[Elavult] CrowdStrike Falcon Endpoint Protection a Microsoft Sentinel örökölt ügynök-összekötőjével
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
A CrowdStrike Falcon Endpoint Protection-összekötővel egyszerűen csatlakoztathatja CrowdStrike Falcon-eseményfolyamát a Microsoft Sentinelhez egyéni irányítópultok, riasztások létrehozása és a vizsgálat javítása érdekében. Ez további betekintést nyújt a szervezet végpontjaiba, és javítja a biztonsági műveletek képességeit.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
Összekötő attribútum | Leírás |
---|---|
Log Analytics-tábla(ok) | CommonSecurityLog (CrowdStrikeFalconEventStream) |
Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
Top 10 Hosts with Detections
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstHostName
| top 10 by count_
A 10 legjobb észleléssel rendelkező felhasználó
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstUserName
| top 10 by count_
Szállító telepítési útmutatója
MEGJEGYZÉS: Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Naplók panelt, kattintson a Functions elemre, és keresse meg a Crowd Strike Falcon Endpoint Protection aliast, és töltse be a függvénykódot, vagy kattintson ide, a lekérdezés második sorában adja meg a CrowdStrikeFalcon-eszköz(ek) állomásnevét és a naplóstream egyéb egyedi azonosítóit. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.
1.0 Linux Syslog-ügynök konfigurálása
Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.
Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva
1.1 Linux-gép kiválasztása vagy létrehozása
Válasszon vagy hozzon létre egy Linux rendszerű gépet, amelyet a Microsoft Sentinel a biztonsági megoldás és a Microsoft Sentinel közötti proxyként használ, és ez a gép a helyszíni környezetben, az Azure-ban vagy más felhőkben is lehet.
1.2 A CEF-gyűjtő telepítése a Linux-gépen
Telepítse a Microsoft Monitoring Agentet a Linux rendszerű gépére, és konfigurálja a gépet a szükséges port figyelésére, és küldje el az üzeneteket a Microsoft Sentinel-munkaterületre. A CEF-gyűjtő cef-üzeneteket gyűjt az 514-ös TCP-porton.
Győződjön meg arról, hogy a python a gépén a következő paranccsal van telepítve: python -version.
Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen.
Futtassa a következő parancsot a CEF-gyűjtő telepítéséhez és alkalmazásához:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
A CrowdStrike Falcon eseményfolyamnaplóinak továbbítása syslog-ügynöknek
Telepítse a CrowdStrike Falcon SIEM Collectort, hogy CEF formátumban továbbíthassa a Syslog-üzeneteket a Microsoft Sentinel-munkaterületre a Syslog-ügynökön keresztül.
Kövesse az alábbi utasításokat a SIEM Collector üzembe helyezéséhez és a syslog továbbításához
Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel.
Kapcsolat ellenőrzése
Kövesse az utasításokat a kapcsolat ellenőrzéséhez:
Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a CommonSecurityLog sémával érkeznek-e.
Ez körülbelül 20 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.
Ha a naplók nem érkeztek meg, futtassa a következő kapcsolatérvényesítési szkriptet:
Győződjön meg arról, hogy a python a gépén a következő paranccsal van telepítve: python -version.
Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen
Futtassa a következő parancsot a kapcsolat ellenőrzéséhez:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.