[Tidak digunakan lagi] CrowdStrike Falcon Endpoint Protection melalui konektor Agen Warisan untuk Microsoft Azure Sentinel
Konektor CrowdStrike Falcon Endpoint Protection memungkinkan Anda untuk dengan mudah menghubungkan CrowdStrike Falcon Event Stream dengan Microsoft Azure Sentinel, untuk membuat dasbor kustom, pemberitahuan, dan meningkatkan penyelidikan. Ini memberi Anda lebih banyak wawasan tentang titik akhir organisasi Anda dan meningkatkan kemampuan operasi keamanan Anda.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
atribut Koneksi or
Atribut konektor | Deskripsi |
---|---|
Tabel Log Analytics | CommonSecurityLog (CrowdStrikeFalconEventStream) |
Dukungan aturan pengumpulan data | DCR transformasi ruang kerja |
Didukung oleh | Microsoft Corporation |
Kueri sampel
10 Host Teratas dengan Deteksi
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstHostName
| top 10 by count_
10 Pengguna Teratas dengan Deteksi
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstUserName
| top 10 by count_
Instruksi penginstalan vendor
CATATAN: Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan yang disebarkan sebagai bagian dari solusi. Untuk melihat kode fungsi di Log Analytics, buka bilah Log Analytics/Microsoft Sentinel Logs, klik Functions dan cari alias Crowd Strike Falcon Endpoint Protection dan muat kode fungsi atau klik di sini, pada baris kedua kueri, masukkan nama host perangkat CrowdStrikeFalcon Anda dan pengidentifikasi unik lainnya untuk logstream. Fungsi ini biasanya membutuhkan waktu 10-15 menit untuk diaktifkan setelah penginstalan/pembaruan solusi.
Konfigurasi agen Syslog Linux 1.0
Instal dan konfigurasikan agen Linux untuk mengumpulkan pesan Syslog Common Event Format (CEF) Anda dan teruskan ke Microsoft Sentinel.
Perhatikan bahwa data dari semua wilayah akan disimpan di ruang kerja yang dipilih
1.1 Memilih atau membuat komputer Linux
Pilih atau buat komputer Linux yang akan digunakan Microsoft Azure Sentinel sebagai proksi antara solusi keamanan Anda dan Microsoft Sentinel komputer ini dapat berada di lingkungan lokal Anda, Azure, atau cloud lainnya.
1.2 Menginstal kolektor CEF pada komputer Linux
Instal Microsoft Monitoring Agent di komputer Linux Anda dan konfigurasikan komputer untuk mendengarkan port yang diperlukan dan meneruskan pesan ke ruang kerja Microsoft Azure Sentinel Anda. Kolektor CEF mengumpulkan pesan CEF pada port 514 TCP.
Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python -version.
Anda harus memiliki izin yang lebih tinggi (sudo) pada mesin Anda.
Jalankan perintah berikut untuk menginstal dan menerapkan pengumpul CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Meneruskan log CrowdStrike Falcon Event Stream ke agen Syslog
Sebarkan CrowdStrike Falcon SIEM Collector untuk meneruskan pesan Syslog dalam format CEF ke ruang kerja Microsoft Azure Sentinel Anda melalui agen Syslog.
Ikuti instruksi ini untuk menyebarkan SIEM Collector dan meneruskan syslog
Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.
Validasi koneksi
Ikuti instruksi untuk memvalidasi konektivitas Anda:
Buka Analitik Log untuk memeriksa apakah log diterima menggunakan skema CommonSecurityLog.
Mungkin perlu waktu sekitar 20 menit hingga koneksi mengalirkan data ke ruang kerja Anda.
Jika log tidak diterima, jalankan skrip validasi konektivitas berikut:
Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python -version.
Anda harus memiliki izin yang ditingkatkan (sudo) pada komputer Anda
Jalankan perintah berikut untuk memvalidasi konektivitas Anda:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
Mengamankan komputer Anda
Pastikan untuk mengonfigurasi keamanan komputer sesuai dengan kebijakan keamanan organisasi Anda
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk