Microsoft Sentinel 用の Crowdstrike Falcon Data Replicator V2 (Azure Functions を使用) コネクタ
Crowdstrike Falcon Data Replicator コネクタによって、Falcon Platform イベントから Microsoft Sentinel に生のイベント データを取り込む機能が提供されます。 このコネクタによって、潜在的なセキュリティ リスクの調査、チームによるコラボレーションの使用の分析、構成の問題の診断などに役立つイベントを Falcon Agents から取得する機能が提供されます。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Azure 関数アプリのコード | https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp |
Kusto 関数エイリアス | CrowdstrikeReplicator |
Log Analytics テーブル | CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Microsoft Corporation |
クエリのサンプル
Data Replicator - すべてのアクティビティ
CrowdStrikeReplicatorV2
| sort by TimeGenerated desc
前提条件
Crowdstrike Falcon Data Replicator V2 (Azure Functions を使用) と統合するには、次のことを確認してください。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- SQS および AWS S3 アカウントの資格情報/アクセス許可: AWS_SECRET、AWS_REGION_NAME、AWS_KEY、QUEUE_URL が必要です。 データのプルの詳細については、こちらのドキュメントを参照してください。 開始するには、CrowdStrike サポートにお問い合わせください。 要求に応じて、短期間のストレージ目的で CrowdStrike マネージド アマゾン ウェブ サービス (AWS) S3 バケットと、S3 バケットへの変更を監視するための SQS (Simple Queue Service) アカウントが作成されます。
ベンダーのインストール手順
このコネクタでは Azure Functions を使って AWS SQS / S3 に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
前提条件
- CrowdStrike で FDR を構成する - CrowdStrike FDR を有効にするには、CrowdStrike サポート チームに問い合わせる必要があります。
- CrowdStrike FDR が有効になったら、CrowdStrike コンソールから [Support] --> [API Clients and Keys] に移動します。
- AWS アクセス キー ID、AWS シークレット アクセス キー、SQS キュー URL、AWS リージョンをコピーするには、新しい資格情報を作成する必要があります。
- AAD アプリケーションを登録する - データをログ分析に取り込む認証を DCR で行うには、AAD アプリケーションを使う必要があります。
- こちらの手順 (手順 1 から 5) に従って、AAD テナント ID、AAD クライアント ID、AAD クライアント シークレットを取得します。
- このアプリケーションの AAD プリンシパル ID については、AAD ポータルを使って AAD アプリにアクセスし、アプリケーションの概要ページからオブジェクト ID を取り込みます。
配置オプション
次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする
オプション 1 - Azure Resource Manager (ARM) テンプレート
ARM テンプレートを使って Crowdstrike Falcon Data Replicator コネクタ V2 を自動的にデプロイするには、この方法を使います。
下の [Azure へのデプロイ] ボタンをクリックします。
Microsoft Sentinel ワークスペース、CrowdStrike AWS 資格情報、Azure AD アプリケーションの詳細、インジェストの構成などの必要な詳細を指定します。注: 同じリソース グループ内で、同じリージョンに Windows アプリと Linux アプリを混在させることはできません。 Windows アプリが含まれていない既存のリソース グループを選択するか、新しいリソース グループを作成します。 関数アプリと関連リソースのデプロイ用に新しいリソース グループを作成することをお勧めします。
[上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
[購入] をクリックしてデプロイします。
オプション 2 - Azure Functions の手動デプロイ
Azure Functions を使って Crowdstrike Falcon Data Replicator コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code によるデプロイ)。
1.データ インジェスト用に DCE、DCR、カスタム テーブルをデプロイします
- データ コレクション リソース ARM テンプレートを使って、必要な DCE、DCR、カスタム テーブルをデプロイします
- DCE と DCR のデプロイが成功したら、次の情報を取得して手元に置いておきます (Azure Functions アプリのデプロイ時に必要になります)。
- DCE ログのインジェスト - 「データ収集エンドポイントを作成する」(手順 3) の手順に従います。
- 1 つ以上の DCR の不変 ID (該当する場合) - 「DCR から情報を収集する」(手順 2) の手順に従います。
2.関数アプリをデプロイします
- Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。
- 「関数アプリの手動デプロイ手順」に従い、VSCode を使って Azure Functions アプリをデプロイします。
- 関数アプリのデプロイに成功したら、以下の手順に従って関数アプリを構成します。
3. 関数アプリを構成する
関数アプリを構成するために、Azure portal に移動します。
関数アプリで、関数アプリ名を選択し、[構成] を選択します。
[アプリケーションの設定] タブで、**[新しいアプリケーション設定]** を選択します。
次の各アプリケーション設定を、それぞれの文字列値で個別に追加します (大文字と小文字を区別します)。
- AWS_KEY
- AWS_SECRET
- AWS_REGION_NAME
- QUEUE_URL
- USER_SELECTION_REQUIRE_RAW //生データが必要な場合は true
- USER_SELECTION_REQUIRE_SECONDARY //セカンダリ データが必要な場合は true
- MAX_QUEUE_MESSAGES_MAIN_QUEUE // 従量課金制の場合は 100、Premium の場合は 150
- MAX_SCRIPT_EXEC_TIME_MINUTES // ここに値 10 を追加します
- AZURE_TENANT_ID
- AZURE_CLIENT_ID
- AZURE_CLIENT_SECRET
- DCE_INGESTION_ENDPOINT
- NORMALIZED_DCR_ID
- RAW_DATA_DCR_ID
- EVENT_TO_TABLE_MAPPING_LINK // ファイルは github に存在します。 インターネットを使ってファイルにアクセスできるかどうかを追加します
- REQUIRED_FIELDS_SCHEMA_LINK // ファイルは github にあります。 インターネットを使ってファイルにアクセスできるかどうかを追加します
- Schedule // 関数が毎分実行されるように、'0 */1 * * * *' という値を追加します。
すべてのアプリケーション設定を入力したら、[保存] をクリックします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。