CrowdStrike: XOps 통합 구성

API 커넥터를 사용하여 CrowdStrike 탐지에서 데이터를 통합하여 엔드포인트 장치에 대한 스토리를 생성할 수 있습니다. 엔드포인트 스토리는 네트워크 내의 잠재적인 위협에 대한 보다 완전한 그림을 얻는 데 도움이 됩니다.

CMA에서 사건 ID를 기반으로 CrowdStrike 탐지를 연관시켜 스토리가 생성됩니다. 이러한 스토리에는 CrowdStrike가 식별한 탐지에 대한 모든 관련 증거가 포함되어 있습니다. 스토리 작업대는 엔드포인트 스토리를 다른 스토리 유형과 함께 표시하며, 엔드포인트 사건에 중점을 둔 스토리를 정렬하고 필터링할 수 있습니다.

CrowdStrike 스토리는 원래 알림이 생성된 후 거의 실시간으로 생성됩니다. 

CrowdStrike 엔드포인트 탐지 데이터를 Cato XOps와 통합하려면 CrowdStrike의 API 커넥터를 설정해야 합니다. 커넥터 생성 후, 엔드포인트 탐지 엔진은 CrowdStrike에서 탐지 데이터를 검색하고 분석합니다.

CrowdStrike 데이터를 포함하여 XOps 스토리 검토에 대한 자세한 정보는 Drilling-Down and Analyzing XOps Security Stories를 참조하십시오.

Cato와 CrowdStrike 테넌트 간의 커넥터를 생성하려면 다음이 필요합니다:

단계 1: Falcon CrowdStrike 플랫폼에서 API 클라이언트 생성

Falcon CrowdStrike 플랫폼에서 API 클라이언트를 생성합니다.

API 클라이언트를 생성하려면:

1. 귀하의 Falcon CrowdStrike 플랫폼에서 Support and resources > API clients and keys로 이동하십시오.

   
2. Create API client를 클릭합니다.

3. 클라이언트 이름과 설명, 그리고 다음 범위에 대한 읽기 액세스를 추가하십시오:

   • 알림
   • 사건
   • Threatgraph
4. 클라이언트 ID, 비밀, 그리고 기본 URL을 저장하여 CMA에 추가할 수 있도록 하십시오.

단계 2: CMA에서 API 커넥터 생성

API 클라이언트를 생성한 후 CMA에 세부 정보를 추가합니다.

CMA에서 CrowdStrike 커넥터를 구성하려면:

1. 탐색 메뉴에서 리소스 > 통합을 선택합니다.
2. Integrated Apps 탭에서 새로 만들기를 클릭합니다. New Integration 패널이 열립니다.
3. SaaS 애플리케이션 드롭다운 메뉴에서 CrowdStrike를 선택합니다.
4. 이름과 (선택 사항) 설명, 기본 URL, 단계 1의 애플리케이션 ID와 클라이언트 비밀 값을 입력합니다.
5. (선택 사항) 이벤트 생성하여 통합 오류를 추적할 수 있습니다.
6. 저장을 클릭합니다.

커넥터 상태 이해하기

커넥터 설정 페이지의 상태 열에는 CrowdStrike 앱과 Cato 계정 간의 연결 상태가 표시됩니다. 이들은 상태에 대한 설명입니다.

• 연결됨 - 계정이 앱에 연결되어 정상적으로 작동 중입니다.
• 사용자 동의 대기 중 - Cato가 CrowdStrike 앱에 접근할 권한이 부여되지 않았습니다. 이 문제를 해결하려면 브라우저를 새로 고칩니다. 상태가 연결됨으로 변경되면 문제가 해결된 것이고, 상태가 변경되지 않으면 커넥터를 삭제하고 다시 만드십시오.
• 오류 - 커넥터에 연결성, 권한, 라이센스 또는 기타 문제가 있습니다. 커넥터를 삭제하고 다시 만듭니다.