適用於 Microsoft Sentinel 的 Crowdstrike Falcon Data Replicator V2 （使用 Azure Functions） 連接器

Crowdstrike Falcon Data Replicator 連接器提供將原始事件數據從獵鷹平臺事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您從 Falcon Agents 取得事件，以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題等等。

連線 or 屬性

連線 or 屬性	描述
Azure 函式應用程式程式代碼	https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Kusto 函式別名	CrowdstrikeReplicator
Log Analytics 數據表（s）	CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL
數據收集規則支援	目前不支援
支援者	Microsoft Corporation

查詢範例

數據複寫器 - 所有活動

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

必要條件

若要與 Crowdstrike Falcon 數據復寫器 V2 整合（使用 Azure Functions），請確定您有：

• Microsoft.Web/sites 許可權：需要 Azure Functions 的讀取和寫入許可權，才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
• SQS 和 AWS S3 帳戶認證/許可權： 需要AWS_SECRET、 AWS_REGION_NAME、 AWS_KEY、 QUEUE_URL 。 請參閱檔以深入了解數據提取。 若要開始，請連絡 CrowdStrike 支援。 根據您的要求，他們將建立一個 CrowdStrike 受控 Amazon Web Services （AWS） S3 貯體以供短期儲存，以及用於監視 S3 貯體變更的 SQS （簡單佇列服務） 帳戶。

廠商安裝指示

此連接器會使用 Azure Functions 連線到 AWS SQS / S3，以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊， 請參閱 Azure Functions 定價頁面 。

（選擇性步驟）安全地將 API 授權金鑰或令牌儲存在 Azure 金鑰保存庫。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示，搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。

必要條件

1. 在 CrowdStrike 中設定 FDR - 您必須連絡 CrowdStrike 支援小組 ，才能啟用 CrowdStrike FDR。
   • 一旦啟用 CrowdStrike FDR，請從 CrowdStrike 控制台流覽至 [支援] --> [API 用戶端和密鑰]。
   • 您必須建立新的認證，才能複製 AWS 存取金鑰標識碼、AWS 秘密存取金鑰、SQS 佇列 URL 和 AWS 區域。
2. 註冊 AAD 應用程式 - 若要讓 DCR 驗證以將資料內嵌至記錄分析，您必須使用 AAD 應用程式。
   • 請遵循這裡的 指示（步驟 1-5）取得 AAD 租使用者識別碼、 AAD 用戶端識別碼 和 AAD 用戶端密碼。
   • 針對 此應用程式的 AAD 主體 識別碼，請透過 AAD 入口網站 存取 AAD 應用程式，並從應用程式概觀頁面擷取物件標識碼。

部署選項

從下列兩個部署選項中選擇 ONE，以部署連接器和相關聯的 Azure 函式

選項 1 - Azure Resource Manager （ARM） 範本

使用此方法，使用ARM Tempate自動部署 Crowdstrike Falcon Data Replicator 連接器 V2。

1. 按兩下下方的 [ 部署至 Azure ] 按鈕。

   

2. 提供必要的詳細數據，例如 Microsoft Sentinel 工作區、CrowdStrike AWS 認證、Azure AD 應用程式詳細數據和擷取 組態注意： 在相同的資源群組內，您無法在相同區域中混合 Windows 和 Linux 應用程式。 選取現有的資源群組，而不在其中選取 Windows 應用程式，或建立新的資源群組。 建議建立新的資源群組，以部署函式應用程式和相關聯的資源。

3. 標示為 [我同意上述條款及條件] 的複選框。

4. 按兩下 [ 購買 ] 以部署。

選項 2 - 手動部署 Azure Functions

使用下列逐步指示，使用 Azure Functions 手動部署 Crowdstrike Falcon Data Replicator 連接器（透過 Visual Studio Code 部署）。

1.部署 DCE、DCR 和自定義數據表以進行數據擷取

1. 使用 數據收集資源 ARM 範本部署必要的 DCE、DCR（s） 和自訂數據表
2. 成功部署 DCE 和 DCR 之後，請取得下列資訊並方便使用（在 Azure Functions 應用程式部署期間需要）。
   • DCE 記錄擷取 - 遵循建立資料收集端點 （步驟 3） 中可用的指示。
   • 一或多個 DCR 的不可變標識碼 （適用） - 請遵循從 DCR 收集資訊 （Stpe 2） 中提供的指示。

2.部署函式應用程式

1. 下載 Azure 函式應用程式檔案。 將封存解壓縮到本機開發計算機。
2. 請遵循函 式應用程式手動部署指示 ，以使用 VSCode 部署 Azure Functions 應用程式。
3. 成功部署函式應用程式之後，請遵循後續步驟進行設定。

3.設定函式應用程式

1. 移至 Azure 入口網站以取得函式應用程式設定。

2. 在函式應用程式中，選取 [函式應用程式名稱]，然後選取 [ 設定]。

3. 在 [ 應用程式設定] 索引標籤中，選取 [新增應用程式設定] 。

4. 使用個別的字串值來個別新增下列每個應用程式設定（區分大小寫）：

   • AWS_KEY
   • AWS_SECRET
   • AWS_REGION_NAME
   • QUEUE_URL
   • 如果需要原始數據，USER_SELECTION_REQUIRE_RAW /True
   • 如果需要次要數據，USER_SELECTION_REQUIRE_SECONDARY /True
   • MAX_QUEUE_MESSAGES_MAIN_QUEUE / 100 供取用，進階版 為 150
   • MAX_SCRIPT_EXEC_TIME_MINUTES - 在這裡新增 10 的值
   • AZURE_TENANT_ID
   • AZURE_CLIENT_ID
   • AZURE_CLIENT_SECRET
   • DCE_INGESTION_ENDPOINT
   • NORMALIZED_DCR_ID
   • RAW_DATA_DCR_ID
   • EVENT_TO_TABLE_MAPPING_LINK - 檔案存在於 github 上。 如果可以使用因特網存取檔案，請新增
   • REQUIRED_FIELDS_SCHEMA_LINK 【File 存在於 github 上。 如果可以使用因特網存取檔案，請新增
   • 將 @Add 值排程為 '0 */1 * *'，以確保函式每分鐘執行一次。

5. 輸入所有應用程式設定之後，按兩下 [ 儲存]。

下一步

如需詳細資訊，請移至 Azure Marketplace 中的相關解決方案 。