Este artigo discute a integração de dados do CrowdStrike EDR para gerar histórias que você pode revisar na Bancada de Trabalho de Histórias da Cato.
Usando um conector API, você pode integrar dados das detecções do CrowdStrike para gerar histórias para dispositivos de endpoint. As histórias de endpoint ajudam você a obter uma visão mais completa das ameaças potenciais na sua rede.
A história é criada no CMA correlacionando as detecções do CrowdStrike com base no ID do Incidente. Essas histórias incluem todas as evidências relevantes para a detecção identificada pelo CrowdStrike. A Bancada de Trabalho de Histórias mostra as histórias de endpoint juntamente com outros tipos de histórias, e você pode ordenar e filtrar as histórias para focar nos incidentes de Endpoint.
As histórias da CrowdStrike são criadas em quase tempo real após o alerta original ser gerado.
Para integrar dados de Detecção de Endpoint do CrowdStrike com o Cato XOps, você precisa configurar os conectores de API para CrowdStrike. Após criar o conector, o motor de Detecção de Endpoint recupera e analisa os dados de detecção do CrowdStrike.
Para mais informações sobre como revisar histórias XOps, incluindo dados do CrowdStrike, consulte Drilling-Down and Analyzing XOps Security Stories.
- Para visualizar histórias Cato XOps para detecções do CrowdStrike, é necessária uma licença XOps ou MDR. Eventos são gerados sem uma licença
- Uma licença Falcon Insight (EDR) é obrigatória
- Para adicionar um conector, você deve ter permissão de editor para Integrações (na seção Recursos). Para mais informações, veja Gerenciamento de Funções de Administrador Usando RBAC.
Para criar o conector entre a Cato e seu cliente do CrowdStrike, você precisa:
- Criar o Cliente API na plataforma Falcon CrowdStrike
- Criar o conector API no CMA
Na plataforma Falcon CrowdStrike, crie o Cliente API.
Para criar o Cliente API:
-
Na sua plataforma Falcon CrowdStrike, navegue para Suporte e recursos > Clientes de API e chaves.
- Clique em Criar cliente API.
-
Adicione um Nome do Cliente e uma Descrição, e Ler acesso para esses escopos:
- Alertas
- Incidentes
- Threatgraph
- Salve o ID do Cliente, Segredo, e URL Base para que possam ser adicionados no CMA.
Após criar o cliente API, adicione os detalhes no CMA.
Para configurar o Conector CrowdStrike no CMA:
- No menu de navegação, selecione Recursos > Integrações.
- Na aba Aplicativos Integrados, clique em Novo. O painel Nova Integração é aberto.
- No menu dropdown Aplicação SaaS, selecione CrowdStrike.
- Digite um Nome, Descrição (opcional), e o URL Base, ID da Aplicação, e Valor do Segredo do Cliente do passo 1.
- (Opcional) Escolha rastrear erros na integração criando um evento.
- Clique em Salvar.
A coluna Status na página de Configurações dos Conectores mostra o estado da conexão entre o aplicativo CrowdStrike e sua conta Cato. Estas são as explicações dos status:
- Conectado - Sua conta está conectada ao aplicativo e funcionando corretamente.
- Pendente de consentimento do usuário - As permissões não foram concedidas para permitir que a Cato acesse o aplicativo CrowdStrike. Para resolver este problema, atualize o navegador. Se o Status mudar para Conectado, o problema está resolvido; se o Status não mudar, exclua e recrie o conector.
- Erro - Há um problema de conectividade, permissões, licença ou outro com o conector. Exclua e recrie o conector.
Uma vez que você criou o conector, as histórias estarão visíveis na Bancada de Trabalho de Histórias.
Para visualizar a página da Bancada de Trabalho de Histórias:
- No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.
Para mais informações sobre as colunas na Bancada de Trabalho de Histórias, consulte Understanding the Stories Columns
Para mais informações sobre como revisar histórias XOps, incluindo dados do Microsoft Defender, consulte Drilling-Down and Analyzing XOps Security Stories
0 comentário
Artigo fechado para comentários.