Connector „Crowdstrike Falcon Data Replicator V2 (mit Azure Functions)“ für Microsoft Sentinel

Der Crowdstrike Falcon Data Replicator-Connector bietet die Möglichkeit, Rohereignisdaten aus den Falcon Platform-Ereignissen in Microsoft Sentinel zu erfassen. Der Connector bietet die Möglichkeit, Ereignisse von Falcon Agents abzurufen, um potenzielle Sicherheitsrisiken zu untersuchen, die Verwendung der Zusammenarbeit durch Ihr Team zu analysieren, Konfigurationsprobleme zu diagnostizieren und mehr.

Connector-Attribute

Connectorattribut	BESCHREIBUNG
Azure-Funktions-App-Code	https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Kusto-Funktionsalias	CrowdstrikeReplicator
Log Analytics-Tabellen	CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL
Unterstützung für Datensammlungsregeln	Derzeit nicht unterstützt
Unterstützt von	Microsoft Corporation

Abfragebeispiele

Datenreplikator – Alle Aktivitäten

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in „Crowdstrike Falcon Data Replicator V2 (mit Azure Functions)“ sicher, dass Folgendes vorhanden ist:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
• Folgende Anmeldeinformationen/Berechtigungen für SQS- und AWS S3-Konten sind erforderlich: AWS_SECRET, AWS_REGION_NAME, AWS_KEY und QUEUE_URL. Weitere Informationen zum Pullen von Daten finden Sie in der Dokumentation. Wenden Sie sich zunächst an den CrowdStrike-Support. Auf Ihre Anfrage werden ein von CrowdStrike verwalteter Amazon Web Services (AWS) S3-Bucket für kurzfristige Speicherzwecke sowie ein SQS-Konto (Simple Queue Service, einfacher Warteschlangendienst) zum Überwachen von Änderungen am S3-Bucket erstellt.

Installationsanweisungen des Anbieters

Dieser Connector verwendet Azure Functions, um eine Verbindung mit AWS SQS/S3 herzustellen und Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

(Optionaler Schritt) Speichern Sie die Autorisierungsschlüssel oder die Token für die API sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Voraussetzungen

1. Konfigurieren von FDR in CrowdStrike: Sie müssen sich an das CrowdStrike-Supportteam wenden, um FDR in CrowdStrike zu aktivieren.
   • Sobald CrowdStrike FDR aktiviert ist, navigieren Sie über die CrowdStrike-Konsole zu „Support“ > „API Clients and Keys“.
   • Sie müssen neue Anmeldeinformationen erstellen, um die AWS-Zugriffsschlüssel-ID, den geheimen AWS-Zugriffsschlüssel, die SQS-Warteschlangen-URL und die AWS-Region zu kopieren.
2. Registrieren der AAD-Anwendung: Damit DCR sich für die Erfassung von Daten in Log Analytics authentifizieren kann, müssen Sie die AAD-Anwendung verwenden.
   • Befolgen Sie diese Anweisungen (Schritte 1 bis 5), um die AAD-Mandanten-ID, die AAD-Client-ID und das AAD-Clientgeheimnis abzurufen.
   • Greifen Sie für die ID des AAD-Prinzipals dieser Anwendung über das AAD-Portal auf die AAD-App zu, und erfassen Sie die Objekt-ID auf der Anwendungsübersichtsseite.

Bereitstellungsoptionen

Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Crowdstrike Falcon Data Replicator-Connectors V2 mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   

2. Geben Sie die erforderlichen Details wie Microsoft Sentinel-Arbeitsbereich, CrowdStrike AWS-Anmeldeinformationen, Azure AD-Anwendungsdetails und Erfassungskonfigurationen an. HINWEIS: Innerhalb derselben Ressourcengruppe können Sie Windows- und Linux-Apps nicht in derselben Region kombinieren. Wählen Sie eine vorhandene Ressourcengruppe aus, die keine Windows-Apps enthält, oder erstellen Sie eine neue Ressourcengruppe. Es wird empfohlen, eine neue Ressourcengruppe für die Bereitstellung der Funktions-App und der zugeordneten Ressourcen zu erstellen.

3. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

4. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittanleitungen, um den Crowdstrike Falcon Data Replicator-Connector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen von DCE, DCR und benutzerdefinierten Tabellen für die Datenerfassung

1. Stellen Sie den erforderlichen DCE, die erforderlichen DCR und die benutzerdefinierten Tabellen mithilfe der ARM-Vorlage für Datensammlungsressourcen bereit.
2. Rufen Sie nach erfolgreicher Bereitstellung des DCE und der DCR die folgenden Informationen ab, und halten Sie sie bereit (erforderlich während der Bereitstellung der Azure Functions-App).
   • DCE-Protokollerfassung: Befolgen Sie die Anweisungen unter Erstellen eines Datensammlungsendpunkts (Schritt 3).
   • Unveränderliche IDs von DCR (sofern zutreffend): Befolgen Sie die Anweisungen unter Sammeln von Informationen aus der Datensammlungsregel (Schritt 2).

2. Bereitstellen einer Funktions-App

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
3. Führen Sie nach erfolgreicher Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

3. Konfigurieren der Funktions-App

1. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.

3. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option **Neue Anwendungseinstellung** aus.

4. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten):

   • AWS_KEY
   • AWS_SECRET
   • AWS_REGION_NAME
   • QUEUE_URL
   • USER_SELECTION_REQUIRE_RAW //True, wenn Rohdaten erforderlich sind
   • USER_SELECTION_REQUIRE_SECONDARY //True, wenn sekundäre Daten erforderlich sind
   • MAX_QUEUE_MESSAGES_MAIN_QUEUE //100 für Verbrauchsplan und 150 für Premium-Plan
   • MAX_SCRIPT_EXEC_TIME_MINUTES //Fügen Sie hier den Wert „10“ hinzu.
   • AZURE_TENANT_ID
   • AZURE_CLIENT_ID
   • AZURE_CLIENT_SECRET
   • DCE_INGESTION_ENDPOINT
   • NORMALIZED_DCR_ID
   • RAW_DATA_DCR_ID
   • EVENT_TO_TABLE_MAPPING_LINK //Datei auf GitHub vorhanden. Hinzufügen, wenn auf die Datei über das Internet zugegriffen werden kann
   • REQUIRED_FIELDS_SCHEMA_LINK //Datei auf GitHub vorhanden. Hinzufügen, wenn auf die Datei über das Internet zugegriffen werden kann
   • Schedule //Legen Sie den Wert auf „0 */1 * * * *“ fest, damit die Funktion im Minutentakt ausgeführt wird.

5. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.