通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 的 [Deprecated] CrowdStrike Falcon Endpoint Protection via Legacy Agent 连接器

  • 项目

通过 CrowdStrike Falcon Endpoint Protection 连接器,可以轻松地将 CrowdStrike Falcon 事件流与 Microsoft Sentinel 连接,以创建自定义仪表板、警报并改进调查。 这样,用户就可以更深入地了解组织的终结点并改善安全操作功能。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 CommonSecurityLog (CrowdStrikeFalconEventStream)
数据收集规则支持 工作区转换 DCR
支持的服务 Microsoft Corporation

查询示例

具有检测功能的前 10 个主机

CrowdStrikeFalconEventStream 

| where EventType == "DetectionSummaryEvent" 

| summarize count() by DstHostName 

| top 10 by count_

具有检测功能的前 10 个用户

CrowdStrikeFalconEventStream 

| where EventType == "DetectionSummaryEvent" 

| summarize count() by DstUserName 

| top 10 by count_

供应商安装说明

注意:此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数已部署为解决方案的一部分。 若要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel 的“日志”边栏选项卡,单击“函数”,搜索别名 Crowd Strike Falcon Endpoint Protection 并加载函数代码,或者单击此处,在查询的第二行输入 CrowdStrikeFalcon 设备的主机名,以及日志流的任何其他唯一标识符。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

1.0 Linux Syslog 代理配置

安装和配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建 Linux 计算机

选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。

1.2 在 Linux 计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保已在计算机上安装 Python:python -version。

  2. 你必须在计算机上拥有提升的权限 (sudo)。

    运行以下命令安装并应用 CEF 收集器:

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  3. 将 CrowdStrike Falcon 事件流日志转发到 Syslog 代理

部署 CrowdStrike Falcon SIEM 收集器,以便通过 Syslog 代理将 CEF 格式的 Syslog 消息转发到 Microsoft Sentinel 工作区。

  1. 按照这些说明部署 SIEM 收集器并转发 syslog

  2. 使用 Linux 设备的 IP 地址或主机名,并将 Linux 代理安装为目标 IP 地址。

  3. 验证连接

按照说明验证连接性:

打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。

连接将数据流式传输到工作区可能大约需要 20 分钟。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保已在计算机上安装 Python:python -version。

  2. 必须在计算机上拥有提升的权限 (sudo)

    运行以下命令以验证连接:

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  3. 保护计算机

请确保根据组织的安全策略配置计算机的安全性

了解详细信息

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案