必要です。

    始める前に

    必要なロール:sn_sec_tisc.admin

    手順

    1. 次のように移動する。 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. 統合アイコンをクリックします。
    3. [カスタム] を選択します。
    4. [CrowdStrike フィード (CrowdStrike feed)] カードをクリックします。
      注:
      デフォルトでは、CrowdStrike フィードは無効になっています。フィードを有効にするには構成を編集する必要があります。
      CrowdStrike プレミアムフィード
    5. [構成の詳細] セクションにドリルダウンします。
    6. [ベース URL][クライアント ID][クライアントシークレット] を入力します。
      注:
      1. [ベース URL]:各 CrowdStrike クラウドには異なるベース URL があります。CrowdStrike API に要求を行う場合は、CrowdStrike がホストされているクラウドに対応するベース URL を使用します。
      2. ベース URL がない場合は、クライアント ID とクライアントシークレットを生成する必要があります。クライアント ID とクライアントシークレットの詳細については、「Defining your first API Client (最初の API クライアントの定義)」セクションを参照してください。
      3. 必要なスコープのクライアント ID とクライアントシークレットを CrowdStrike から取得します。以下は、Crowdstrike からのクライアント ID およびクライアントシークレットに必要なスコープです。
        • インジケーター (Falcon Intelligence)
        • アクター (Falcon Intelligence)
        • レポート (Falcon Intelligence)
    7. CrowdStrike 脅威フィード統合固有の [追加設定] に移動します。これを使用して、ソースから取り込まれたデータをフィルタリングできます。
      CrowdStrike の [追加設定] タブ
    8. [設定を編集] をクリックします。
      CrowdStrike の [追加設定] タブ - 編集
    9. [取り込む CrowdStrike インジケータータイプ (Crowd Strike Indicator Types to Ingest)] または [取り込む CrowdStrike インジケーターの悪意のある信頼度 (Malicious Confidence of CrowdStrike Indicators to Ingest)] のいずれかのオプションを選択します。
      CrowdStrike の [追加設定] タブ - 編集オプション CrowdStrike の [追加設定] タブ - 編集オプション
      注:
      1. 取り込む CrowdStrike インジケータータイプ (Crowd Strike Indicator Types to Ingest):更新されたインジケーターのフェッチ中に、選択したインジケータータイプのみが CrowdStrike から取り込まれます (CrowdStrike のインジケーターは TISC の観測事象にマッピングされます)。空白のままにすると、すべてのタイプのインジケーターが取り込まれます。
      2. 取り込む CrowdStrike インジケーターの悪意のある信頼度 (Malicious Confidence of CrowdStrike Indicators to Ingest):更新されたインジケーターのフェッチ中に、選択された悪意のある信頼性を持つ選択されたインジケーターのみが CrowdStrike から取り込まれます (CrowdStrike のインジケーターは TISC の観測事象にマッピングされます)。空白のままにすると、すべての悪意のある信頼のインジケーターが取り込まれます。
    10. 各オプションに必要な値を選択します。これに基づいて一致インジケーターが取り込まれます。
    11. [更新] をクリックします。
    12. [有効化] をクリックします。
      注:
      プレミアムフィードは、構成中に解析される応答を除き、他のフィードと同じです。特定の応答は、クライアント ID とクライアントシークレットを追加することで CrowdStrike に対して解析されます。
      CrowdStrike からフェッチされるデータのタイプ:
      1. 設定された取り込み時間の後に更新される CrowdStrike からのインジケーター。CrowdStrike からのこれらのインジケーターは、TISC の観測事象にマッピングされます。以下は、TISC に取り込まれるインジケータータイプです。
        • SHA256 ハッシュ
        • MD5 ハッシュ
        • SHA1 ハッシュ
        • URL
        • ドメイン
        • IP アドレス
        • ミューテックス名
        • ファイル名
        • メールアドレス
        • ユーザー名
        • IP アドレスブロック
      2. 設定された取り込み時間の後に更新された CrowdStrike の攻撃者。CrowdStrike のこれらのアクターは、システム内の攻撃者にマッピングされます。
      3. 設定された取り込み時間の後に更新される CrowdStrike からのレポート。CrowdStrike からのこれらのレポートは、システム内の脅威レポートにマッピングされます。
      4. また、上記のエンティティに加えて、以下のデータもフェッチします。
        1. 上記で取り込まれたインジケーターに関連する攻撃者/レポート/インジケーター。
        2. 現在の取り込みの一部として取り込まれたすべてのレポートに関連する攻撃者/インジケーター。