موصل CrowdStrike Falcon Adversary Intelligence (باستخدام Azure Functions) ل Microsoft Sentinel
يسترد موصل CrowdStrike Falcon Indicators of Compromise مؤشرات التسوية من واجهة برمجة تطبيقات Falcon Intel ويحملها Microsoft Sentinel Threat Intel.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الموصل
سمة الموصل | الوصف |
---|---|
التعليمات البرمجية لتطبيق وظائف Azure | https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp |
جدول (جداول) Log Analytics | مؤشراتCompromise |
دعم قواعد جمع البيانات | غير مدعوم حاليًا |
مدعومة من قبل | Microsoft Corporation |
عينات الاستعلام
Threat Intel - مؤشرات Crowdstrike للتسوية
ThreatIntelligenceIndicator
| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'
| sort by TimeGenerated desc
المتطلبات الأساسية
للتكامل مع CrowdStrike Falcon Adversary Intelligence (باستخدام Azure Functions) تأكد من أن لديك:
- أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
- معرف عميل CrowdStrike API وسر العميل: CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL. يجب أن تحتوي بيانات اعتماد CrowdStrike على نطاق قراءة المؤشرات (Falcon Intelligence).
إرشادات تثبيت المورد
الخطوة 1 - إنشاء بيانات اعتماد واجهة برمجة تطبيقات CrowdStrike.
تأكد من تحديد نطاق "Indicators (Falcon Intelligence)"
الخطوة 2 - تسجيل تطبيق إنترا مع سر العميل.
قم بتوفير تعيين دور "مساهم Azure Sentinel" لمدير تطبيق "إنترا" في مساحة عمل تحليلات السجل المعنية. كيفية تعيين الأدوار على Azure.
الخطوة 3 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة
هام
قبل نشر موصل CrowdStrike Falcon Indicator of Compromise، يكون لديك معرف مساحة العمل (يمكن نسخه من التالي).
الخيار 1 - قالب Azure Resource Manager (ARM)
استخدم هذا الأسلوب للتوزيع التلقائي لموصل CrowdStrike Falcon Adversary Intelligence باستخدام قالب ARM.
حدِّد الزر التالي Deploy to Azure.
توفير المعلمات التالية: CrowdStrikeClientId، CrowdStrikeClientSecret، CrowdStrikeBaseUrl، WorkspaceId، TenantId، المؤشرات، AadClientId، AadClientSecret، LookBackDays
الخيار 2 - النشر اليدوي لوظائف Azure
استخدم الإرشادات التالية خطوة بخطوة لنشر موصل CrowdStrike Falcon Adversary Intelligence يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).
1. نشر تطبيق الوظائف
تحتاج إلى إعداد VS Code لتطوير دالة Azure.
قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.
حدد مجلد المستوى الأعلى من الملفات المستخرجة.
اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.
قدِّم المعلومات التالية في المطالبات:
أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.
ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.
جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)
د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال CrowdStrikeFalconIOCXXXXX).
هـ. حدد وقت التشغيل: اختر Python 3.9.
و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.
ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.
انتقل إلى مدخل Microsoft Azure لتكوين Function App.
2. تكوين تطبيق الوظائف
في Function App، حدد Function App Name وحدد Configuration.
في علامة التبويب Application settings ، حدد New application setting.
أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف):
- CROWDSTRIKE_CLIENT_ID
- CROWDSTRIKE_CLIENT_SECRET
- CROWDSTRIKE_BASE_URL
- TENANT_ID
- المؤشرات
- WorkspaceKey
- AAD_CLIENT_ID
- AAD_CLIENT_SECRET
- LOOK_BACK_DAYS
- WORKSPACE_ID
بمجرد إدخال جميع إعدادات التطبيق، حدد Save.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.