Conector Crowdstrike Falcon Data Replicator V2 (mediante Azure Functions) para Microsoft Sentinel

El conector Crowdstrike Falcon Data Replicator proporciona la capacidad de ingerir datos de eventos sin procesar de los eventos de Falcon Platform en Microsoft Sentinel. El conector ofrece la posibilidad de obtener eventos de los agentes de Falcon que ayudan a examinar posibles riesgos de seguridad, analizar el uso de la colaboración por parte de su equipo, diagnosticar problemas de configuración y mucho más.

Atributos del conector

Atributo del conector	Descripción
Código de la aplicación de funciones de Azure	https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Alias de función de Kusto	CrowdstrikeReplicator
Tabla de Log Analytics	CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL
Compatibilidad con reglas de recopilación de datos	No se admite actualmente.
Compatible con	Microsoft Corporation

Ejemplos de consultas

Data Replicator: todas las actividades

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

Requisitos previos

Para la integración con Crowdstrike Falcon Data Replicator V2 (mediante Azure Functions), asegúrese de que tiene:

• Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
• Los permisos y las credenciales de la cuenta de SQS y de AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL son obligatorios. Consulte la documentación para más información sobre la extracción de datos. Para empezar, póngase en contacto con el soporte técnico de CrowdStrike. A su solicitud, crearán un cubo de Amazon Web Services (AWS) S3 administrado por CrowdStrike para fines de almacenamiento a corto plazo, así como una cuenta de SQS (servicio de cola simple) para supervisar los cambios en el cubo S3.

Instrucciones de instalación del proveedor

Este conector usa Azure Functions para conectarse a AWS SQS / S3 para extraer registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

Requisitos previos

1. Configuración de FDR en CrowdStrike: debe ponerse en contacto con el equipo de soporte técnico de CrowdStrike para habilitar CrowdStrike FDR.
   • Una vez habilitada la FDR de CrowdStrike, desde la consola de CrowdStrike, vaya a Soporte técnico:> clientes y claves de API.
   • Debe crear nuevas credenciales para copiar el identificador de clave de acceso de AWS, la clave de acceso secreta de AWS, la dirección URL de cola de SQS y la región de AWS.
2. Registro de la aplicación de AAD: para que DCR se autentique para ingerir datos en Log Analytics, debe usar la aplicación de AAD.
   • Siga las instrucciones que se indican aquí (pasos 1-5) para obtener el id. de inquilino de AAD, el id. de cliente de AAD y el secreto de cliente de AAD.
   • Para el identificador de entidad de seguridad de AAD de esta aplicación, acceda a la aplicación de AAD a través del portal de AAD y capture el identificador de objeto desde la página de información general de la aplicación.

Opciones de implementación

Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector Crowdstrike Falcon Data Replicator V2 mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure que aparece a continuación.

   

2. Proporcione los detalles necesarios, como el área de trabajo de Microsoft Sentinel, las credenciales de AWS de CrowdStrike, los detalles de la aplicación de Azure AD y las configuraciones de ingesta NOTA: Dentro del mismo grupo de recursos, no se pueden mezclar aplicaciones de Windows y Linux en la misma región. Seleccione el grupo de recursos existente sin aplicaciones de Windows en él o cree un grupo de recursos. Se recomienda crear un nuevo grupo de recursos para la implementación de la aplicación de funciones y los recursos asociados.

3. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

4. Haga clic en Comprar para iniciar la implementación.

Opción 2: Implementación manual de Azure Functions

Siga estas instrucciones paso a paso para implementar el conector de datos Crowdstrike Falcon Data Replicator manualmente con Azure Functions (implementación mediante Visual Studio Code).

1. Implementación de DCE, DCR y tablas personalizadas para la ingesta de datos

1. Implementación de DCE, DCR y tablas personalizadas necesarias mediante la plantilla de ARM del recurso de recopilación de datos
2. Después de una implementación correcta de DCE y DCR, obtenga la siguiente información y téngala a mano (necesaria durante la implementación de aplicaciones de Azure Functions).
   • Ingesta de registros de DCE: siga las instrucciones disponibles en Crear punto de conexión de recopilación de datos (paso 3).
   • Identificadores inmutables de una o varias DCR (según corresponda): siga las instrucciones disponibles en Recopilar información de la DCR (Stpe 2).

2. Implementación de una aplicación de funciones

1. Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.
2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
3. Después de la implementación correcta de la aplicación de funciones, siga los siguientes pasos para configurarla.

3. Configuración de la aplicación de funciones

1. Vaya a Azure Portal para la configuración de la aplicación de funciones.

2. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.

3. En la pestaña Configuración de la aplicación, seleccione ** Nueva configuración de la aplicación**.

4. Agregue cada una de las siguientes opciones de configuración de la aplicación individualmente, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas):

   • AWS_KEY
   • AWS_SECRET
   • AWS_REGION_NAME
   • QUEUE_URL
   • USER_SELECTION_REQUIRE_RAW //True si se requieren datos sin procesar
   • USER_SELECTION_REQUIRE_SECONDARY //True si se requieren datos secundarios
   • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 para consumo y 150 para Premium
   • MAX_SCRIPT_EXEC_TIME_MINUTES // agregue el valor de 10 aquí
   • AZURE_TENANT_ID
   • AZURE_CLIENT_ID
   • AZURE_CLIENT_SECRET
   • DCE_INGESTION_ENDPOINT
   • NORMALIZED_DCR_ID
   • RAW_DATA_DCR_ID
   • EVENT_TO_TABLE_MAPPING_LINK // el archivo está presente en github. Adición si se puede acceder al archivo mediante Internet
   • REQUIRED_FIELDS_SCHEMA_LINK // el archivo está presente en github. Adición si se puede acceder al archivo mediante Internet
   • Programe //Add value as '0 */1 * * * *' para asegurarse de que la función se ejecuta cada minuto.

5. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.