Konektor Crowdstrike Falcon Data Replicator V2 (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor Crowdstrike Falcon Data Replicator menyediakan kemampuan untuk menyerap data peristiwa mentah dari peristiwa Platform Falcon ke Microsoft Azure Sentinel. Konektor ini menyediakan kemampuan untuk mendapatkan peristiwa dari Agen Falcon yang membantu memeriksa potensi risiko keamanan, menganalisis penggunaan kolaborasi tim Anda, mendiagnosis masalah konfigurasi, dan banyak lagi.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
Atribut konektor | Deskripsi |
---|---|
Kode aplikasi fungsi Azure | https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp |
Alias fungsi Kusto | CrowdstrikeReplicator |
Url fungsi Kusto | https://aka.ms/sentinel-crowdstrikereplicator-parser |
Tabel Log Analytics | CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL |
Dukungan aturan pengumpulan data | Saat ini tidak didukung |
Didukung oleh | Microsoft Corporation |
Kueri sampel
Replikator Data - Semua Aktivitas
CrowdStrikeReplicatorV2
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan Crowdstrike Falcon Data Replicator V2 (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Kredensial/izin akun SQS dan AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang penarikan data. Untuk memulai, hubungi dukungan CrowdStrike. Atas permintaan Anda, mereka akan membuat wadah Amazon Web Services (AWS) S3 terkelola CrowdStrike untuk tujuan penyimpanan jangka pendek serta akun SQS (layanan antrean sederhana) untuk memantau perubahan pada wadah S3.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke AWS SQS / S3 untuk menarik log ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.
(Langkah Opsional) Simpan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
Prasyarat
- Konfigurasikan FDR di CrowdStrike - Anda harus menghubungi tim dukungan CrowdStrike untuk mengaktifkan CrowdStrike FDR.
- Setelah CrowdStrike FDR diaktifkan, dari konsol CrowdStrike, navigasikan ke Dukungan --> Klien api dan Kunci.
- Anda perlu Membuat kredensial baru untuk menyalin ID Kunci Akses AWS, Kunci Akses Rahasia AWS, URL Antrean SQS, dan Wilayah AWS.
- Daftarkan aplikasi AAD - Agar DCR memahami untuk menyerap data ke dalam analitik log, Anda harus menggunakan aplikasi AAD.
- Ikuti instruksi di sini (langkah 1-5) untuk mendapatkan Id Penyewa AAD, Id Klien AAD, dan Rahasia Klien AAD.
- Untuk Id Utama AAD aplikasi ini, akses Aplikasi AAD melalui Portal AAD dan ambil Id Objek dari halaman gambaran umum aplikasi.
Opsi Penyebaran
Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Azure Function terkait
Opsi 1 - Templat Azure Resource Manager (ARM)
Gunakan metode ini untuk penyebaran otomatis konektor Crowdstrike Falcon Data Replicator V2 menggunakan ARM Tempate.
Klik tombol Sebarkan ke Azure di bawah ini.
Berikan detail yang diperlukan seperti Ruang Kerja Microsoft Sentinel, kredensial CrowdStrike AWS, detail Aplikasi Azure AD, dan konfigurasi penyerapan CATATAN: Dalam grup sumber daya yang sama, Anda tidak dapat mencampur aplikasi Windows dan Linux di wilayah yang sama. Pilih grup sumber daya yang ada tanpa aplikasi Windows di dalamnya atau buat grup sumber daya baru. Disarankan untuk membuat Grup Sumber Daya baru untuk penyebaran aplikasi fungsi dan sumber daya terkait.
Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.
Klik Beli untuk menyebarkan.
Opsi 2 - Penyebaran Manual Azure Functions
Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor Crowdstrike Falcon Data Replicator secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).
1. Sebarkan DCE, DCR, dan Tabel Kustom untuk penyerapan data
- Menyebarkan DCE, DCR, dan Tabel Kustom yang diperlukan dengan menggunakan templat ARM Sumber Daya Pengumpulan Data
- Setelah penyebaran DCE dan DCR berhasil, dapatkan informasi di bawah ini dan tetap berguna (diperlukan selama penyebaran aplikasi Azure Functions).
- Penyerapan log DCE - Ikuti instruksi yang tersedia di Membuat titik akhir pengumpulan data (Langkah 3).
- Id yang tidak dapat diubah dari satu atau beberapa DCR (sebagaimana berlaku) - Ikuti instruksi yang tersedia di Mengumpulkan informasi dari DCR (Stpe 2).
2. Menyebarkan Aplikasi Fungsi
- Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.
- Ikuti instruksi penyebaran manual aplikasi fungsi untuk menyebarkan aplikasi Azure Functions menggunakan VSCode.
- Setelah penyebaran aplikasi fungsi berhasil, ikuti langkah berikutnya untuk mengonfigurasinya.
3. Mengonfigurasi Aplikasi Fungsi
Buka Portal Microsoft Azure untuk konfigurasi Aplikasi Fungsi.
Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
Di tab Pengaturan aplikasi, pilih ** Pengaturan aplikasi baru**.
Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil):
- AWS_KEY
- AWS_SECRET
- AWS_REGION_NAME
- QUEUE_URL
- USER_SELECTION_REQUIRE_RAW //True jika data mentah diperlukan
- USER_SELECTION_REQUIRE_SECONDARY //True jika data sekunder diperlukan
- MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 untuk konsumsi dan 150 untuk Premium
- MAX_SCRIPT_EXEC_TIME_MINUTES // tambahkan nilai 10 di sini
- AZURE_TENANT_ID
- AZURE_CLIENT_ID
- AZURE_CLIENT_SECRET
- DCE_INGESTION_ENDPOINT
- NORMALIZED_DCR_ID
- RAW_DATA_DCR_ID
- EVENT_TO_TABLE_MAPPING_LINK // File ada di github. Tambahkan jika file dapat diakses menggunakan internet
- REQUIRED_FIELDS_SCHEMA_LINK //File ada di github. Tambahkan jika file dapat diakses menggunakan internet
- Jadwalkan //Tambahkan nilai sebagai '0 */1 * * * *' untuk memastikan fungsi berjalan setiap menit.
Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk