[En desuso] Conector de CrowdStrike Falcon Endpoint Protection a través del agente antiguo para Microsoft Sentinel
El conector de CrowdStrike Falcon Endpoint Protection le permite conectar fácilmente su flujo de eventos de CrowdStrike Falcon con Microsoft Sentinel para crear paneles personalizados y alertas, y mejorar la investigación. Esto le ofrece más información sobre los puntos de conexión de su organización y mejora las capacidades de las operaciones de seguridad.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | CommonSecurityLog (CrowdStrikeFalconEventStream) |
| Compatibilidad con reglas de recopilación de datos | DCR de transformación del área de trabajo |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Principales 10 hosts con detecciones
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstHostName
| top 10 by count_
Principales 10 usuarios con detecciones
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstUserName
| top 10 by count_
Instrucciones de instalación del proveedor
NOTA: este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto, el cual se implementa como parte de la solución. Para ver el código de función en Log Analytics, abra la hoja Registros de Log Analytics/Microsoft Sentinel, haga clic en Funciones y busque el alias Crowd Strike Falcon Endpoint Protection y cargue el código de la función o haga clic aquí, en la segunda línea de la consulta, escriba los nombres de host de los dispositivos CrowdStrikeFalcon y cualquier otro identificador único para el flujo de registro. La función normalmente tardará entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.
1.0 Configuración del agente de Syslog para Linux
Instale y configure el agente de Linux para recopilar los mensajes de Syslog con el formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.
Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.
1.1. Selección o creación de una máquina Linux
Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel. Dicha máquina puede encontrarse en su entorno local, en Azure o en otras nubes.
1.2. Instalación del recopilador de CEF en la máquina Linux
Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.
Asegúrese de tener Python en la máquina con el siguiente comando: python -version.
Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}Reenvío de registros del flujo de eventos de CrowdStrike Falcon a un agente de Syslog
Implemente el recopilador de SIEM de CrowdStrike Falcon para reenviar mensajes de Syslog en formato CEF al área de trabajo de Microsoft Sentinel a través del agente de Syslog.
Siga estas instrucciones para implementar el recopilador de SIEM y reenviar Syslog.
Use la dirección IP o el nombre de host del dispositivo Linux con el agente de Linux instalado como dirección IP de destino.
Validación de la conexión
Siga las instrucciones para validar la conectividad:
Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.
La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.
Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:
Asegúrese de tener Python en la máquina con el siguiente comando: python -version.
Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para validar la conectividad:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de