この記事では、CrowdStrike EDRからデータを統合して、Catoストーリー・ワークベンチでレビューできるストーリーを生成する方法について説明します。
APIコネクタを使用して、CrowdStrikeの検出データを統合し、エンドポイントデバイスのストーリーを生成できます。 エンドポイントストーリーは、ネットワーク内の潜在的な脅威のより完全なイメージを把握するのに役立ちます。
CMA においてインシデント ID に基づく CrowdStrike 検出を関連付けてストーリーが作成されます。 これらのストーリーには、CrowdStrikeによって特定された検出に関連するすべての証拠が含まれています。 ストーリー・ワークベンチは、エンドポイントストーリーを他のストーリータイプと一緒に表示し、エンドポイントのインシデントにフォーカスするためにストーリーを並べ替えたりフィルタリングしたりできます。
CrowdStrikeのストーリーは、元のアラートが生成された後、ほぼリアルタイムで作成されます。
CrowdStrikeのエンドポイント検出データをCato XOpsと統合するには、CrowdStrikeのAPIコネクタを設定する必要があります。 コネクタを作成すると、エンドポイント検出エンジンがCrowdStrikeから検出データを取得し、分析します。
CrowdStrike のデータを含む XOps ストーリーのレビューに関する詳細は、XOps セキュリティストーリーの掘り下げと分析を参照してください。
- CrowdStrike 検出のためのCato XOpsストーリーを表示するには、XOpsまたはMDRライセンスが必須です。 イベントはライセンスなしで生成されます
- Falcon Insight(エンドポイント検出および対応)ライセンスが必要です
- コネクタを追加するには、リソース セクションの統合の編集者権限が必要です。 詳細情報は、管理者の役割を RBAC を使用して管理を参照してください。
Catoとお使いのCrowdStrikeテナント間のコネクタを作成するには、次の手順を行います:
- Falcon CrowdstrikeプラットフォームでAPIクライアントを作成します
- CMAでAPIコネクタを作成します
Falcon CrowdStrikeプラットフォームでAPIクライアントを作成します。
APIクライアントを作成するには:
-
お使いのFalcon CrowdStrikeプラットフォームで、Support and resources > API clients and keysをナビゲートします。
- APIクライアントを作成をクリックします。
-
以下のスコープに対して、クライアント名、説明、および参照のみアクセスを追加します。
- アラート
- インシデント
- Threatgraph
- クライアントID、秘密、およびベースURLを保存して、CMAに追加できるようにします。
APIクライアントを作成した後、その詳細をCMAに追加します。
コネクタ設定ページのステータス列は、CrowdStrikeアプリとCatoアカウントとの接続状況を示します。 これらはステータスの説明です:
- 接続済み - アカウントはアプリに接続され、正常に動作しています
- ユーザー承認待ち - CatoがCrowdStrikeアプリにアクセスすることを許可する権限が与えられていません。 この問題を解決するには、ブラウザを更新してください。 ステータスが接続済みに変わったら、問題は解決されますが、ステータスが変わらない場合はコネクタを削除して再作成してください。
- エラー - コネクタに接続、権限、ライセンス、または他の問題があります。 コネクタを削除して再作成してください。
コネクタを作成すると、ストーリー・ワークベンチにストーリーが表示されます。
ストーリー内の列に関する情報は、ストーリー列の理解を参照してください。
Microsoft Defenderのデータを含むXOpsストーリーのレビューについての詳細情報は、Drilling-Down and Analyzing XOps Security Storiesを参照してください。
0件のコメント
記事コメントは受け付けていません。