[Przestarzałe] CrowdStrike Falcon Endpoint Protection za pośrednictwem starszego łącznika agenta dla usługi Microsoft Sentinel
Łącznik CrowdStrike Falcon Endpoint Protection umożliwia łatwe łączenie usługi CrowdStrike Falcon Event Stream z usługą Microsoft Sentinel w celu tworzenia niestandardowych pulpitów nawigacyjnych, alertów i ulepszania badania. Zapewnia to lepszy wgląd w punkty końcowe organizacji i zwiększa możliwości operacji zabezpieczeń.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | CommonSecurityLog (CrowdStrikeFalconEventStream) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
10 najlepszych hostów z wykrywaniem
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstHostName
| top 10 by count_
10 pierwszych użytkowników z wykrywaniem
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstUserName
| top 10 by count_
Instrukcje instalacji dostawcy
UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias Crowd Strike Falcon Endpoint Protection i załaduj kod funkcji lub kliknij tutaj, w drugim wierszu zapytania wprowadź nazwy hostów urządzeń CrowdStrikeFalcon i inne unikatowe identyfikatory dla strumienia dziennika. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.
1.0 Konfiguracja agenta syslog systemu Linux
Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.
Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym
1.1 Wybieranie lub tworzenie maszyny z systemem Linux
Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem zabezpieczeń a usługą Microsoft Sentinel, może znajdować się w środowisku lokalnym, na platformie Azure lub w innych chmurach.
1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux
Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.
Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version.
Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.
Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}Przekazywanie dzienników strumienia zdarzeń Falcon CrowdStrike do agenta dziennika systemowego
Wdróż moduł zbierający CrowdStrike Falcon SIEM, aby przekazywać komunikaty dziennika systemu w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta syslog.
Postępuj zgodnie z tymi instrukcjami , aby wdrożyć moduł zbierający SIEM i przekazać dziennik systemowy
Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP.
Weryfikowanie połączenia
Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:
Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.
Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.
Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:
Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version.
Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie
Uruchom następujące polecenie, aby zweryfikować łączność:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}Zabezpieczanie maszyny
Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla