Crowdstrike Falcon Data Replicator V2 -connector (met behulp van Azure Functions) voor Microsoft Sentinel

De Crowdstrike Falcon Data Replicator-connector biedt de mogelijkheid om onbewerkte gebeurtenisgegevens van de Falcon Platform-gebeurtenissen op te nemen in Microsoft Sentinel. De connector biedt de mogelijkheid om gebeurtenissen op te halen van Falcon Agents die helpen potentiële beveiligingsrisico's te onderzoeken, het gebruik van samenwerking te analyseren, configuratieproblemen vast te stellen en meer.

Verbinding maken orkenmerken

Verbinding maken orkenmerk	Beschrijving
Code van Azure-functie-app	https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Kusto-functiealias	CrowdstrikeReplicator
Log Analytics-tabellen	CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL
Ondersteuning voor regels voor gegevensverzameling	Wordt momenteel niet ondersteund
Ondersteund door	Microsoft Corporation

Voorbeelden van query's

Gegevensreplicator - Alle activiteiten

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

Vereisten

Als u wilt integreren met Crowdstrike Falcon Data Replicator V2 (met behulp van Azure Functions), moet u het volgende doen:

• Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
• SQS- en AWS S3-accountreferenties/-machtigingen: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL is vereist. Zie de documentatie voor meer informatie over het ophalen van gegevens. Neem contact op met crowdStrike-ondersteuning om te beginnen. Op uw verzoek maken ze een CrowdStrike beheerde AWS S3-bucket (Amazon Web Services) voor kortetermijnopslagdoeleinden en een SQS-account (eenvoudige wachtrijservice) voor het bewaken van wijzigingen in de S3-bucket.

Installatie-instructies van leverancier

Deze connector maakt gebruik van Azure Functions om verbinding te maken met de AWS SQS/S3 om logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.

(Optionele stap) Sla de API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

Vereisten

1. FDR configureren in CrowdStrike - Neem contact op met het crowdStrike-ondersteuningsteam om CrowdStrike FDR in te schakelen.
   • Zodra CrowdStrike FDR is ingeschakeld, gaat u vanuit de CrowdStrike-console naar Ondersteuning-> API-clients en -sleutels.
   • U moet nieuwe referenties maken om de AWS-toegangssleutel-id, AWS Secret Access Key, SQS Queue URL en AWS Region te kopiëren.
2. AAD-toepassing registreren: voor DCR om gegevens op te nemen in Log Analytics, moet u de AAD-toepassing gebruiken.
   • Volg hier de instructies (stap 1-5) om AAD-tenant-id, AAD-client-id en AAD-clientgeheim op te halen.
   • Voor de AAD-principal-id van deze toepassing opent u de AAD-app via de AAD-portal en legt u de object-id vast vanaf de overzichtspagina van de toepassing.

Implementatieopties

Kies ONE uit de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren

Optie 1: ARM-sjabloon (Azure Resource Manager)

Gebruik deze methode voor geautomatiseerde implementatie van de Crowdstrike Falcon Data Replicator-connector V2 met behulp van een ARM-tempate.

1. Klik op de knop Implementeren in Azure hieronder.

   

2. Geef de vereiste gegevens op, zoals Microsoft Sentinel Workspace, CrowdStrike AWS-referenties, Details van Azure AD-toepassing en opnameconfiguraties OPMERKING: Binnen dezelfde resourcegroep kunt u Windows- en Linux-apps niet combineren in dezelfde regio. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. Het wordt aanbevolen om een nieuwe resourcegroep te maken voor de implementatie van de functie-app en de bijbehorende resources.

3. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.

4. Klik op Kopen om te implementeren.

Optie 2: handmatige implementatie van Azure Functions

Gebruik de volgende stapsgewijze instructies om de Crowdstrike Falcon Data Replicator-connector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).

1. DCE, DCR en aangepaste tabellen implementeren voor gegevensopname

1. Implementeer de vereiste DCE, DCR(s) en de aangepaste tabellen met behulp van de ARM-sjabloon voor gegevensverzamelingsresources
2. Na een geslaagde implementatie van DCE en DCR(s) haalt u de onderstaande informatie op en houdt u deze handig (vereist tijdens de implementatie van de Azure Functions-app).
   • DCE-logboekopname: volg de instructies die beschikbaar zijn bij Eindpunt voor gegevensverzameling maken (stap 3).
   • Onveranderbare id's van een of meer DCR's (indien van toepassing) - Volg de instructies die beschikbaar zijn in Collect information from the DCR (Stpe 2).

2. Een functie-app implementeren

1. Download het Azure Function App-bestand . Pak archief uit op uw lokale ontwikkelcomputer.
2. Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
3. Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.

3. De functie-app configureren

1. Ga naar Azure Portal voor de configuratie van de functie-app.

2. Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.

3. Selecteer op het tabblad Toepassingsinstellingen ** Nieuwe toepassingsinstelling**.

4. Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig):

   • AWS_KEY
   • AWS_SECRET
   • AWS_REGION_NAME
   • QUEUE_URL
   • USER_SELECTION_REQUIRE_RAW //True als onbewerkte gegevens vereist zijn
   • USER_SELECTION_REQUIRE_SECONDARY //True als secundaire gegevens vereist zijn
   • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 voor verbruik en 150 voor Premium
   • MAX_SCRIPT_EXEC_TIME_MINUTES // voeg hier de waarde van 10 toe
   • AZURE_TENANT_ID
   • AZURE_CLIENT_ID
   • AZURE_CLIENT_SECRET
   • DCE_INGESTION_ENDPOINT
   • NORMALIZED_DCR_ID
   • RAW_DATA_DCR_ID
   • EVENT_TO_TABLE_MAPPING_LINK // Bestand aanwezig is op github. Toevoegen als het bestand toegankelijk is via internet
   • REQUIRED_FIELDS_SCHEMA_LINK //File is aanwezig op github. Toevoegen als het bestand toegankelijk is via internet
   • Plan //Waarde toevoegen als '0 */1 * * * *' om ervoor te zorgen dat de functie elke minuut wordt uitgevoerd.

5. Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.