[Inaktuell] CrowdStrike Falcon Endpoint Protection via legacy agent connector för Microsoft Sentinel
Med CrowdStrike Falcon Endpoint Protection-anslutningsappen kan du enkelt ansluta CrowdStrike Falcon Event Stream till Microsoft Sentinel, skapa anpassade instrumentpaneler, aviseringar och förbättra undersökningen. Detta ger dig mer insikt i organisationens slutpunkter och förbättrar dina säkerhetsåtgärdsfunktioner.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | CommonSecurityLog (CrowdStrikeFalconEventStream) |
Stöd för regler för datainsamling | DcR för arbetsytetransformering |
Stöds av | Microsoft Corporation |
Exempel på frågor
De 10 främsta värdarna med identifieringar
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstHostName
| top 10 by count_
De 10 främsta användarna med identifieringar
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstUserName
| top 10 by count_
Installationsanvisningar för leverantör
Obs! Den här dataanslutningen är beroende av en parser baserat på en Kusto-funktion för att fungera som förväntat som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du Log Analytics-/Microsoft Sentinel-loggbladet, klickar på Functions och söker efter aliaset Crowd Strike Falcon Endpoint Protection och läser in funktionskoden eller klickar här, på den andra raden i frågan anger du värdnamnen för dina CrowdStrikeFalcon-enheter och andra unika identifierare för loggströmmen. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.
1.0 Linux Syslog-agentkonfiguration
Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.
Observera att data från alla regioner lagras på den valda arbetsytan
1.1 Välj eller skapa en Linux-dator
Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din säkerhetslösning och Microsoft Sentinel den här datorn kan finnas i din lokala miljö, Azure eller andra moln.
1.2 Installera CEF-insamlaren på Linux-datorn
Installera Microsoft Monitoring Agent på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP.
Kontrollera att du har Python på datorn med följande kommando: python -version.
Du måste ha utökade behörigheter (sudo) på datorn.
Kör följande kommando för att installera och tillämpa CEF-insamlaren:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Vidarebefordra CrowdStrike Falcon Event Stream-loggar till en Syslog-agent
Distribuera CrowdStrike Falcon SIEM Collector för att vidarebefordra Syslog-meddelanden i CEF-format till din Microsoft Sentinel-arbetsyta via Syslog-agenten.
Följ de här anvisningarna för att distribuera SIEM-insamlaren och vidarebefordra syslog
Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress.
Verifiera anslutningen
Följ anvisningarna för att verifiera anslutningen:
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.
Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.
Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:
Kontrollera att du har Python på datorn med följande kommando: python -version.
Du måste ha utökade behörigheter (sudo) på datorn
Kör följande kommando för att verifiera anslutningen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
Skydda datorn
Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för