CrowdStrike : Configurer l'intégration XOps

À l'aide d'un connecteur API, vous pouvez intégrer des données des détections CrowdStrike pour générer des histoires pour les appareils de point de terminaison. Les histoires de point de terminaison vous aident à obtenir une image plus complète des menaces potentielles dans votre réseau.

A histoire est créée dans le CMA par corrélation des détections CrowdStrike basé sur l'ID d'Incident. Ces histoires incluent toutes les preuves pertinentes pour la détection identifiée par CrowdStrike. L'Atelier des Histoires affiche les histoires de point de terminaison avec les autres types d'histoires, et vous pouvez trier et filtrer les histoires pour vous concentrer sur les incidents de point de terminaison.

Les histoires de CrowdStrike sont créées en quasi-temps réel après la génération de l'alerte initiale. 

Pour intégrer les données de détection de l'endpoint CrowdStrike avec Cato XOps, vous devez configurer les connecteurs API pour CrowdStrike. Après création du connecteur, le moteur de détection de point de terminaison récupère et analyse les données de détection de CrowdStrike.

Pour plus d'informations sur l'examen des histoires XOps, y compris les données de CrowdStrike, consultez Forage et analyse des histoires de sécurité XOps.

Pour créer le connecteur entre Cato et votre locataire CrowdStrike, vous devez :

Étape 1 : Créer le client API dans la plateforme Falcon CrowdStrike

Dans la plateforme Falcon CrowdStrike, créez le client API.

Pour créer le client API :

1. Dans votre plate-forme Falcon CrowdStrike, accédez à Support et ressources > Clients API et clés.

   
2. Cliquez sur Create API client.

3. Ajouter un Nom du Client et une Description, et l'accès Lire pour ces portées :

   • Alertes
   • Incidents
   • Graphique des menaces
4. Enregistrer l'ID du Client, le Secret, et l'URL de base afin qu'ils puissent être ajoutés dans le CMA.

Étape 2 : Créer le connecteur API dans le CMA

Après avoir créé le client API, ajoutez les détails dans le CMA.

Pour configurer le connecteur CrowdStrike dans le CMA :

1. Dans le menu de navigation, sélectionnez Ressources > Intégrations.
2. Sur l'onglet Applications intégrées, cliquez sur Nouveau. Le panneau Nouvelle intégration s'ouvre.
3. Dans le menu déroulant Application SaaS, sélectionnez CrowdStrike.
4. Entrez un Nom, une Description (optionnel), et l'URL de base, ID de l'application, et Valeur du secret client de l'étape 1.
5. (Optionnel) Choisissez de suivre les erreurs dans l'intégration en créant un événement.
6. Cliquez sur Enregistrer.

Comprendre le Statut du Connecteur

La colonne Statut sur la page des paramètres des connecteurs montre le statut de la connexion entre l'application CrowdStrike et votre compte Cato. Voici les explications des statuts :

• Connecté - Votre compte est connecté à l'application et fonctionne correctement
• Consentement utilisateur en attente - Des autorisations n'ont pas été accordées pour permettre à Cato d'accéder à l'application CrowdStrike. Pour résoudre ce problème, rafraîchissez le navigateur. Si le Statut passe à Connecté, le problème est résolu. Si le Statut ne change pas, supprimez et recréez le connecteur.
• Erreur - Il y a un problème de connectivité, d'autorisations, de licence ou autre avec le connecteur. Supprimez et recréez le connecteur.