Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

CrowdStrike Falcon

API

Sie können CrowdStrike Falcon in Sophos Central integrieren, sodass der Dienst Daten an Sophos zur Analyse sendet.

Diese Integration ist API-basiert.

Die Hauptschritte:

  • Beziehen Sie Details zu Ihrem CrowdStrike Falcon-Dienst.
  • Fügen Sie einen neuen API-Client zu CrowdStrike Falcon hinzu.
  • Konfigurieren Sie eine Integration in Sophos Central.

Details zum CrowdStrike Falcon-Dienst abrufen

Sie benötigen die folgenden Details:

  • Die Basis-URL für CrowdStrike Falcon.
  • Ihr CrowdStrike Falcon API-Client und -Schlüssel.
  • Eine Client-ID und einen geheimen Clientschlüssel, die Sie in der CrowdStrike Falcon-Konsole generieren.

Generieren Sie einen geheimen Anwendungsschlüssel

Um einen geheimen Anwendungsschlüssel zu generieren, gehen Sie wie folgt vor:

  1. Melden Sie sich bei der CrowdStrike Falcon Management-Konsole an.
  2. Klicken Sie auf Support and resources > API Clients and keys > Add new API client.
  3. Geben Sie unter Add new API client einen CLIENT NAME und eine DESCRIPTION ein.
  4. Wählen Sie den API-Geltungsbereich Read für Detections aus.
  5. Klicken Sie auf ADD.

    Die Client-ID, der geheime Clientschlüssel und die Basis-URL für Ihren neuen Client werden angezeigt. Sie müssen diese kopieren, um sie später in Sophos Central zu verwenden.

    Hinweis

    Der geheime Clientschlüssel wird nur einmal angezeigt. Bewahren Sie ihn an einem sicheren Ort auf.

  6. Klicken Sie auf DONE.

Integration konfigurieren

Verfahren Sie zur Integration von CrowdStrike Falcon in Sophos Central wie folgt:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
  2. Klicken Sie auf CrowdStrike Falcon.

    Die Seite CrowdStrike Falcon wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

  4. In den Integrationsschrittenkonfigurieren Sie eine API so, dass Daten von CrowdStrike Falcon gesammelt werden.

    1. Geben Sie einen Namen und eine Beschreibung für die Integration ein.
    2. Geben Sie die Basis-URL ein, die Sie von CrowdStrike Falcon erhalten haben.
    3. Geben Sie die folgenden Informationen ein, die Sie der CrowdStrike Falcon-Konsole entnommen haben.

      • Client-ID
      • Client secret
  5. Füllen Sie alle anderen Felder aus.

  6. Klicken Sie auf Speichern.

Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt. Wenn das Statussymbol ein grünes Häkchen zeigt, sollten Ihre Daten nach der Validierung im Sophos Data Lake angezeigt werden.