Microsoft Sentinel 用の Crowdstrike Falcon Data Replicator V2 (Azure Functions を使用) コネクタ

  • [アーティクル]

Crowdstrike Falcon Data Replicator コネクタによって、Falcon Platform イベントから Microsoft Sentinel に生のイベント データを取り込む機能が提供されます。 このコネクタによって、潜在的なセキュリティ リスクの調査、チームによるコラボレーションの使用の分析、構成の問題の診断などに役立つイベントを Falcon Agents から取得する機能が提供されます。

コネクタの属性

コネクタ属性 説明
Azure 関数アプリのコード https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Kusto 関数エイリアス CrowdstrikeReplicator
Log Analytics テーブル CrowdStrike_Additional_Events_CL
ASimNetworkSessionLogs
ASimDnsActivityLogs
ASimAuditEventLogs
ASimFileEventLogs
ASimAuthenticationEventLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
CrowdStrike_Secondary_Data_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

Data Replicator - すべてのアクティビティ

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

前提条件

Crowdstrike Falcon Data Replicator V2 (Azure Functions を使用) と統合するには、次のことを確認してください。

ベンダーのインストール手順

このコネクタでは Azure Functions を使って AWS SQS / S3 に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

前提条件

  1. CrowdStrike で FDR を構成する - CrowdStrike FDR を有効にするには、CrowdStrike サポート チームに問い合わせる必要があります。
    • CrowdStrike FDR が有効になったら、CrowdStrike コンソールから [Support] --> [API Clients and Keys] に移動します。
    • AWS アクセス キー ID、AWS シークレット アクセス キー、SQS キュー URL、AWS リージョンをコピーするには、新しい資格情報を作成する必要があります。
  2. AAD アプリケーションを登録する - データをログ分析に取り込む認証を DCR で行うには、AAD アプリケーションを使う必要があります。
    • こちらの手順 (手順 1 から 5) に従ってAAD テナント IDAAD クライアント IDAAD クライアント シークレットを取得します。
    • このアプリケーションの AAD プリンシパル ID については、AAD ポータルを使って AAD アプリにアクセスし、アプリケーションの概要ページからオブジェクト ID を取り込みます。

配置オプション

次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

オプション 1 - Azure Resource Manager (ARM) テンプレート

ARM テンプレートを使って Crowdstrike Falcon Data Replicator コネクタ V2 を自動的にデプロイするには、この方法を使います。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Deploy To Azure

  2. Microsoft Sentinel ワークスペース、CrowdStrike AWS 資格情報、Azure AD アプリケーションの詳細、インジェストの構成などの必要な詳細を指定します。注: 同じリソース グループ内で、同じリージョンに Windows アプリと Linux アプリを混在させることはできません。 Windows アプリが含まれていない既存のリソース グループを選択するか、新しいリソース グループを作成します。 関数アプリと関連リソースのデプロイ用に新しいリソース グループを作成することをお勧めします。

  3. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。

  4. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

Azure Functions を使って Crowdstrike Falcon Data Replicator コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code によるデプロイ)。

1.データ インジェスト用に DCE、DCR、カスタム テーブルをデプロイします

  1. データ コレクション リソース ARM テンプレートを使って、必要な DCE、DCR、カスタム テーブルをデプロイします
  2. DCE と DCR のデプロイが成功したら、次の情報を取得して手元に置いておきます (Azure Functions アプリのデプロイ時に必要になります)。

2.関数アプリをデプロイします

  1. Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。
  2. 関数アプリの手動デプロイ手順」に従い、VSCode を使って Azure Functions アプリをデプロイします。
  3. 関数アプリのデプロイに成功したら、以下の手順に従って関数アプリを構成します。

3. 関数アプリを構成する

  1. 関数アプリを構成するために、Azure portal に移動します。

  2. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。

  3. [アプリケーションの設定] タブで、**[新しいアプリケーション設定]** を選択します。

  4. 次の各アプリケーション設定を、それぞれの文字列値で個別に追加します (大文字と小文字を区別します)。

    • AWS_KEY
    • AWS_SECRET
    • AWS_REGION_NAME
    • QUEUE_URL
    • USER_SELECTION_REQUIRE_RAW //生データが必要な場合は true
    • USER_SELECTION_REQUIRE_SECONDARY //セカンダリ データが必要な場合は true
    • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 従量課金制の場合は 100、Premium の場合は 150
    • MAX_SCRIPT_EXEC_TIME_MINUTES // ここに値 10 を追加します
    • AZURE_TENANT_ID
    • AZURE_CLIENT_ID
    • AZURE_CLIENT_SECRET
    • DCE_INGESTION_ENDPOINT
    • NORMALIZED_DCR_ID
    • RAW_DATA_DCR_ID
    • EVENT_TO_TABLE_MAPPING_LINK // ファイルは github に存在します。 インターネットを使ってファイルにアクセスできるかどうかを追加します
    • REQUIRED_FIELDS_SCHEMA_LINK // ファイルは github にあります。 インターネットを使ってファイルにアクセスできるかどうかを追加します
    • Schedule // 関数が毎分実行されるように、'0 */1 * * * *' という値を追加します。

  5. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。