• 使用を開始する
  • 関連ドキュメント

データ マネージャー - Falcon アダプター

Jira Service Management Cloud のアセット データ マネージャーは Premium と Enterprise のみの機能であり、現在はオープン ベータ版を開発中です。公開予定の機能のリストを見て、投票してください。

バグを発見した場合、ご質問がある場合は、アトラシアン サポートまたはアトラシアン コミュニティにご連絡ください。

はじめに

Falcon とは CrowdStrike が開発したツールで、エンドポイント検出/対応 (EDR) ソフトウェアです。インストールされているデバイスを監視して、悪意のあるアクティビティの兆候がないかを調査し、脅威を封じ込めます。

Falcon Adapter は API 接続によってデータをアセット データ マネージャーに取り込みます。

このツールをアセット データ マネージャーに接続するにはどうすればいいですか?

このタスクを完了するには、データ マネージャー アダプターの管理者権限が必要です。データ マネージャーでの権限とロールの仕組みをご覧ください

 

カスタム ビルドのアダプターを使用して、このツールをアセット データ マネージャーに接続するには、次の手順に従います。

  1. 名前オブジェクト クラスデータ ソース名データ ソース タイプなど、「データ マネージャー フィールド」のセクションにリストされているすべての情報を収集します。

  2. 「Falcon フィールド」セクションにすべての情報を集めます。これを行うには、Falcon に関するエキスパート (SME) への相談が必要となる場合があります。

  3. データ マネージャー内:

    1. ご利用のツールに合ったアダプターを選択して、新しいジョブを作成します。

    2. すべての必須フィールドに適切な情報を設定します。

  4. Falcon 内:

    1. 認証と承認を適切に設定するには、次の「認証と承認」セクションに記載されているすべての手順に従います。

    2. 呼び出しの概要については、次の「API 呼び出し」セクションの情報をご参照ください。

    3. 以下の「取得したフィールド」セクションの情報をご確認ください。

このジョブが実行されるたびに、選択したデータは、構成されたアダプタを使用してデータ マネージャーに取り込まれ、生データになります。

データ マネージャー フィールド

アセット データ マネージャーから取得した次の情報を指定する必要があります。

  1. 名前 - 接続の名前。[アダプター] でジョブ名として表示されます。

  2. オブジェクト クラス - データをロードするオブジェクト クラスの名前。

  3. データ ソース名 - 作成されるデータのタイプ。通常はツールの名前 (例: AD、Qualys) となります。注意: [名前] と同じ名前でも問題はありません。

  4. データ ソース タイプ - ツールが提供するデータのタイプ。たとえば、アセット、CMDB、ユーザーの場所などです。

Falcon フィールド

Falcon からの次の情報を指定する必要があります。

  1. API URL: CrowdStrike ソースにアクセスするためのAPI URL。

  2. クライアント ID: Crowdstrike でのアカウントのセットアップ時に作成されたクライアント ID。

  3. クライアント シークレット: Crowdstrike でのアカウントのセットアップ時に作成されたシークレット文字列。

  4. API 制限: API 結果のページ サイズを設定します。"API 制限" フィールドでは、データ マネージャーによって消費され、バックエンドのステージング データベースに転送されるリクエスト/データ (またはレコード) の量を設定できます。

API 制限は既定で 5000 に設定されています。ただし、ソースに大量のデータが格納されている場合は、数値を 1000 に制限するのがベスト プラクティスです。この API 制限は、結果が正常に返されるように、1 から 5000 の間で調整できます。

認証と承認

  1. API クライアントを作成して、さまざまな目的のために異なるレベルの API アクセスを許可しましょう。

  2. 「API クライアントとキー」ページから、OAuth2 API クライアント テーブルで [新しい API クライアントを追加] をクリックします。

  3. API クライアントを定義するために、クライアント名 (必須)、説明 (オプション)、API スコープを入力します。

  4. [追加] をクリックして API クライアントを保存し、クライアント ID とシークレットを生成します。

API 呼び出し

Falcon の API 呼び出しは Device.Read.All です。

  1. アダプター クライアントは API を直接呼び出して、リソース (デバイス) のリストを取得します。

    1. API: {api-url}/devices/queries/devices-scroll/v1?limit={apiLimit}

    2. メソッド: GET

    3. 応答:
      メタ (query_time、ページネーション、powered_by、trace_id)、リソース (文字列のリスト)、エラーの各リスト

  2. 次に、リソース (デバイス ID) によって API を呼び出し、デバイス情報を取得します。

    1. API: {api-url}/devices/entities/devices/v2

    2. メソッド: POST

    3. 応答: 次の「フィールド取得」セクションをご参照ください。

取得したフィールド

次のフィールドが取得されます。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 DeviceId Cid AgentLoadFlags AgentLocalTime AgentVersion BiosManufacturer BiosVersion ConfigIdBase ConfigIdBuild ConfigIdPlatform CpuSignature ExternalIp MacAddress InstanceId ServiceProvider ServiceProviderAccountId Hostname FirstSeen LastSeen LocalIp MajorVersion MinorVersion OsVersion PlatformId PlatformName ReducedFunctionalityMode PreventionPolicyId PreventionApplied PreventionSettingsHash PreventionAssignedDate PreventionAppliedDate SensorUpdatePolicyId SensorUpdateApplied SensorUpdateSettingsHash SensorUpdateAssignedDate SensorUpdateAppliedDat SensorUpdateUninstallProtection DeviceControlPolicyId DeviceControlApplied DeviceControlAssignedDat DeviceControlAppliedDate GlobalConfigPolicyId GlobalConfigApplied GlobalConfigSettingsHash GlobalConfigAssignedDate GlobalConfigAppliedDat RemoteResponsePolicyId RemoteResponseApplied RemoteResponseSettingsHash RemoteResponseAssignedDate RemoteResponseAppliedDate AirlockPolicyId AirlockApplie AirlockSettingsHash AirlockAssignedDate AirlockAppliedDate AirlockVersion FirewallPolicyId FirewallApplied FirewallAssignedDate FirewallAppliedDate FirewallRuleSetId Groups GroupHash ProductTypeDesc SerialNumber Status SystemManufacturer SystemProductName Tags ModifiedTimestamp QueryTim PoweredBy TraceId Version VersionString ZoneGroup KernelVersion ChassisType ChassisTypeDesc ConnectionIp DefaultGatewayIp ConnectionMacAddress LinuxSensorMode DeploymentType ProvisionStatus BuildNumber OsBuild Ous ManagedAppsAirlockPolicyId ManagedAppsAirlockApplied ManagedAppsAirlockSettingsHash ManagedAppsAirlockAssignedDate ManagedAppsAirlockAppliedDate ManagedAppsAirlockVersion ProductType ServicePackMinor PointerSize SiteName OsProductName LastReboot MachineDomain ServicePackMajor DetectionSuppressionStatus

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。