Connettore Crowdstrike Falcon Data Replicator V2 (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore Crowdstrike Falcon Data Replicator offre la possibilità di inserire dati di eventi non elaborati dagli eventi di Falcon Platform in Microsoft Sentinel. Il connettore consente di ottenere eventi dagli agenti Falcon che consentono di esaminare i potenziali rischi per la sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.

attributi Connessione or

Attributo Connessione or Descrizione
Codice dell'app per le funzioni di Azure https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Alias della funzione Kusto CrowdstrikeReplicator
Tabelle di Log Analytics CrowdStrike_Additional_Events_CL
ASimNetworkSessionLogs
ASimDnsActivityLogs
ASimAuditEventLogs
ASimFileEventLogs
ASimAuthenticationEventLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
CrowdStrike_Secondary_Data_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportato da Microsoft Corporation

Esempi di query

Replicatore di dati - Tutte le attività

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con Crowdstrike Falcon Data Replicator V2 (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Credenziali/autorizzazioni dell'account SQS e AWS S3: è necessario AWS_edizione Standard CRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL. Per altre informazioni sul pull dei dati, vedere la documentazione. Per iniziare, contattare il supporto di CrowdStrike. A richiesta, creeranno un bucket Amazon Web Services (AWS) S3 gestito da CrowdStrike per scopi di archiviazione a breve termine, nonché un account SQS (semplice servizio di accodamento) per il monitoraggio delle modifiche apportate al bucket S3.

Istruzioni di installazione fornitore

Questo connettore usa Funzioni di Azure per connettersi a AWS SQS/S3 per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi di autorizzazione o i token dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

Prerequisiti

  1. Configurare FDR in CrowdStrike: è necessario contattare il team di supporto di CrowdStrike per abilitare CrowdStrike FDR.
    • Dopo l'abilitazione di CrowdStrike FDR, dalla console CrowdStrike passare a Supporto -> Client API e chiavi.
    • È necessario creare nuove credenziali per copiare l'ID chiave di accesso AWS, la chiave di accesso privata AWS, l'URL della coda SQS e l'area AWS.
  2. Registrare l'applicazione AAD: per consentire a DCR di autenticare l'inserimento dei dati in Log Analytics, è necessario usare l'applicazione AAD.
    • Seguire le istruzioni riportate qui (passaggi da 1 a 5) per ottenere l'ID tenant AAD, l'ID client AAD e il segreto client AAD.
    • Per l'ID entità AAD di questa applicazione, accedere all'app AAD tramite il portale di AAD e acquisire l'ID oggetto dalla pagina di panoramica dell'applicazione.

Opzioni di distribuzione

Scegliere ONE tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore Crowdstrike Falcon Data Replicator V2 usando un tempate ARM.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Deploy To Azure

  2. Specificare i dettagli necessari, ad esempio l'area di lavoro di Microsoft Sentinel, le credenziali di CrowdStrike AWS, i dettagli dell'applicazione Azure AD e le configurazioni di inserimento NOTA: all'interno dello stesso gruppo di risorse, non è possibile combinare app Windows e Linux nella stessa area. Selezionare un gruppo di risorse esistente senza app di Windows o creare un nuovo gruppo di risorse. È consigliabile creare un nuovo gruppo di risorse per la distribuzione dell'app per le funzioni e le risorse associate.

  3. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza.

  4. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore Crowdstrike Falcon Data Replicator con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire DCE, DCR e tabelle personalizzate per l'inserimento dati

  1. Distribuire il controller di dominio, i record di dominio e le tabelle personalizzate necessari usando il modello di Resource Di Azure Resource Manager per la raccolta dati
  2. Dopo aver completato la distribuzione di DCE e DCR, ottenere le informazioni seguenti e mantenerle utili (necessarie durante la distribuzione dell'app Funzioni di Azure).
    • Inserimento log DCE: seguire le istruzioni disponibili in Creare un endpoint di raccolta dati (passaggio 3).
    • ID non modificabili di uno o più controller di dominio (come applicabile): seguire le istruzioni disponibili in Raccogliere informazioni dal DCR (Stpe 2).

2. Distribuire un'app per le funzioni

  1. Scaricare il file dell'app per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.
  2. Seguire le istruzioni di distribuzione manuale dell'app per le funzioni per distribuire l'app Funzioni di Azure usando VSCode.
  3. Dopo aver completato la distribuzione dell'app per le funzioni, seguire i passaggi successivi per configurarlo.

3. Configurare l'app per le funzioni

  1. Passare al portale di Azure per la configurazione dell'app per le funzioni.

  2. Nell'app per le funzioni selezionare Nome app per le funzioni e selezionare Configurazione.

  3. Nella scheda Impostazioni applicazione selezionare ** Nuova impostazione applicazione**.

  4. Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori stringa (distinzione tra maiuscole e minuscole):

    • AWS_KEY
    • AWS_edizione Standard CRET
    • AWS_REGION_NAME
    • QUEUE_URL
    • U edizione StandardR_edizione StandardLECTION_REQUIRE_RAW //True se sono necessari dati non elaborati
    • U edizione StandardR_edizione StandardLECTION_REQUIRE_edizione Standard CONDARY //True se sono necessari dati secondari
    • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 per consumo e 150 per Premium
    • MAX_SCRIPT_EXEC_TIME_MINUTES // aggiungere il valore 10 qui
    • AZURE_TENANT_ID
    • AZURE_CLIENT_ID
    • AZURE_CLIENT_SECRET
    • DCE_INGESTION_ENDPOINT
    • NORMALIZED_DCR_ID
    • RAW_DATA_DCR_ID
    • EVENT_TO_TABLE_MAPPING_LINK // File è presente in github. Aggiungere se è possibile accedere al file tramite Internet
    • REQUIRED_FIELDS_SCHEMA_LINK //File è presente in github. Aggiungere se è possibile accedere al file tramite Internet
    • Pianificare //Aggiungi valore come '0 */1 * * * *' per garantire che la funzione venga eseguita ogni minuto.

  5. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.