บทนำ
Sangfor Athena NDR รองรับการ Integrate กับ CrowdStrike Falcon เพื่อดึงข้อมูล Endpoint Detection มาประกอบการวิเคราะห์ในฝั่ง Network และสั่ง Contain (Isolate) เครื่องที่ตรวจพบภัยคุกคามผ่าน CrowdStrike ได้โดยตรง
ข้อกำหนดเบื้องต้น
- CrowdStrike Falcon Tenant ที่ใช้งานอยู่ พร้อมสิทธิ์สร้าง API Client
- Athena NDR เวอร์ชันรองรับ Third-Party Correlation (3.0.64 ขึ้นไป)
- Network จาก NDR ออก Internet ไปยัง CrowdStrike Cloud API Endpoint (HTTPS)
- ทราบ Cloud Region ของ Tenant (US-1, US-2, EU-1 ฯลฯ)
ขั้นตอนที่ CrowdStrike Falcon
- Login เข้า Falcon Console
- ไปที่ Support and resources > API Clients and Keys
- คลิก Create API Client
- ตั้งชื่อ Client เช่น
Sangfor-AthenaNDR - กำหนด Scope ที่จำเป็น:
- Detects: Read
- Hosts: Read, Write (สำหรับ Contain)
- Incidents: Read
- บันทึก Client ID และ Secret ไว้ (Secret จะแสดงครั้งเดียว)
ขั้นตอนที่ Athena NDR
- Login เข้า Athena NDR Console
- ไปที่ System > Integration > Third-Party Correlation
- คลิก Add แล้วเลือก CrowdStrike Falcon
- กรอกข้อมูล:
- Name
- Cloud Region (เช่น
https://api.crowdstrike.com) - Client ID
- Client Secret
- คลิก Test Connection
- Save เมื่อการเชื่อมต่อสำเร็จ
การตั้งค่า Response Action
- ไปที่ Response > Response Policies
- สร้าง Policy ใหม่ เลือก Action Contain Host via CrowdStrike
- กำหนดเงื่อนไขและ Severity ที่ต้องการ
- Save และ Enable
การตรวจสอบ
- สถานะ Integration ต้องเป็น Online / Connected
- ตรวจสอบว่า Detection ของ CrowdStrike เริ่มปรากฏใน Incident ของ Athena NDR
- ทดสอบสั่ง Contain จาก NDR แล้วตรวจสอบใน Falcon ว่า Host เข้าสู่สถานะ Network Contained
หมายเหตุ
- Client Secret ของ CrowdStrike ไม่สามารถดูซ้ำได้หากไม่ได้บันทึกไว้ ให้ Regenerate ใหม่
- การ Contain ผ่าน CrowdStrike ควรจำกัดเฉพาะ Incident ที่มั่นใจเพื่อป้องกันผลกระทบต่อ User
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น