適用于 Microsoft Sentinel 的 Crowdstrike Falcon 資料複寫器 (使用 Azure Functions) 連接器
Crowdstrike Falcon Data Replicator 連接器提供將原始事件資料從 獵鷹平臺 事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您從 Falcon Agents 取得事件,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題等等。
連線or 屬性
| 連線or 屬性 | 描述 |
|---|---|
| 應用程式設定 | AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL WorkspaceID WorkspaceKey logAnalyticsUri (選擇性) |
| Azure 函式應用程式程式碼 | https://aka.ms/sentinel-CrowdstrikeReplicator-functionapp |
| Kusto 函式別名 | CrowdstrikeReplicator |
| Log Analytics 資料表(s) | CrowdstrikeReplicatorLogs_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者 | Microsoft Corporation |
查詢範例
資料複寫器 - 所有活動
CrowdstrikeReplicator
| sort by TimeGenerated desc
必要條件
若要與 Crowdstrike Falcon 資料複寫器整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權 :需要 Azure Functions 的讀取和寫入權限,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions 。
- SQS 和 AWS S3 帳號憑證/許可權 : 需要AWS_SECRET 、 AWS_REGION_NAME 、 AWS_KEY 、 QUEUE_URL 。 請參閱檔以深入瞭解資料提取 。 若要開始,請連絡 CrowdStrike 支援。 根據您的要求,他們將建立一個 CrowdStrike 受控 Amazon Web Services (AWS) S3 貯體以供短期儲存,以及用於監視 S3 貯體變更的 SQS (簡單佇列服務) 帳戶。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 S3 貯體,以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟) 在 Azure 金鑰保存庫中安全地儲存工作區和 API 授權金鑰或權杖。 Azure 金鑰保存庫提供安全的機制來儲存和擷取金鑰值。 請遵循這些指示 ,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
注意
此資料連線器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作。
步驟 1 - 請連絡 CrowdStrike 支援以取得認證和佇列 URL。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要: 在部署 Crowdstrike Falcon 資料複寫器連接器之前,請具有工作區識別碼和工作區主鍵(可以從下列內容複寫)。
選項 1 - Azure Resource Manager (ARM) 範本
使用這個方法來使用 ARM Tempate 自動部署 Crowdstrike Falcon Data Replicator 連接器。
按一下下方的 [ 部署至 Azure ] 按鈕。
選取慣 用的AWS_SECRET 、 AWS_REGION_NAME 、 AWS_KEY QUEUE_URL 。
注意: 在同一個資源群組內,您無法在同一個區域中混合 Windows 和 Linux 應用程式。 選取現有的資源群組,而不在其中選取 Windows 應用程式,或建立新的資源群組。 3.輸入 AWS_SECRET 、 AWS_REGION_NAME 、 AWS_KEY 、 QUEUE_URL 和部署。 4.將標示為 [我同意上述 條款及條件] 的核取方塊標示。 5.按一下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure Functions
使用下列逐步指示,使用 Azure Functions 手動部署 Crowdstrike Falcon Data Replicator 連接器(透過 Visual Studio Code 部署)。
1.部署函式應用程式
注意: 您必須 準備 VS 程式碼 以進行 Azure 函式開發。
下載 Azure 函式應用程式 檔案。 將封存解壓縮到本機開發電腦。
啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。
從擷取的檔案中選取最上層資料夾。
選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [ 部署至函式應用程式 ] 按鈕。 如果您尚未登入,請選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [登入 Azure 如果您已經登入],請移至下一個步驟。
提示中會提供下列資訊:
a. 選取資料夾: 從工作區選擇資料夾,或流覽至包含函式應用程式的資料夾。
b. 選取 [訂用帳戶: 選擇要使用的訂用帳戶]。
c. 在 Azure 中選取 [建立新的函式應用程式] (不要選擇 [進階] 選項)
d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您鍵入的名稱會經過驗證,確定其在 Azure Functions 中是唯一。 (例如 CrowdstrikeReplicatorXXXXX)。
e. 選取執行時間: 選擇 Python 3.8。
f. 選取新資源的位置。 為了獲得更好的效能和較低的成本,請選擇 Microsoft Sentinel 所在的相同 區域 。
部署將會開始。 建立函式應用程式並套用部署套件之後,就會顯示通知。
移至 Azure 入口網站以取得函式應用程式設定。
2.設定函式應用程式
- 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定 ]。
- 在 [ 應用程式設定] 索引標籤中,選取 [新增應用程式設定] 。
- 個別新增下列每個應用程式設定,其各自的字串值(區分大小寫):AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL WorkspaceID WorkspaceKey logAnalyticsUri (選擇性)
- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us。 4.輸入所有應用程式設定後,按一下 [ 儲存 ]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。