Connecteur CrowdStrike Falcon Data Replicator V2 (avec Azure Functions) pour Microsoft Sentinel
Le connecteur Crowdstrike Falcon Data Replicator offre la possibilité d’ingérer des données d’événements brutes à partir des événements de la plateforme Falcon dans Microsoft Sentinel. Le connecteur permet d’obtenir les événements de Falcon Agents pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Code d’application de fonction Azure | https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp |
| Alias de fonction Kusto | CrowdstrikeReplicator |
| Table(s) Log Analytics | CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL |
| Support des Règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Réplicateur de données - Toutes les activités
CrowdStrikeReplicatorV2
| sort by TimeGenerated desc
Prérequis
Pour intégrer CrowdStrike Falcon Data Replicator V2 (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL sont requis. Consultez la documentation pour en savoir plus sur l’extraction de données. Pour commencer, contactez le support CrowdStrike. À votre demande, ils créent un compartiment Amazon Web Services (AWS) S3 géré par CrowdStrike à des fins de stockage à court terme, ainsi qu’un compte SQS (service de file d’attente simple) pour surveiller les modifications apportées au compartiment S3.
Instructions d’installation du fournisseur
Ce connecteur utilise Azure Functions pour se connecter à AWS SQ / S3 et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Prérequis
- Configurez FDR dans CrowdStrike. Vous devez contacter l’équipe du support technique CrowdStrike pour activer CrowdStrike FDR.
- Une fois CrowdStrike FDR activé, à partir de la console CrowdStrike, accédez à Support --> API Clients and Keys (Clients et clés d’API).
- Vous devez créer des informations d’identification pour copier l’ID de clé d’accès AWS, la clé d’accès au secret AWS, l’URL de file d’attente SQS et la région AWS.
- Inscrivez l’application AAD. Pour que DCR puisse s’authentifier pour ingérer les données dans Log Analytics, vous devez utiliser l’application AAD.
- Suivez les instructions fournies ici (étapes 1 à 5) pour obtenir l’ID de locataire AAD, l’ID de client AAD et la clé secrète client AAD.
- Pour l’ID du principal AAD de cette application, accédez à l’application AAD via le portail AAD et capturez l’ID d’objet à partir de la page de vue d’ensemble de l’application.
Options de déploiement
Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
Option 1 – Modèle Azure Resource Manager (ARM)
Utilisez cette méthode pour le déploiement automatisé du connecteur CrowdStrike Falcon Data Replicator V2 à l’aide d’un modèle ARM.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Fournissez les détails requis tels que l’espace de travail Microsoft Sentinel, les informations d’identification CrowdStrike AWS, les détails de l’application Azure AD et les configurations d’ingestion. REMARQUE : au sein d’un même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. Il est recommandé de créer un groupe de ressources pour le déploiement de l’application de fonction et des ressources associées.
Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
Cliquez sur Acheter pour déployer.
Option 2 - Déploiement manuel de fonctions Azure
Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données Crowdstrike Falcon Data Replicator avec with Azure Functions (Déploiement via Visual Studio Code).
1. Déployer le DCE, les DCR et les tables personnalisées pour l’ingestion de données
- Déployez le DCR requis, les DCE et les tables personnalisées à l’aide du modèle ARM de la ressource de collecte de données.
- Une fois le déploiement de DCE et des DCR réussi, procurez-vous les informations ci-dessous et conservez-les à portée de main (elles sont requises pendant le déploiement de l’application Azure Functions).
- Ingestion du journal DCE. Suivez les instructions disponibles à la section Créer un point de terminaison de collecte de données (étape 3).
- ID immuables d’une ou plusieurs règles DCR (le cas échéant). Suivez les instructions disponibles à la section Collecter des informations à partir de la règle DCR (étape 2).
2. Déployer une application de fonction
- Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.
- Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
- Après avoir déployé l’application de fonction, suivez les étapes suivantes pour la configurer.
3. Configurer l’application de fonction
Accédez au Portail Azure pour la configuration de l’application de fonction.
Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
Sous l’onglet Paramètres d’application, sélectionnez ** Nouveau paramètre d’application**.
Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) :
- AWS_KEY
- AWS_SECRET
- AWS_REGION_NAME
- QUEUE_URL
- USER_SELECTION_REQUIRE_RAW //True if raw data is required
- USER_SELECTION_REQUIRE_SECONDARY //True if secondary data is required
- MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 for consumption and 150 for Premium
- MAX_SCRIPT_EXEC_TIME_MINUTES // add the value of 10 here
- AZURE_TENANT_ID
- AZURE_CLIENT_ID
- AZURE_CLIENT_SECRET
- DCE_INGESTION_ENDPOINT
- NORMALIZED_DCR_ID
- RAW_DATA_DCR_ID
- EVENT_TO_TABLE_MAPPING_LINK // File is present on github. Add if the file can be accessed using internet
- REQUIRED_FIELDS_SCHEMA_LINK //File is present on github. Add if the file can be accessed using internet
- Schedule //Add value as '0 */1 * * * *' to ensure the function runs every minute.
Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.