Megosztás a következőn keresztül:

Crowdstrike Falcon Data Replicator V2 (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Crowdstrike Falcon Adatreplikátor-összekötő lehetővé teszi nyers eseményadatok betöltését a Falcon Platform eseményeiből a Microsoft Sentinelbe. Az összekötő lehetővé teszi események lekérését a Falcon-ügynököktől, amelyek segítenek megvizsgálni a lehetséges biztonsági kockázatokat, elemezni a csapat együttműködésének használatát, diagnosztizálni a konfigurációs problémákat stb.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Azure-függvényalkalmazás kódja https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Kusto függvény aliasa CrowdstrikeReplicator
Kusto függvény URL-címe https://aka.ms/sentinel-crowdstrikereplicator-parser
Log Analytics-tábla(ok) CrowdStrike_Additional_Events_CL
ASimNetworkSessionLogs
ASimDnsActivityLogs
ASimAuditEventLogs
ASimFileEventLogs
ASimAuthenticationEventLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
CrowdStrike_Secondary_Data_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

Adatreplikátor – Minden tevékenység

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

Előfeltételek

A Crowdstrike Falcon Data Replicator V2-vel való integrálásához (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • SQS- és AWS S3-fiók hitelesítő adatai/engedélyei: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL szükséges. Az adatok lekérésével kapcsolatos további információkért tekintse meg a dokumentációt. Első lépésként lépjen kapcsolatba a CrowdStrike ügyfélszolgálatával. Az Ön kérésére létrehoznak egy CrowdStrike által felügyelt Amazon Web Services (AWS) S3 gyűjtőt rövid távú tárolási célokra, valamint egy SQS-fiókot (egyszerű üzenetsor-szolgáltatás) az S3-gyűjtő módosításainak figyeléséhez.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik az AWS SQS/S3-hoz a naplók Microsoft Sentinelbe való lekéréséhez. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja az API engedélyezési kulcs(oka)t vagy jogkivonatokat az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

Előfeltételek

  1. FDR konfigurálása a CrowdStrike-ben – A CrowdStrike támogatási csapatával kell kapcsolatba lépnie a CrowdStrike FDR engedélyezéséhez.
    • Miután a CrowdStrike FDR engedélyezve van, a CrowdStrike-konzolon lépjen a Támogatási – API-ügyfelek> és kulcsok elemre.
    • Új hitelesítő adatokat kell létrehoznia az AWS hozzáférési kulcsazonosítójának, az AWS titkos hozzáférési kulcsának, az SQS-üzenetsor URL-címének és az AWS-régiónak a másolásához.
  2. AAD-alkalmazás regisztrálása – Ahhoz, hogy a DCR hitelesítse az adatok log analyticsbe való betöltését, AAD-alkalmazást kell használnia.
    • Kövesse az itt található utasításokat (1–5. lépés) az AAD-bérlőazonosító, az AAD-ügyfélazonosító és az AAD-ügyfél titkos kódjának lekéréséhez.
    • Az alkalmazás AAD-főazonosítója esetében az AAD-alkalmazáshoz az AAD-portálon keresztül férhet hozzá, és rögzítse az objektumazonosítót az alkalmazás áttekintési oldaláról.

Üzembe helyezési lehetőségek

Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a kapcsolódó Azure-függvény üzembe helyezéséhez

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető a Crowdstrike Falcon Data Replicator-összekötő V2 egy ARM Tempate használatával.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban Üzembe helyezés az Azure Governmentben

  2. Adja meg a szükséges adatokat, például a Microsoft Sentinel-munkaterületet, a CrowdStrike AWS hitelesítő adatait, az Azure AD-alkalmazások adatait és a betöltési konfigurációkat MEGJEGYZÉS: Ugyanazon erőforráscsoporton belül nem keverheti a Windows- és Linux-alkalmazásokat ugyanabban a régióban. Válassza ki a meglévő erőforráscsoportot Windows-alkalmazások nélkül, vagy hozzon létre új erőforráscsoportot. Javasoljuk, hogy hozzon létre egy új erőforráscsoportot a függvényalkalmazás és a társított erőforrások üzembe helyezéséhez.

  3. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.

  4. Kattintson a Vásárlás gombra az üzembe helyezéshez.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

A Crowdstrike Falcon Data Replicator-összekötő manuális üzembe helyezéséhez kövesse az alábbi lépésenkénti utasításokat az Azure Functionsben (Üzembe helyezés a Visual Studio Code-on keresztül).

1. DCE, DCR és egyéni táblák üzembe helyezése adatbetöltéshez

  1. Telepítse a szükséges DCE-t, DCR-eket és egyéni táblákat az adatgyűjtési erőforrás ARM-sablonjával
  2. A DCE és a DCR sikeres üzembe helyezése után szerezze be az alábbi információkat, és tartsa kéznél (az Azure Functions-alkalmazások üzembe helyezése során szükséges).

2. Függvényalkalmazás üzembe helyezése

  1. Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.
  2. Kövesse a függvényalkalmazás manuális üzembe helyezési utasításait az Azure Functions-alkalmazás VSCode használatával történő üzembe helyezéséhez.
  3. A függvényalkalmazás sikeres üzembe helyezése után kövesse a konfigurálás következő lépéseit.

3. A függvényalkalmazás konfigurálása

  1. Nyissa meg az Azure Portalt a függvényalkalmazás konfigurációjához.

  2. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.

  3. Az Alkalmazásbeállítások lapon válassza az ** Új alkalmazásbeállítás** lehetőséget.

  4. Adja hozzá egyenként az alábbi alkalmazásbeállításokat a megfelelő sztringértékekkel (kis- és nagybetűk megkülönböztetése):

    • AWS_KEY
    • AWS_SECRET
    • AWS_REGION_NAME
    • QUEUE_URL
    • USER_SELECTION_REQUIRE_RAW //Igaz, ha nyers adatokra van szükség
    • USER_SELECTION_REQUIRE_SECONDARY //Igaz, ha másodlagos adatokra van szükség
    • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 fogyasztásra és 150 premiumra
    • MAX_SCRIPT_EXEC_TIME_MINUTES // adja meg a 10-et
    • AZURE_TENANT_ID
    • AZURE_CLIENT_ID
    • AZURE_CLIENT_SECRET
    • DCE_INGESTION_ENDPOINT
    • NORMALIZED_DCR_ID
    • RAW_DATA_DCR_ID
    • EVENT_TO_TABLE_MAPPING_LINK // A fájl megtalálható a GitHubon. Hozzáadás, ha a fájl internetről érhető el
    • REQUIRED_FIELDS_SCHEMA_LINK //A fájl megtalálható a GitHubon. Hozzáadás, ha a fájl internetről érhető el
    • Ütemezze a //Add értéket "0 */1 * * * *" értékként, hogy a függvény percenként fusson.

  5. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.