Konektor Crowdstrike Falcon Data Replicator V2 (pomocí Azure Functions) pro Microsoft Sentinel

Konektor Crowdstrike Falcon Data Replicator poskytuje možnost ingestovat nezpracovaná data událostí z událostí Falcon Platform do Microsoft Sentinelu. Konektor poskytuje možnost získat události od společnosti Falcon Agents, která pomáhá zkoumat potenciální rizika zabezpečení, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a provádět další akce.

atributy Připojení oru

atribut Připojení or	Popis
Kód aplikace funkcí Azure	https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Alias funkce Kusto	CrowdstrikeReplicator
Tabulky Log Analytics	CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL
Podpora pravidel shromažďování dat	V současnosti není podporováno
Podporováno	Microsoft Corporation

Ukázky dotazů

Replikátor dat – všechny aktivity

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat s Crowdstrike Falcon Data Replicator V2 (pomocí Azure Functions), ujistěte se, že máte:

• Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
• Přihlašovací údaje/oprávnění účtu SQS a AWS S3: vyžaduje se AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Další informace o načítání dat najdete v dokumentaci. Pokud chcete začít, obraťte se na podporu CrowdStrike. Na vaši žádost vytvoří kontejner Amazon Web Services (AWS) S3 spravovaný crowdStrike pro krátkodobé účely úložiště a účet SQS (jednoduchá frontová služba) pro monitorování změn v kontejneru S3.

Pokyny k instalaci dodavatele

Tento konektor používá Azure Functions k připojení k AWS SQS/ S3 k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

Požadavky

1. Konfigurace FDR v CrowdStrike – Pokud chcete povolit FDR CrowdStrike, musíte kontaktovat tým podpory CrowdStrike.
   • Po povolení FDR CrowdStrike přejděte z konzoly CrowdStrike na podporu> – klienti a klíče rozhraní API.
   • Musíte vytvořit nové přihlašovací údaje pro zkopírování ID přístupového klíče AWS, tajného přístupového klíče AWS, adresy URL fronty SQS a oblasti AWS.
2. Registrace aplikace AAD – Aby dcR authentiate ingestovala data do log analytics, musíte použít aplikaci AAD.
   • Postupujte podle zde uvedených pokynů (kroky 1 až 5) a získejte ID tenanta AAD, ID klienta AAD a tajný klíč klienta AAD.
   • Pro hlavní ID AAD této aplikace přejděte k aplikaci AAD prostřednictvím portálu AAD a zachyťte ID objektu ze stránky přehledu aplikace.

Možnosti nasazení

V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení a nasaďte konektor a přidruženou funkci Azure Functions.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení konektoru Crowdstrike Falcon Data Replicator V2 pomocí tempate ARM.

1. Klikněte níže na tlačítko Nasadit do Azure .

   

2. Zadejte požadované podrobnosti, jako jsou pracovní prostor Microsoft Sentinelu, přihlašovací údaje CrowdStrike AWS, podrobnosti o aplikaci Azure AD a konfigurace příjmu dat POZNÁMKA: Ve stejné skupině prostředků nemůžete kombinovat aplikace pro Windows a Linux ve stejné oblasti. Vyberte existující skupinu prostředků bez aplikací pro Windows nebo vytvořte novou skupinu prostředků. Doporučujeme vytvořit novou skupinu prostředků pro nasazení aplikace funkcí a přidružených prostředků.

3. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

4. Kliknutím na Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte konektor Crowdstrike Falcon Data Replicator ručně se službou Azure Functions (nasazení přes Visual Studio Code).

1. Nasazení DCE, DCR a vlastních tabulek pro příjem dat

1. Nasazení požadovaných DCE, DCR a vlastních tabulek pomocí šablony ARM pro shromažďování dat
2. Po úspěšném nasazení DCE a DCR získejte následující informace a mějte je po ruce (vyžaduje se při nasazování aplikace Azure Functions).
   • Příjem dat protokolu DCE – Postupujte podle pokynů dostupných v části Vytvoření koncového bodu shromažďování dat (krok 3).
   • Neměnné ID jednoho nebo více řadičů domény (podle potřeby) – postupujte podle pokynů dostupných na adrese Collect information from the DCR (Stpe 2).

2. Nasazení aplikace funkcí

1. Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.
2. Postupujte podle pokynů k ručnímu nasazení aplikace funkcí a nasaďte aplikaci Azure Functions pomocí VSCode.
3. Po úspěšném nasazení aplikace funkcí postupujte podle dalších kroků pro její konfiguraci.

3. Konfigurace aplikace funkcí

1. Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.

2. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.

3. Na kartě Nastavení aplikace vyberte ** Nové nastavení aplikace**.

4. Přidejte jednotlivá nastavení aplikace s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena):

   • AWS_KEY
   • AWS_SECRET
   • AWS_REGION_NAME
   • QUEUE_URL
   • USER_SELECTION_REQUIRE_RAW //True, pokud se vyžadují nezpracovaná data
   • USER_SELECTION_REQUIRE_SECONDARY //True, pokud jsou vyžadována sekundární data
   • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 pro spotřebu a 150 pro Premium
   • MAX_SCRIPT_EXEC_TIME_MINUTES // sem přidejte hodnotu 10.
   • AZURE_TENANT_ID
   • AZURE_CLIENT_ID
   • AZURE_CLIENT_SECRET
   • DCE_INGESTION_ENDPOINT
   • NORMALIZED_DCR_ID
   • RAW_DATA_DCR_ID
   • EVENT_TO_TABLE_MAPPING_LINK // Soubor se nachází na GitHubu. Přidání, pokud se k souboru dostanete přes internet
   • REQUIRED_FIELDS_SCHEMA_LINK //File se nachází na GitHubu. Přidání, pokud se k souboru dostanete přes internet
   • Pokud chcete zajistit, aby funkce běžela každou minutu, naplánujte hodnotu jako 0 */1 * * *.

5. Po zadání všech nastavení aplikace klikněte na Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.