適用於 Microsoft Sentinel 的 Crowdstrike Falcon Data Replicator V2 (使用 Azure Functions) 連接器
Crowdstrike Falcon Data Replicator 連接器提供將原始事件數據從獵鷹平臺事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您從 Falcon Agents 取得事件,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題等等。
連線 or 屬性
連線 or 屬性 | 描述 |
---|---|
Azure 函式應用程式程式代碼 | https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp |
Kusto 函式別名 | CrowdstrikeReplicator |
Log Analytics 數據表(s) | CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL |
數據收集規則支援 | 目前不支援 |
支援者 | Microsoft Corporation |
查詢範例
數據複寫器 - 所有活動
CrowdStrikeReplicatorV2
| sort by TimeGenerated desc
必要條件
若要與 Crowdstrike Falcon 數據復寫器 V2 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- SQS 和 AWS S3 帳戶認證/許可權: 需要AWS_SECRET、 AWS_REGION_NAME、 AWS_KEY、 QUEUE_URL 。 請參閱檔以深入了解數據提取。 若要開始,請連絡 CrowdStrike 支援。 根據您的要求,他們將建立一個 CrowdStrike 受控 Amazon Web Services (AWS) S3 貯體以供短期儲存,以及用於監視 S3 貯體變更的 SQS (簡單佇列服務) 帳戶。
廠商安裝指示
此連接器會使用 Azure Functions 連線到 AWS SQS / S3,以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)安全地將 API 授權金鑰或令牌儲存在 Azure 金鑰保存庫。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
必要條件
- 在 CrowdStrike 中設定 FDR - 您必須連絡 CrowdStrike 支援小組 ,才能啟用 CrowdStrike FDR。
- 一旦啟用 CrowdStrike FDR,請從 CrowdStrike 控制台流覽至 [支援] --> [API 用戶端和密鑰]。
- 您必須建立新的認證,才能複製 AWS 存取金鑰標識碼、AWS 秘密存取金鑰、SQS 佇列 URL 和 AWS 區域。
- 註冊 AAD 應用程式 - 若要讓 DCR 驗證以將資料內嵌至記錄分析,您必須使用 AAD 應用程式。
部署選項
從下列兩個部署選項中選擇 ONE,以部署連接器和相關聯的 Azure 函式
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法,使用ARM Tempate自動部署 Crowdstrike Falcon Data Replicator 連接器 V2。
按兩下下方的 [ 部署至 Azure ] 按鈕。
提供必要的詳細數據,例如 Microsoft Sentinel 工作區、CrowdStrike AWS 認證、Azure AD 應用程式詳細數據和擷取 組態注意: 在相同的資源群組內,您無法在相同區域中混合 Windows 和 Linux 應用程式。 選取現有的資源群組,而不在其中選取 Windows 應用程式,或建立新的資源群組。 建議建立新的資源群組,以部署函式應用程式和相關聯的資源。
標示為 [我同意上述條款及條件] 的複選框。
按兩下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure Functions
使用下列逐步指示,使用 Azure Functions 手動部署 Crowdstrike Falcon Data Replicator 連接器(透過 Visual Studio Code 部署)。
1.部署 DCE、DCR 和自定義數據表以進行數據擷取
- 使用 數據收集資源 ARM 範本部署必要的 DCE、DCR(s) 和自訂數據表
- 成功部署 DCE 和 DCR 之後,請取得下列資訊並方便使用(在 Azure Functions 應用程式部署期間需要)。
- DCE 記錄擷取 - 遵循建立資料收集端點 (步驟 3) 中可用的指示。
- 一或多個 DCR 的不可變標識碼 (適用) - 請遵循從 DCR 收集資訊 (Stpe 2) 中提供的指示。
2.部署函式應用程式
- 下載 Azure 函式應用程式檔案。 將封存解壓縮到本機開發計算機。
- 請遵循函 式應用程式手動部署指示 ,以使用 VSCode 部署 Azure Functions 應用程式。
- 成功部署函式應用程式之後,請遵循後續步驟進行設定。
3.設定函式應用程式
移至 Azure 入口網站以取得函式應用程式設定。
在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
在 [ 應用程式設定] 索引標籤中,選取 [新增應用程式設定] 。
使用個別的字串值來個別新增下列每個應用程式設定(區分大小寫):
- AWS_KEY
- AWS_SECRET
- AWS_REGION_NAME
- QUEUE_URL
- 如果需要原始數據,USER_SELECTION_REQUIRE_RAW /True
- 如果需要次要數據,USER_SELECTION_REQUIRE_SECONDARY /True
- MAX_QUEUE_MESSAGES_MAIN_QUEUE / 100 供取用,進階版 為 150
- MAX_SCRIPT_EXEC_TIME_MINUTES - 在這裡新增 10 的值
- AZURE_TENANT_ID
- AZURE_CLIENT_ID
- AZURE_CLIENT_SECRET
- DCE_INGESTION_ENDPOINT
- NORMALIZED_DCR_ID
- RAW_DATA_DCR_ID
- EVENT_TO_TABLE_MAPPING_LINK - 檔案存在於 github 上。 如果可以使用因特網存取檔案,請新增
- REQUIRED_FIELDS_SCHEMA_LINK 【File 存在於 github 上。 如果可以使用因特網存取檔案,請新增
- 將 @Add 值排程為 '0 */1 * *',以確保函式每分鐘執行一次。
輸入所有應用程式設定之後,按兩下 [ 儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。