Microsoft Sentinel için CrowdStrike Falcon Saldırgan Zekası (Azure İşlevleri kullanarak) bağlayıcısı
CrowdStrike Falcon Indicators of Compromise bağlayıcısı, Falcon Intel API'sinden Risk Göstergelerini alır ve bunları Microsoft Sentinel Threat Intel'e yükler.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlayıcı öznitelikleri
| Bağlayıcı özniteliği | Açıklama |
|---|---|
| Azure işlev uygulaması kodu | https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp |
| Log Analytics tabloları | IndicatorsOfCompromise |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
Threat Intel - Güvenliğin Aşılmasına yönelik Kitle Göstergeleri
ThreatIntelligenceIndicator
| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'
| sort by TimeGenerated desc
Önkoşullar
CrowdStrike Falcon Saldırgan Zekası ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
- CrowdStrike API İstemci Kimliği ve İstemci Gizli Anahtarı: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL. CrowdStrike kimlik bilgilerinin Göstergeler (Falcon Intelligence) okuma kapsamı olmalıdır.
Satıcı yükleme yönergeleri
ADIM 1 - CrowdStrike API kimlik bilgileri oluşturma.
'Göstergeler (Şahin Zekası)' kapsamında 'okuma' seçeneğinin belirlendiğinden emin olun
ADIM 2 - Bir Entra Uygulamasını istemci gizli dizisiyle kaydedin.
İlgili log analytics çalışma alanında Entra Uygulama sorumlusuna 'Microsoft Sentinel Katkıda Bulunanı' rol atamasını sağlayın. Azure'da rol atama.
ADIM 3 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin
Önemli
CrowdStrike Falcon Indicator of Compromise bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği'ne (aşağıdakilerden kopyalanabilir) sahip olun.
Seçenek 1 - Azure Resource Manager (ARM) Şablonu
Bir ARM şablonu kullanarak CrowdStrike Falcon Saldırgan Zeka bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.
Aşağıdaki Azure'a dağıt düğmesini seçin.
Şu parametreleri sağlayın: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays
Seçenek 2 - Azure İşlevleri El ile Dağıtımı
CrowdStrike Falcon Saldırgan Yönetim Bilgileri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.
1. İşlev Uygulaması Dağıtma
VS Code'un Azure işlev geliştirmesi için hazırlanması gerekir.
Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
VS Code’u başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.
Ayıklanan dosyalardan en üst düzey klasörü seçin.
Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin. Zaten oturum açtıysanız sonraki adıma gidin.
İstemlerde aşağıdaki bilgileri sağlayın:
a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren bir klasöre göz atın.
b. Abonelik: Kullanılacak aboneliği seçin.
c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)
d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (ör. CrowdStrikeFalconIOCXXXXX).
e. Çalışma zamanı seçin: Python 3.9'u seçin.
f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve daha düşük maliyetler için Microsoft Sentinel'in bulunduğu bölgeyi seçin.
Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.
İşlev Uygulaması yapılandırması için Azure portalına gidin.
2. İşlev Uygulamasını Yapılandırma
İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.
Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin:
- CROWDSTRIKE_CLIENT_ID
- CROWDSTRIKE_CLIENT_SECRET
- CROWDSTRIKE_BASE_URL
- TENANT_ID
- GÖSTERGE
- WorkspaceKey
- AAD_CLIENT_ID
- AAD_CLIENT_SECRET
- LOOK_BACK_DAYS
- WORKSPACE_ID
Tüm uygulama ayarları girildikten sonra Kaydet'i seçin.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin