CrowdStrike/foundry-sample-threat-intel

 # 威胁情报检测增强示例 Foundry 应用 威胁情报检测增强示例 Foundry 应用是一个社区驱动的开源项目，旨在作为使用 CrowdStrike Foundry 生态系统构建应用的示例。 `foundry-sample-threat-intel` 是一个开源项目，而非 CrowdStrike 产品。因此，它不提供任何形式或暗示的正式支持。 此应用是 Foundry 中包含的多个应用模板之一，您可以使用它来快速启动开发。它配备了一组与业务目标一致的预配置功能。您可以在 Foundry UI 的模板页面一键部署此应用，或使用 CLI 从此模板创建应用。 ## 描述 威胁情报检测增强应用是一个基于 CrowdStrike Foundry 平台构建的无代码示例应用程序。它演示了开发人员如何通过将额外的威胁情报数据直接集成到用户界面中，来增强 Falcon 的端点检测能力。 - 集成来自两个 Falcon API 端点的数据： - Malware API - Indicators of Compromise (IOC) API - 向端点检测屏幕添加自定义 widget - 提供丰富的威胁情报，无需用户离开当前页面 - 完全使用 Foundry 的无代码功能构建 ## 前置条件 - Foundry CLI（说明见下文）。 - 具有以下作用域的有效 Crowdstrike API 密钥：Malware Analysis 和 IOCs ### 安装 Foundry CLI 您可以在 Windows 上使用 Scoop 或在 Linux/macOS 上使用 Homebrew 安装 Foundry CLI。 **Windows**: 安装 [Scoop](https://scoop.sh/)。然后，添加 Foundry CLI 存储库并安装 Foundry CLI。 ``` scoop bucket add foundry https://github.com/crowdstrike/scoop-foundry-cli.git scoop install foundry ``` 或者，您可以下载 [最新的 Windows zip 文件](https://assets.foundry.crowdstrike.com/cli/latest/foundry_Windows_x86_64.zip)，解压后，将安装目录添加到您的 PATH 环境变量中。 **Linux 和 macOS**: 安装 [Homebrew](https://docs.brew.sh/Installation)。然后，将 Foundry CLI 存储库添加到 Homebrew 使用的 formulae 列表中并安装 CLI： ``` brew tap crowdstrike/foundry-cli brew install crowdstrike/foundry-cli/foundry ``` 运行 `foundry version` 以验证安装是否正确。 ## 快速开始 将此示例克隆到您的本地系统，或 [下载 zip 文件](https://github.com/CrowdStrike/foundry-sample-threat-intel/archive/refs/heads/main.zip)。 ``` git clone https://github.com/CrowdStrike/foundry-sample-threat-intel cd foundry-sample-threat-intel ``` 登录 Foundry： ``` foundry login ``` 选择以下权限： - [ ] 创建并运行 RTR 脚本 - [ ] 创建、执行和测试工作流模板 - [x] 创建、运行和查看 API 集成 - [ ] 创建、编辑、删除和列出查询 部署应用： ``` foundry apps deploy ``` 部署完成后，您可以发布应用： ``` foundry apps release ``` 接下来，进入 **Foundry** > **App catalog**，找到您的应用并安装。系统将要求您添加应用的 API 凭证，您可以在 Support and resources > API clients and keys 中创建它们。 您也可以直接从 CrowdStrike Falcon 实例中的 Foundry Templates 页面安装此应用： - 导航到您 CrowdStrike Falcon 实例中的 Foundry Templates 页面 - 搜索 Threat Intelligence Detections Enrichment - 按照屏幕提示完成安装 - 提供一个 Crowdstrike API 密钥，您可以在 Support and resources > API clients and keys 中创建一个 ## 关于此示例应用 威胁情报检测增强应用演示了如何利用 Foundry 通过额外的威胁情报数据来增强端点检测能力。 ### 架构与组件 该应用程序由多个协同工作的集成组件组成： 1. **UI Extensions**： - 集成到端点检测屏幕的自定义 widget - 提供用于查看增强威胁情报数据的界面 2. **API Integrations**： - `Crowdstrike_Intelligence.json` - 连接到 Falcon 的 Malware 和 IOC API 以检索威胁情报数据 ### 工作原理 1. **威胁情报增强**： - 查看端点检测时，扩展会加载额外的威胁情报数据 - 应用从 Malware API 和 IOC API 获取数据 - 信息直接呈现在检测界面中，无需用户导航到单独的屏幕 - 这种增强为安全分析师提供了关于潜在威胁的更多上下文信息 2. **无代码实现**： - 整个应用使用 Foundry 的无代码功能构建 - 演示了如何在无需传统编程的情况下创建强大的集成 此示例演示了多项 Foundry 功能，包括直接集成到现有 Falcon 界面的 UI Extensions，以及与 Falcon 平台的无缝 API 集成。这些组件共同创建了一个紧密的应用程序，通过在检测工作流中直接提供丰富的威胁情报数据来增强安全运营。 ## 端到端测试 本项目包含全面的基于 Playwright 的 E2E 测试，用于验证威胁情报扩展是否正确呈现并显示来自 Malware 和 IOC API 的数据。 ### 本地运行 E2E 测试 1. 导航到 e2e 目录： cd e2e 2. 安装依赖项： npm install npx playwright install chromium 3. 配置您的环境： cp .env.sample .env # 使用您的 Falcon 凭证编辑 .env 4. 运行测试： npm test 有关 E2E 测试的详细信息，请参阅 [e2e/README.md](e2e/README.md)。 ### CI/CD E2E 测试会在以下情况自动运行： - 推送到 main 分支 - Pull requests - 手动工作流调度 测试验证扩展是否在检测详情中呈现并显示威胁情报数据。 ## Foundry 资源 - Foundry 文档：[US-1](https://falcon.crowdstrike.com/documentation/category/c3d64B8e/falcon-foundry) | [US-2](https://falcon.us-2.crowdstrike.com/documentation/category/c3d64B8e/falcon-foundry) | [EU](https://falcon.eu-1.crowdstrike.com/documentation/category/c3d64B8e/falcon-foundry) - Foundry 学习资源：[US-1](https://falcon.crowdstrike.com/foundry/learn) | [US-2](https://falcon.us-2.crowdstrike.com/foundry/learn) | [EU](https://falcon.eu-1.crowdstrike.com/foundry/learn)

WE STOP BREACHES

标签：API集成, Conpot, CrowdStrike, DAST, DNS解析, EDR增强, Falcon, Foundry, FTP漏洞扫描, IOC, MITM代理, Windows安全, 可观测性, 失陷指标, 威胁情报, 安全微件, 安全编排, 开发者工具, 开源项目, 恶意软件分析, 无代码开发, 样本应用, 检测富化, 特征检测, 端点检测, 结构化查询, 自动化安全, 自动化攻击