Соединитель CrowdStrike Falcon Falcon Threaty Intelligence (с помощью Функции Azure) для Microsoft Sentinel
Индикаторы Сокола Краудстрик Скомпрометации извлекают индикаторы компрометации из API Falcon Intel и отправляют их Microsoft Sentinel Threat Intel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Код приложения-функции Azure | https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp |
| Таблицы Log Analytics | ИндикаторыOfCompromise |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Угроза Intel — индикаторы компрометации толпы
ThreatIntelligenceIndicator
| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с CrowdStrike Falcon Threaty Intelligence (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Идентификатор клиента и секрет клиента CrowdStrike: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Учетные данные CrowdStrike должны иметь область чтения индикаторов (Falcon Intelligence).
Инструкции по установке поставщика
ШАГ 1. Создание учетных данных API CrowdStrike.
Убедитесь, что область "Индикаторы (Falcon Intelligence)" выбрана "чтение"
ШАГ 2. Регистрация приложения Entra с помощью секрета клиента.
Предоставьте субъекту приложения Entra назначение роли "Участник Microsoft Sentinel" в соответствующей рабочей области Log Analytics. Назначение ролей в Azure.
ШАГ 3. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure.
Внимание
Перед развертыванием соединителя скомпрометированного сокола CrowdStrike необходимо скопировать идентификатор рабочей области (можно скопировать из следующего кода).
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя CrowdStrike Falcon Intelligence с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure.
Укажите следующие параметры: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Индикаторы, AadClientId, AadClientSecret, LookBackDays
Вариант 2. Развертывание Функции Azure вручную
Используйте приведенные ниже пошаговые инструкции по развертыванию соединителя CrowdStrike Falcon Threaty Intelligence вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).
1. Развертывание приложения-функции
Необходимо подготовить VS Code для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.
Введите следующие сведения по соответствующим запросам:
a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
b. Выберите подписку: выберите используемую подписку.
c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")
d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, CrowdStrikeFalconIOCXXXXXXXX).
д) Выберите среду выполнения: выберите Python 3.9.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.
Перейдите к портал Azure конфигурации приложения-функции.
2. Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра):
- CROWDSTRIKE_CLIENT_ID
- CROWDSTRIKE_CLIENT_SECRET
- CROWDSTRIKE_BASE_URL
- TENANT_ID
- ПОКАЗАТЕЛИ
- WorkspaceKey
- AAD_CLIENT_ID
- AAD_CLIENT_SECRET
- LOOK_BACK_DAYS
- WORKSPACE_ID
После ввода всех параметров приложения нажмите кнопку "Сохранить".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по