t CrowdStrike 连接器

此连接器可以在云中运行或使用本地连接器服务器运行。

CrowdStrike 连接器会收集与设备和适用 CrowdStrike 安全策略相关的数据。

如果您在工作环境中运行 CrowdStrike Falcon Discover,此连接器还可以收集有关软件的数据。 Neurons 控制台没有启用软件导入的选项,因此您需要更新在 CrowdStrike 应用程序中创建的 API 客户端来收集此数据。 通过添加对资产主机 API 范围的读取访问权限来实现此目的。 可以在 falcon.crowdstrike.com 上更新 API 客户端。

连接器还通过使用 CrowdStrike Falcon Spotlight API 收集漏洞数据

(/spotlight/combined/vulnerabilities/v)。

收集漏洞数据的要求

Falcon Spotlight 模块: 必须在 CrowdStrike 环境中启用 Falcon Spotlight(漏洞管理)模块。

API 客户端权限

连接器使用的 API 客户端必须具有以下权限:

  • 漏洞:读取

  • 资产:读取

  • 主机:读取

如果不符合这些要求,连接器将不会导入漏洞信息。 在设置连接器之前,请确认 API 客户端配置包含这些权限。

如需了解导入哪些数据以及如何映射数据,请参阅映射(下文)。

选项

CrowdStrike 连接器具有以下选项:

  • 连接器名称:连接器的名称。
  • 连接器服务器名称: 与此连接器关联的连接器服务器的名称。 在云中运行连接器时,该服务器需要是列表中的选项。

    每个连接器只能与一个连接器服务器关联。 如果将此连接器添加到特定的连接器服务器(在“连接器”>“连接器服务器”页面上),则会为您填充此字段。 或者,您可以从列表中选择服务器。
  • CrowdStrike API 基本 URL:默认为 https://api.crowdstrike.com。
  • 客户端 ID:CrowdStrike 应用程序中所创建的 API 客户端的 ID。 客户端必须拥有资产主机 API 范围的读取权限。 有关如何创建 API 客户端的信息,请参阅 CrowdStrike 网站中的定义首个 API 客户端
  • 客户端密钥:与客户端 ID 相关联的密钥。
  • 设备阈值:要限制 Neurons 所收集的数据量,请设置特定天数的阈值。 连接器将仅导入在该时间段内已签入或更改的设备。
  • 重复:连接器应该多久收集一次数据。
  • 开始时间:连接器应该开始运行的时间。 为尽量减少对网络和应用程序的影响,我们通常建议选择在晚上或周末运行连接器。
  • 活动:连接器是否处于活动状态。 连接器处于活动状态时将根据您创建的计划运行。 如果清除该复选框,连接器则会变为非活动状态,并且在您再次启用该复选框并保存连接器之前,不会再收集数据。

有关配置或使用连接器的详细信息,请参阅连接器

映射

此连接器导入的数据映射到 Neurons 平台 数据库中的目标属性。

若要了解如何将此连接器导入的数据映射到 Neurons 目标属性,请使用下面的按钮下载 CSV 文件。

下载映射

如需了解每种数据类型的 Neurons 目标属性以及映射到它们的连接器源属性,请参阅连接器数据映射