CrowdStrike Falcon
CrowdStrike Falcon può essere integrato con Sophos Central per fare in modo che il servizio invii dati a Sophos, a scopo di analisi.
Questa integrazione è basata su API.
I passaggi chiave sono:
- Ottenere dettagli sul proprio servizio CrowdStrike Falcon.
- Aggiungere un nuovo client API a CrowdStrike Falcon.
- Aggiungere un’integrazione in Sophos Central.
Ottenere dettagli sul servizio CrowdStrike Falcon
Si avrà bisogno dei seguenti dettagli:
- L’URL di base di CrowdStrike Falcon.
- Il client e la chiave API di CrowdStrike Falcon.
- Un ID client e un segreto client, che devono essere generati nella console di CrowdStrike Falcon.
Come generare un segreto dell’applicazione
Per generare un segreto dell’applicazione, procedere come segue:
- Accedere alla console di gestione di CrowdStrike Falcon.
- Cliccare su Support and resources (Supporto e risorse) > API Clients and keys (Client e chiavi API) > Add new API client (Aggiungi nuovo client API).
- In Add new API client, specificare CLIENT NAME (Nome client) e DESCRIPTION (Descrizione).
- Selezionare l’API scope (ambito API) Read (Lettura) per Detections (Rilevamenti).
-
Cliccare su ADD (Aggiungi).
Verranno visualizzati l’ID client, il segreto client e l’URL di base per il nuovo client. Sarà necessario copiarli, perché verranno utilizzati in seguito su Sophos Central.
Nota
Il segreto client viene visualizzato una sola volta. Assicurarsi di conservarlo in un luogo sicuro.
-
Cliccare su DONE (Fatto).
Aggiunta di un’integrazione
Per integrare CrowdStrike Falcon con Sophos Central, procedere come segue:
- In Sophos Central, aprire Centro di analisi delle minacce e cliccare su Integrazioni.
-
Cliccare su CrowdStrike Falcon.
Se sono già state configurate integrazioni di questo tipo, verranno visualizzate qui.
-
Cliccare su Aggiungi.
Nota
Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.
-
Nei Passaggi di integrazione è possibile configurare un’API in modo che raccolga dati da CrowdStrike Falcon.
- Immettere un nome e una descrizione per l’integrazione.
- Inserire l’URL di base ottenuto da CrowdStrike Falcon.
-
Immettere le seguenti informazioni, ottenute dalla console di CrowdStrike Falcon:
- ID client
- Segreto client
-
Compilare eventuali altri campi.
-
Cliccare su Salva.
L’integrazione verrà creata e visualizzata nell’elenco.
Se l’integrazione viene visualizzata come Connessa, i dati saranno visualizzati nel Sophos Data Lake dopo la convalida.