Konektor Crowdstrike Falcon Data Replicator (pomocí Azure Functions) pro Microsoft Sentinel
Konektor Crowdstrike Falcon Data Replicator poskytuje možnost ingestovat nezpracovaná data událostí z událostí Falcon Platform do Microsoft Sentinelu. Konektor poskytuje možnost získat události od společnosti Falcon Agents, která pomáhá zkoumat potenciální rizika zabezpečení, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a provádět další akce.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Nastavení aplikace | AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL ID pracovního prostoru WorkspaceKey LogAnalyticsUri (volitelné) |
| Kód aplikace funkcí Azure | https://aka.ms/sentinel-CrowdstrikeReplicator-functionapp |
| Alias funkce Kusto | CrowdstrikeReplicator |
| Tabulky Log Analytics | CrowdstrikeReplicatorLogs_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
Replikátor dat – všechny aktivity
CrowdstrikeReplicator
| sort by TimeGenerated desc
Požadavky
Pokud chcete integrovat s Crowdstrike Falcon Data Replicatorem (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje/oprávnění účtu SQS a AWS S3: vyžaduje se AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Další informace o načítání dat najdete v dokumentaci. Pokud chcete začít, obraťte se na podporu CrowdStrike. Na vaši žádost vytvoří kontejner Amazon Web Services (AWS) S3 spravovaný crowdStrike pro krátkodobé účely úložiště a účet SQS (jednoduchá frontová služba) pro monitorování změn v kontejneru S3.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k kbelíku S3 k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání.
KROK 1 : Kontaktujte podporu CrowdStrike získat přihlašovací údaje a adresu URL fronty.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením konektoru Crowdstrike Falcon Data Replicator musí mít ID pracovního prostoru a primární klíč pracovního prostoru (lze zkopírovat z následujícího kódu).
Možnost 1 – Šablona Azure Resource Manageru (ARM)
Tuto metodu použijte pro automatizované nasazení konektoru Crowdstrike Falcon Data Replicator pomocí tempate ARM.
Klikněte níže na tlačítko Nasadit do Azure .
Vyberte upřednostňovaný AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL.
POZNÁMKA: Ve stejné skupině prostředků nemůžete kombinovat aplikace pro Windows a Linux ve stejné oblasti. Vyberte existující skupinu prostředků bez aplikací pro Windows nebo vytvořte novou skupinu prostředků. 3. Zadejte AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL a nasazení. 4. Označte zaškrtávací políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše. 5. Kliknutím na tlačítko Koupit nasadíte.
Možnost 2 – Ruční nasazení služby Azure Functions
Pomocí následujících podrobných pokynů nasaďte konektor Crowdstrike Falcon Data Replicator ručně se službou Azure Functions (nasazení přes Visual Studio Code).
1. Nasazení aplikace funkcí
POZNÁMKA: Budete muset připravit VS Code pro vývoj funkcí Azure.
Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.
Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.
Vyberte složku nejvyšší úrovně z extrahovaných souborů.
Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.
Podle pokynů na obrazovce zadejte tyto informace:
a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.
b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.
c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).
d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. CrowdstrikeReplicatorXXXXX).
e. Vyberte modul runtime: Zvolte Python 3.8.
f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.
Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.
Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.
2. Konfigurace aplikace funkcí
- V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
- Na kartě Nastavení aplikace vyberte ** Nové nastavení aplikace**.
- Přidejte jednotlivá nastavení aplikace s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena): AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL WorkspaceID WorkspaceKey logAnalyticsUri (volitelné)
- K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu:
https://<CustomerId>.ods.opinsights.azure.us. 4. Po zadání všech nastavení aplikace klepněte na tlačítko Uložit.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.