CrowdStrike: إعداد تكامل XOps

تناقش هذه المقالة دمج البيانات من CrowdStrike EDR لإنشاء قصص يمكنك مراجعتها في منصة Cato Stories Workbench.

نظرة عامة

باستخدام موصل API، يمكنك دمج البيانات من اكتشافات CrowdStrike لإنشاء قصص لأجهزة النهاية. تساعد قصص الأجهزة النهائية في الحصول على صورة أكثر اكتمالًا للتهديدات المحتملة في شبكتك.

يتم إنشاء قصة في CMA من خلال ربط اكتشافات CrowdStrike بناءً على معرف الحادث. تشمل هذه القصص جميع الأدلة ذات الصلة للاكتشاف المحدد بواسطة CrowdStrike. تعرض منصة Stories Workbench قصص الأجهزة النهائية إلى جانب أنواع القصص الأخرى، ويمكنك ترتيب وتصفية القصص لتركيز على حوادث الأجهزة النهائية.

تم إنشاء قصص CrowdStrike في الوقت الفعلي تقريبًا بعد إنشاء التنبيه الأصلي. 

لدمج بيانات اكتشاف الأجهزة النهائية من CrowdStrike مع Cato XOps، تحتاج إلى إعداد موصلات API لـ CrowdStrike. بعد إنشاء الموصل، يقوم محرك اكتشاف الأجهزة النهائية باسترجاع وتحليل بيانات الاكتشاف من CrowdStrike.

لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من CrowdStrike، انظر التعمق وتحليل قصص أمان XOps.

المتطلبات الأساسية

  • لعرض قصص Cato XOps لاكتشافات CrowdStrike، يلزم توفر ترخيص XOps أو MDR. تُنتج الأحداث بدون ترخيص
  • مطلوب ترخيص Falcon Insight (EDR)
  • لإضافة موصل، يجب أن يكون لديك إذن المحرر لالتكاملات (في قسم الموارد). لمزيد من المعلومات، انظر إدارة أدوار المسؤول باستخدام RBAC.

إعداد موصل CrowdStrike

لإنشاء الموصل بين Cato والمستأجر الخاص بك في CrowdStrike، تحتاج إلى:

  1. إنشاء عميل API في منصة Falcon Crowdstrike
  2. إنشاء موصل API في CMA

الخطوة 1: إنشاء عميل API في منصة Falcon CrowdStrike

في منصة Falcon CrowdStrike، أنشئ عميل API.

لإنشاء عميل API:

  1. في منصة Falcon CrowdStrike الخاصة بك، انتقل إلى الدعم والموارد > عملاء واجهة برمجة التطبيقات والمفاتيح.

    CS_nav.png
  2. انقر إنشاء عميل API.

  3. أضف اسم العميل والوصف، وقراءة الوصول لهذه النطاقات:

    • تنبيهات
    • حوادث
    • Threatgraph
  4. احفظ معرف العميل والسر وعنوان URL الأساسي حتى يمكن إضافتهما في CMA.

الخطوة 2: إنشاء موصل API في CMA

بعد إنشاء عميل API، أضِف التفاصيل في CMA.

CS1.png

لتكوين الموصل بين CrowdStrike في CMA:

  1. من القائمة التنقلية، اختر الموارد > التكاملات.
  2. في علامة التبويب التطبيقات المتكاملة، انقر جديد. تفتح لوحة تكامل جديد.
  3. من القائمة المنسدلة تطبيق SaaS، اختر CrowdStrike.
  4. أدخل اسم ووصف (اختياري) وعنوان URL الأساسي ومعرف التطبيق وقيمة السر للعميل من الخطوة 1.
  5. (اختياري) اختر لتعقب الأخطاء في التكامل عن طريق إنشاء حدث.
  6. انقر حفظ.

فهم حالة الموصل

تظهر العمود الحالة في صفحة إعدادات الموصلات حالة الاتصال بين تطبيق CrowdStrike وحسابك في Cato. هذه هي تفسيرات الحالات:

  • متصل - حسابك متصل بالتطبيق ويعمل بشكل صحيح
  • بإنتظار موافقة المستخدم - لم يتم منح الأذونات للسماح لـ Cato بالوصول إلى تطبيق CrowdStrike. لحل هذه المشكلة، قم بتحديث المتصفح. إذا تغيرت حالة إلى متصل، فإن المشكلة تم حلها، وإذا لم تتغير الحالة، احذف واعِد إنشاء الموصل.
  • خطأ - هناك مشكلة في الاتصال أو الأذونات أو الترخيص أو غير ذلك مع الموصل. احذف واعِد إنشاء الموصل.

عرض صفحة منصة قصص

بمجرد إنشاء الموصل، ستظهر القصص في منصة القصص.

لعرض صفحة منصة القصص:

  • من القائمة التنقلية، انقر الصفحة الرئيسية > منصة القصص.

لمعرفة المزيد عن الأعمدة في Workbench القصص، انظر فهم أعمدة القصص.

لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من Microsoft Defender، انظر الحفر والتحليل لقصص أمان XOps

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات