Partager via

[Déconseillé] CrowdStrike Falcon Endpoint Protection via le connecteur Agent hérité pour Microsoft Sentinel

  • Article

Important

La collecte de journaux dans un grand nombre d’appliances et d’appareils est désormais prise en charge par le CEF (Common Event Format) via AMA, Syslog via AMA ou les journaux personnalisés via le connecteur de données AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Rechercher votre connecteur de données Microsoft Sentinel.

Le connecteur CrowdStrike Falcon Endpoint Protection vous permet de connecter facilement votre flux d’événements CrowdStrike Falcon à Microsoft Sentinel, de créer des tableaux de bord personnalisés et des alertes, et d’améliorer l’investigation. Cela vous donne plus d’informations sur les points de terminaison de votre organisation et améliore vos capacités d’opération de sécurité.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics CommonSecurityLog (CrowdStrikeFalconEventStream)
Prise en charge des règles de collecte des données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par Microsoft Corporation

Exemples de requête

10 principaux hôtes avec des détections

CrowdStrikeFalconEventStream 

| where EventType == "DetectionSummaryEvent" 

| summarize count() by DstHostName 

| top 10 by count_

10 principaux utilisateurs avec des détections

CrowdStrikeFalconEventStream 

| where EventType == "DetectionSummaryEvent" 

| summarize count() by DstUserName 

| top 10 by count_

Instructions d’installation du fournisseur

REMARQUE : Ce connecteur de données dépend, pour fonctionner comme prévu, d’un analyseur basé sur une fonction Kusto et déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions, recherchez l’alias Crowd Strike Falcon Endpoint Protection et chargez le code de fonction ou cliquez ici. Dans la deuxième ligne de la requête, entrez le ou les noms d’hôte de vos appareils CrowdStrikeFalcon et tous les autres identificateurs uniques pour le flux de journaux. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

Configuration de l’agent Syslog Linux 1.0

Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.1 Sélectionner ou créer une machine Linux

Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.

1.2 Installer le collecteur CEF sur la machine Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.

  2. Vous devez disposer d’autorisations élevées (sudo) sur votre machine.

    Exécutez la commande suivante pour installer et appliquer le collecteur CEF :

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  3. Transférer les journaux de flux d’événements CrowdStrike Falcon à un agent Syslog

Déployez le collecteur CrowdStrike Falcon SIEM pour transférer les messages Syslog au format CEF vers votre espace de travail Microsoft Sentinel via l’agent Syslog.

  1. Suivez ces instructions pour déployer le collecteur SIEM et transférer le Syslog

  2. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé en tant qu’adresse IP de destination.

  3. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.

Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.

  2. Vous devez disposer d’autorisations élevées (sudo) sur votre machine

    Exécutez la commande suivante pour valider votre connectivité :

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  3. Sécuriser votre machine

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation

En savoir plus

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.