Konektor CrowdStrike Falcon Adversary Intelligence (menggunakan Azure Functions) untuk Microsoft Azure Sentinel
Indikator CrowdStrike Falcon konektor Kompromi mengambil Indikator Kompromi dari Falcon Intel API dan mengunggahnya Microsoft Sentinel Threat Intel.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Kode aplikasi fungsi Azure | https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp |
| Tabel Log Analytics | IndikatorOfCompromise |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Microsoft Corporation |
Kueri sampel
Intel Ancaman - Indikator Crowdstrike Kompromi
ThreatIntelligenceIndicator
| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan CrowdStrike Falcon Adversary Intelligence (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- ID Klien CrowdStrike API dan Rahasia Klien: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Kredensial CrowdStrike harus memiliki cakupan baca Indikator (Falcon Intelligence).
Instruksi penginstalan vendor
LANGKAH 1 - Hasilkan kredensial CROWDStrike API.
Pastikan cakupan 'Indikator (Kecerdasan Falcon)' telah 'dibaca' dipilih
LANGKAH 2 - Daftarkan Aplikasi Entra dengan rahasia klien.
Berikan penetapan peran 'Kontributor Microsoft Sentinel' kepada perwakilan Aplikasi Entra di ruang kerja analitik log masing-masing. Cara menetapkan peran di Azure.
LANGKAH 3 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait
Penting
Sebelum menyebarkan CrowdStrike Falcon Indicator of Compromise connector, miliki ID Ruang Kerja (dapat disalin dari yang berikut).
Opsi 1 - Templat Azure Resource Manager (ARM)
Gunakan metode ini untuk penyebaran otomatis konektor CrowdStrike Falcon Adversary Intelligence menggunakan templat ARM.
Pilih tombol Sebarkan ke Azure berikut.
Berikan parameter berikut: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays
Opsi 2 - Penyebaran Manual Azure Functions
Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor CrowdStrike Falcon Adversary Intelligence secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).
1. Menyebarkan Aplikasi Fungsi
Anda perlu menyiapkan Visual Studio Code untuk pengembangan fungsi Azure.
Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.
Jalankan VS Code. Pilih File di menu utama dan pilih Buka Folder.
Pilih folder tingkat atas dari file yang diekstrak.
Pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih tombol Sebarkan ke aplikasi fungsi. Jika Anda belum masuk, pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih Masuk ke Azure Jika Anda sudah masuk, buka langkah berikutnya.
Berikan informasi berikut pada permintaan:
a. Pilih folder: Pilih folder dari ruang kerja Anda atau telusuri ke folder yang berisi aplikasi fungsi Anda.
b. Pilih Langganan: Pilih langganan yang akan digunakan.
c. Pilih Buat Aplikasi Fungsi baru di Azure (Jangan pilih opsi Tingkat Lanjut)
d. Masukkan nama unik global untuk aplikasi fungsi :Ketikkan nama yang valid di jalur URL. Nama yang Anda ketik akan divalidasi untuk memastikan bahwa nama tersebut bersifat unik di Azure Functions. (misalnya CrowdStrikeFalconIOCXXXXXX).
e. Pilih runtime: Pilih Python 3.9.
f. Pilih lokasi untuk sumber daya baru. Untuk performa yang lebih baik dan biaya yang lebih rendah, pilih wilayah yang sama tempat Microsoft Azure Sentinel berada.
Penyebaran akan dimulai. Notifikasi ditampilkan setelah aplikasi fungsi Anda dibuat dan paket penyebaran diterapkan.
Buka portal Azure untuk konfigurasi Aplikasi Fungsi.
2. Mengonfigurasi Aplikasi Fungsi
Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
Di tab Pengaturan aplikasi, pilih Pengaturan aplikasi baru.
Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil):
- CROWDSTRIKE_CLIENT_ID
- CROWDSTRIKE_CLIENT_SECRET
- CROWDSTRIKE_BASE_URL
- TENANT_ID
- INDIKATOR
- WorkspaceKey
- AAD_CLIENT_ID
- AAD_CLIENT_SECRET
- LOOK_BACK_DAYS
- WORKSPACE_ID
Setelah semua pengaturan aplikasi dimasukkan, pilih Simpan.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk