Łącznik Crowdstrike Falcon Data Replicator V2 (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Łącznik Crowdstrike Falcon Data Replicator umożliwia pozyskiwanie nieprzetworzonych danych zdarzeń zdarzeń Falcon Platform do usługi Microsoft Sentinel. Łącznik zapewnia możliwość pobierania zdarzeń z agentów Falcon, co pomaga zbadać potencjalne zagrożenia bezpieczeństwa, przeanalizować wykorzystanie współpracy zespołu, zdiagnozować problemy z konfiguracją i nie tylko.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika	opis
Kod aplikacji funkcji platformy Azure	https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Alias funkcji Kusto	CrowdstrikeReplicator
Adres URL funkcji Kusto	https://aka.ms/sentinel-crowdstrikereplicator-parser
Tabele usługi Log Analytics	CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL
Obsługa reguł zbierania danych	Obecnie nieobsługiwane
Obsługiwane przez	Microsoft Corporation

Przykłady zapytań

Replikator danych — wszystkie działania

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować aplikację Crowdstrike Falcon Data Replicator v2 (przy użyciu usługi Azure Functions), upewnij się, że:

• Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
• Poświadczenia/uprawnienia konta SQS i AWS S3: wymagane są AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat ściągania danych. Aby rozpocząć, skontaktuj się z pomocą techniczną aplikacji CrowdStrike. Na żądanie utworzy ona zasobnik Amazon Web Services (AWS) S3 zarządzany przez aplikację CrowdStrike na potrzeby magazynu krótkoterminowego, a także konto SQS (prosta usługa kolejki) na potrzeby monitorowania zmian w zasobniku S3.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z usługą AWS SQS/S3 w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy autoryzacji interfejsu API lub tokenów w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Wymagania wstępne

1. Skonfiguruj trasę FDR w aplikacji CrowdStrike — musisz skontaktować się z zespołem pomocy technicznej CrowdStrike, aby włączyć trasę FDR CrowdStrike.
   • Po włączeniu trasy FDR CrowdStrike w konsoli CrowdStrike przejdź do pozycji Obsługa —> klienci i klucze interfejsu API.
   • Musisz utworzyć nowe poświadczenia, aby skopiować identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, adres URL kolejki SQS i region AWS.
2. Rejestrowanie aplikacji usługi AAD — aby usługa DCR uwierzytelniła się w celu pozyskiwania danych do analizy dzienników, musisz użyć aplikacji usługi AAD.
   • Postępuj zgodnie z instrukcjami podanymi tutaj (kroki 1–5), aby uzyskać identyfikator dzierżawy usługi AAD, identyfikator klienta usługi AAD i klucz tajny klienta usługi AAD.
   • W przypadku identyfikatora głównego usługi AAD tej aplikacji uzyskaj dostęp do aplikacji usługi AAD za pośrednictwem portalu usługi AAD i przechwyć identyfikator obiektu ze strony przeglądu aplikacji.

Opcje wdrażania

Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Użyj tej metody do automatycznego wdrażania łącznika Crowdstrike Falcon Data Replicator w wersji 2 przy użyciu szablonu ARM.

1. Kliknij przycisk Wdróż na platformie Azure poniżej.

   

2. Podaj wymagane szczegóły, takie jak obszar roboczy usługi Microsoft Sentinel, poświadczenia usługi CrowdStrike AWS, szczegóły aplikacji usługi Azure AD i konfiguracje pozyskiwania UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. Zaleca się utworzenie nowej grupy zasobów na potrzeby wdrażania aplikacji funkcji i skojarzonych zasobów.

3. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

4. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik Crowdstrike Falcon Data Replicator za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).

1. Wdrażanie tabel DCE, DCR i niestandardowych na potrzeby pozyskiwania danych

1. Wdrażanie wymaganych kontrolerów domeny, kontrolerów domeny i tabel niestandardowych przy użyciu szablonu arm zasobu zbierania danych
2. Po pomyślnym wdrożeniu usług DCE i DCR uzyskaj poniższe informacje i zachowaj ich rękę (wymagane podczas wdrażania aplikacji usługi Azure Functions).
   • Pozyskiwanie dzienników DCE — postępuj zgodnie z instrukcjami dostępnymi w temacie Tworzenie punktu końcowego zbierania danych (krok 3).
   • Niezmienne identyfikatory co najmniej jednego kontrolera domeny (zgodnie z zastosowaniem) — postępuj zgodnie z instrukcjami dostępnymi w sekcji Zbieranie informacji z kontrolera DOMENY (Stpe 2).

2. Wdrażanie aplikacji funkcji

1. Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.
2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację usługi Azure Functions przy użyciu programu VSCode.
3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następne kroki konfigurowania aplikacji.

3. Konfigurowanie aplikacji funkcji

1. Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.

2. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

3. Na karcie Ustawienia aplikacji wybierz pozycję ** Nowe ustawienie aplikacji**.

4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter):

   • AWS_KEY
   • AWS_SECRET
   • AWS_REGION_NAME
   • QUEUE_URL
   • USER_SELECTION_REQUIRE_RAW //True, jeśli wymagane są nieprzetworzone dane
   • USER_SELECTION_REQUIRE_SECONDARY //True, jeśli wymagane są dane pomocnicze
   • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 do użycia i 150 dla warstwy Premium
   • MAX_SCRIPT_EXEC_TIME_MINUTES // dodaj wartość 10 tutaj
   • AZURE_TENANT_ID
   • AZURE_CLIENT_ID
   • AZURE_CLIENT_SECRET
   • DCE_INGESTION_ENDPOINT
   • NORMALIZED_DCR_ID
   • RAW_DATA_DCR_ID
   • EVENT_TO_TABLE_MAPPING_LINK // Plik jest obecny w witrynie github. Dodaj, czy można uzyskać dostęp do pliku za pomocą Internetu
   • REQUIRED_FIELDS_SCHEMA_LINK //File znajduje się w witrynie github. Dodaj, czy można uzyskać dostęp do pliku za pomocą Internetu
   • Zaplanuj //Dodaj wartość jako "0 */1 * * * *", aby upewnić się, że funkcja jest uruchamiana co minutę.

5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.