Microsoft Sentinel용 Crowdstrike Falcon Data Replicator V2(Azure Functions 사용) 커넥터
Crowdstrike Falcon Data Replicator 커넥터는 Falcon Platform 이벤트의 원시 이벤트 데이터를 Microsoft Sentinel로 수집하는 기능을 제공합니다. 커넥터는 잠재적인 보안 위험을 검사하고 팀의 협업 사용을 분석하며 구성 문제를 진단하는 데 도움이 되는 Falcon Agents에서 이벤트를 가져오는 기능을 제공합니다.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Azure 함수 앱 코드 | https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp |
| Kusto 함수 별칭 | CrowdstrikeReplicator |
| Log Analytics 테이블 | CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | Microsoft Corporation |
쿼리 샘플
데이터 복제자 - 모든 작업
CrowdStrikeReplicatorV2
| sort by TimeGenerated desc
필수 조건
Crowdstrike Falcon Data Replicator V2(Azure Functions 사용)와 통합하려면 다음 사항을 확인합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- SQS 및 AWS S3 계정 자격 증명/권한: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL이 필요합니다. 데이터 풀링에 대한 자세한 내용은 문서를 참조하세요. 시작하려면 CrowdStrike 지원팀에 문의하세요. 요청 시 단기 스토리지 목적으로 CrowdStrike 관리 AWS(Amazon Web Services) S3 버킷과 S3 버킷에 대한 변경 내용을 모니터링할 수 있는 SQS(단순 큐 서비스) 계정을 만듭니다.
공급업체 설치 지침
이 커넥터는 Azure Functions를 사용하여 AWS SQS/S3에 연결해 로그를 Microsoft Sentinel로 끌어옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.
(선택적 단계) Azure Key Vault에 API 권한 부여 키나 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.
필수 조건
- CrowdStrike에서 FDR 구성 - CrowdStrike FDR을 사용하도록 설정하려면 CrowdStrike 지원 팀에 문의해야 합니다.
- CrowdStrike FDR을 사용하도록 설정하면 CrowdStrike 콘솔에서 지원 --> API 클라이언트 및 키로 이동합니다.
- AWS 액세스 키 ID, AWS 비밀 액세스 키, SQS 큐 URL 및 AWS 지역을 복사하려면 새 자격 증명을 만들어야 합니다.
- AAD 애플리케이션 등록 - 데이터를 로그 분석에 수집하도록 DCR을 인증하려면 AAD 애플리케이션을 사용해야 합니다.
- 다음 지침을 수행하여(1~5단계) AAD 테넌트 ID, AAD 클라이언트 ID 및 AAD 클라이언트 암호를 가져옵니다.
- 이 애플리케이션의 AAD 보안 주체 ID의 경우 AAD Portal을 통해 AAD 앱에 액세스하고 애플리케이션 개요 페이지에서 개체 ID를 캡처합니다.
배포 옵션
커넥터와 연결된 Azure Function을 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.
옵션 1 - ARM(Azure Resource Manager) 템플릿
ARM 템플릿을 사용하여 Crowdstrike Falcon Data Replicator 커넥터 V2의 자동화된 배포에 이 방법을 사용합니다.
아래에서 Azure에 배포 단추를 클릭합니다.
Microsoft Sentinel 작업 영역, CrowdStrike AWS 자격 증명, Azure AD 애플리케이션 세부 정보 및 수집 구성과 같은 필수 세부 정보를 제공합니다. 참고: 동일한 리소스 그룹 내에서는 같은 지역의 Windows 및 Linux 앱을 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 함수 앱과 관련 리소스를 배포할 수 있도록 새 리소스 그룹을 만드는 것이 좋습니다.
위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.
구매를 클릭하여 배포합니다.
옵션 2 - Azure Functions 수동 배포
다음 단계별 지침을 수행하여 Azure Functions를 사용해 Crowdstrike Falcon Data Replicator 커넥터를 수동으로 배포합니다(Visual Studio Code를 통한 배포).
1. 데이터 수집을 위해 DCE, DCR 및 사용자 지정 테이블 배포
- 데이터 수집 리소스 ARM 템플릿을 사용하여 필요한 DCE, DCR 및 사용자 지정 테이블을 배포합니다.
- DCE 및 DCR을 성공적으로 배포한 후 다음 정보를 가져와 보관합니다(Azure Functions 앱 배포 중에 필요).
- DCE 로그 수집 - 데이터 수집 엔드포인트 만들기(3단계)에서 사용할 수 있는 지침을 따릅니다.
- DCR 하나 이상의 변경 가능한 ID(해당하는 경우) - DCR에서 정보 수집(2단계)에서 사용할 수 있는 지침을 따릅니다.
2. 함수 앱 배포
- Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
- 함수 앱 수동 배포 지침을 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
- 함수 앱을 성공적으로 배포한 후 다음 단계를 수행하여 구성합니다.
3. 함수 앱 구성
함수 앱 구성을 위해 Azure Portal로 이동합니다.
함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
애플리케이션 설정 탭에서 ** 새 애플리케이션 설정**을 선택합니다.
해당 문자열 값(대/소문자 구분)을 사용하여 다음 각 애플리케이션 설정을 개별적으로 추가합니다.
- AWS_KEY
- AWS_SECRET
- AWS_REGION_NAME
- QUEUE_URL
- USER_SELECTION_REQUIRE_RAW //원시 데이터가 필요한 경우 True
- USER_SELECTION_REQUIRE_SECONDARY //보조 데이터가 필요한 경우 True
- MAX_QUEUE_MESSAGES_MAIN_QUEUE // 소비의 경우 100 및 프리미엄의 경우 150
- MAX_SCRIPT_EXEC_TIME_MINUTES // 여기에 값 10 추가
- AZURE_TENANT_ID
- AZURE_CLIENT_ID
- AZURE_CLIENT_SECRET
- DCE_INGESTION_ENDPOINT
- NORMALIZED_DCR_ID
- RAW_DATA_DCR_ID
- EVENT_TO_TABLE_MAPPING_LINK // 파일이 GitHub에 있습니다. 인터넷을 사용하여 파일에 액세스할 수 있으면 추가
- REQUIRED_FIELDS_SCHEMA_LINK //파일이 GitHub에 있습니다. 인터넷을 사용하여 파일에 액세스할 수 있으면 추가
- 일정 //값을 '0 */1 * * * *'로 추가하여 함수가 1분 간격으로 실행되는지 확인합니다.
모든 애플리케이션 설정을 입력한 후 저장을 클릭합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.