CrowdStrike:配置XOps集成

本文讨论如何将CrowdStrike EDR的数据集成来生成你可以在Cato故事工作台中查看的故事。

概览

通过使用API连接器,你可以集成CrowdStrike检测的数据来为终端设备生成故事。 终端故事帮助你更全面地了解网络中的潜在威胁。

在 CMA 中通过关联事件 ID 来关联 CrowdStrike 检测情况创建了一个事件。 这些故事包括CrowdStrike识别的检测相关的所有证据。 故事工作台展示了终端故事与其他故事类型,并且可以对故事进行排序和过滤以专注于终端事件。

在原始警报生成后,CrowdStrike事件几乎实时创建。 

要将CrowdStrike终端检测数据与Cato XOps 集成,你需要设置CrowdStrike的API连接器。 创建连接器后,终端检测引擎会检索和分析来自CrowdStrike的检测数据。

有关查看包括 CrowdStrike 数据在内的 XOps 事件的更多信息,请参见深入分析 XOps 安全性事件

先决条件

  • 要查看 CrowdStrike 检测情况的 Cato XOps 事件,需要拥有 XOps 或 MDR许可证。 事件生成无需许可证
  • 需要终端检测与响应 (EDR) Falcon 洞察许可证
  • 要添加连接器,您必须在资源部分拥有集成的编辑者权限。 有关详细信息,请参阅使用RBAC管理管理员角色

配置CrowdStrike连接器

要创建Cato与CrowdStrike租户之间的连接器,你需要:

  1. 在Falcon Crowdstrike平台创建API客户端
  2. 在CMA中创建API连接器

步骤1:在Falcon CrowdStrike平台创建API客户端

在Falcon CrowdStrike平台中创建API客户端。

创建API客户端:

  1. 在您的Falcon CrowdStrike平台中,导航到支持和资源 > API 客户端和密钥

    CS_nav.png
  2. 点击创建API客户端

  3. 添加 客户端名称描述,以及这些范围的读取访问权限:

    • 警报
    • 事件
    • 威胁图
  4. 保存 客户端ID秘密基本网址,以便它们可以添加到 CMA 中。

步骤2:在CMA中创建API连接器

创建API客户端后,在CMA中添加详细信息。

CS1.png

在CMA中配置CrowdStrike连接器:

  1. 从导航菜单中,选择 资源 > 集成
  2. 集成应用选项卡上,点击新建新集成面板将打开。
  3. SaaS应用程序下拉菜单中选择CrowdStrike。
  4. 输入名称描述(可选),以及在步骤1获取的基本URL应用程序ID客户端密钥值
  5. (可选)选择通过创建事件来跟踪集成中的错误。
  6. 点击保存

了解连接器状态

连接器设置页面的状态列显示CrowdStrike应用与Cato账户的连接状态。 这些是状态的解释:

  • 已连接 - 你的账户已连接到应用并正常工作
  • 等待用户同意 - 尚未授予权限以允许Cato访问CrowdStrike应用。 解决这个问题,请刷新浏览器。 如果状态更改为已连接,则问题已解决;如果状态没有更改,请删除并重新创建连接器。
  • 错误 - 连接器存在连接、权限、许可证或其他问题。 删除并重新创建连接器。

查看故事工作台页面

创建连接器后,故事将在故事工作台中可见。

查看故事工作台页面:

  • 从导航菜单中,点击主页 > 故事工作台

有关 XDR 发现事件中列的信息,请参见理解事件列

有关审查 XOps 事件的更多信息,包括来自 Microsoft Defender 的数据,请参见 深入分析 XOps 安全事件

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论