Como usar o CrowdStrike com o QRadar da IBM

Como usar o CrowdStrike com o QRadar da IBM

Introdução

A plataforma CrowdStrike inclui um amplo conjunto de APIs para uso por clientes e parceiros. Neste vídeo e artigo, veremos um exemplo de como essas APIs podem ser aproveitadas por um produto parceiro específico – o QRadar da IBM.

Vídeo

Começando

Antes de configurar e revisar as opções de integração, existem apenas algumas etapas de pré-requisito.

  1. Faça o download do aplicativo CrowdStrike no IBM X-Force App Exchange. Essa extensão permite ao QRadar ingerir os dados do evento CrowdStrike.
  2. Faça o upload desse aplicativo para sua instância do QRadar por meio do navegador da web.
  3. Colete as chaves da API CrowdStrike necessárias para o nível de integração desejado.
    • Endpoint – Existem três chaves de API necessárias para configurar a troca de dados e a integração dos dados do evento entre o CrowdStrike e o QRadar. As chaves da API Stream e Query podem ser obtidas no suporte do CrowdStrike. Uma chave de API do OAuth que permite acesso de leitura / gravação a “Detecções” e acesso de leitura / gravação em “Hosts” pode ser configurada na interface do usuário do Falcon.
    • Intel – Para clientes da Intel, a chave da API da Intel é necessária para ver a inteligência de ameaças correlacionada para as detecções na instância do QRadar. Essa chave pode ser obtida no suporte ao CrowdStrike.

Após a instalação do aplicativo, as informações da API serão inseridas nas telas mostradas abaixo. O primeiro é para as APIs de endpoint.

qradar api config

Há uma tela de configuração separada para a integração da Intel.

qradar intel api config

Como os clientes podem usar os dados do evento CrowdStrike na interface do QRadar?

Depois que as integrações do QRadar estiverem ativadas, você receberá um feed de suas detecções do CrowdStrike na interface do QRadar. Eles serão mostrados como “Ofensas” com uma descrição que se identifica como CrowdStrike com detalhes adicionais para refletir o tipo de evento.

ofensas qradar

 

Para cada tipo, você verá uma contagem de eventos e terá a opção de pesquisar detalhes adicionais. Aqui, veremos mais de perto a detecção de oito sensores baseada em machine learning.

qradar ml

 

Nessa visão, você pode fazer uma busca detalhada novamente para uma detecção específica.

lista de eventos qradar

 

Na tela de informações do evento, você obtém todos os detalhes associados a essa detecção. Ele inclui o nome do computador, a hora de início, o status da contenção e o nome do arquivo, bem como quaisquer relatórios relacionados ao CrowdStrike Intelligence.

qradar intel

Quais ações os clientes podem executar na interface do QRadar?

Contenção de Rede

Usando o campo “CrowdStrike Sensor ID”, você pode gerenciar o status de contenção do sistema.

qradar contêm

 

Você pode optar por “Conter” um sistema ou “Levantar a contenção”, conforme necessário.

qradar contém status

 

Status de detecção

Olhando para o “CrowdStrike Detect ID”, você também tem a capacidade de gerenciar o status de detecção.

detecção qradar

 

As opções para o status de detecção incluem “Em andamento”, “Verdadeiro positivo”, “Falso positivo” e “Ignorado”. Esta opção permite gerenciar fluxos de trabalho enquanto atualiza os campos de status do evento QRadar e CrowdStrike.

status de detecção qradar

Evento de Detecção Aberta

Usando o “Link do host do CrowdStrike Falcon”, você também pode abrir a detecção específica na interface do usuário do CrowdStrike para visualizar toda a árvore do processo.

URL do evento qradar

 

Conclusão

A Crowdstrike entende que as empresas possuem ferramentas de segurança e produtos SIEM existentes, como o QRadar da IBM. Nossa primeira abordagem de API permite que você aproveite os dados do evento CrowdStrike conforme necessário para otimizar seus fluxos de trabalho e maximizar os esforços de sua equipe de segurança sobrecarregada.

 

Fonte: https://www.crowdstrike.com/blog/tech-center/crowdstrike-qradar/