Łącznik Crowdstrike Falcon Data Replicator V2 (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik Crowdstrike Falcon Data Replicator umożliwia pozyskiwanie nieprzetworzonych danych zdarzeń zdarzeń Falcon Platform do usługi Microsoft Sentinel. Łącznik zapewnia możliwość pobierania zdarzeń z agentów Falcon, co pomaga zbadać potencjalne zagrożenia bezpieczeństwa, przeanalizować wykorzystanie współpracy zespołu, zdiagnozować problemy z konfiguracją i nie tylko.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Kod aplikacji funkcji platformy Azure | https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp |
| Alias funkcji Kusto | CrowdstrikeReplicator |
| Tabele usługi Log Analytics | CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Replikator danych — wszystkie działania
CrowdStrikeReplicatorV2
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Crowdstrike Falcon Data Replicator v2 (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia konta SQS i AWS S3: wymagane są AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat ściągania danych. Aby rozpocząć, skontaktuj się z pomocą techniczną aplikacji CrowdStrike. Na żądanie utworzy ona zasobnik Amazon Web Services (AWS) S3 zarządzany przez aplikację CrowdStrike na potrzeby magazynu krótkoterminowego, a także konto SQS (prosta usługa kolejki) na potrzeby monitorowania zmian w zasobniku S3.
Instrukcje instalacji dostawcy
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z usługą AWS SQS/S3 w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpieczne przechowywanie kluczy autoryzacji interfejsu API lub tokenów w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Wymagania wstępne
- Skonfiguruj trasę FDR w aplikacji CrowdStrike — musisz skontaktować się z zespołem pomocy technicznej CrowdStrike, aby włączyć trasę FDR CrowdStrike.
- Po włączeniu trasy FDR CrowdStrike w konsoli CrowdStrike przejdź do pozycji Obsługa —> klienci i klucze interfejsu API.
- Musisz utworzyć nowe poświadczenia, aby skopiować identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, adres URL kolejki SQS i region AWS.
- Rejestrowanie aplikacji usługi AAD — aby usługa DCR uwierzytelniła się w celu pozyskiwania danych do analizy dzienników, musisz użyć aplikacji usługi AAD.
- Postępuj zgodnie z instrukcjami podanymi tutaj (kroki 1–5), aby uzyskać identyfikator dzierżawy usługi AAD, identyfikator klienta usługi AAD i klucz tajny klienta usługi AAD.
- W przypadku identyfikatora głównego usługi AAD tej aplikacji uzyskaj dostęp do aplikacji usługi AAD za pośrednictwem portalu usługi AAD i przechwyć identyfikator obiektu ze strony przeglądu aplikacji.
Opcje wdrażania
Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Użyj tej metody do automatycznego wdrażania łącznika Crowdstrike Falcon Data Replicator w wersji 2 przy użyciu szablonu ARM.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Podaj wymagane szczegóły, takie jak obszar roboczy usługi Microsoft Sentinel, poświadczenia usługi CrowdStrike AWS, szczegóły aplikacji usługi Azure AD i konfiguracje pozyskiwania UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. Zaleca się utworzenie nowej grupy zasobów na potrzeby wdrażania aplikacji funkcji i skojarzonych zasobów.
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Opcja 2 — ręczne wdrażanie usługi Azure Functions
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik Crowdstrike Falcon Data Replicator za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).
1. Wdrażanie tabel DCE, DCR i niestandardowych na potrzeby pozyskiwania danych
- Wdrażanie wymaganych kontrolerów domeny, kontrolerów domeny i tabel niestandardowych przy użyciu szablonu arm zasobu zbierania danych
- Po pomyślnym wdrożeniu usług DCE i DCR uzyskaj poniższe informacje i zachowaj ich rękę (wymagane podczas wdrażania aplikacji usługi Azure Functions).
- Pozyskiwanie dzienników DCE — postępuj zgodnie z instrukcjami dostępnymi w temacie Tworzenie punktu końcowego zbierania danych (krok 3).
- Niezmienne identyfikatory co najmniej jednego kontrolera domeny (zgodnie z zastosowaniem) — postępuj zgodnie z instrukcjami dostępnymi w sekcji Zbieranie informacji z kontrolera DOMENY (Stpe 2).
2. Wdrażanie aplikacji funkcji
- Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.
- Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację usługi Azure Functions przy użyciu programu VSCode.
- Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następne kroki konfigurowania aplikacji.
3. Konfigurowanie aplikacji funkcji
Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.
W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
Na karcie Ustawienia aplikacji wybierz pozycję ** Nowe ustawienie aplikacji**.
Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter):
- AWS_KEY
- AWS_SECRET
- AWS_REGION_NAME
- QUEUE_URL
- USER_SELECTION_REQUIRE_RAW //True, jeśli wymagane są nieprzetworzone dane
- USER_SELECTION_REQUIRE_SECONDARY //True, jeśli wymagane są dane pomocnicze
- MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 do użycia i 150 dla warstwy Premium
- MAX_SCRIPT_EXEC_TIME_MINUTES // dodaj wartość 10 tutaj
- AZURE_TENANT_ID
- AZURE_CLIENT_ID
- AZURE_CLIENT_SECRET
- DCE_INGESTION_ENDPOINT
- NORMALIZED_DCR_ID
- RAW_DATA_DCR_ID
- EVENT_TO_TABLE_MAPPING_LINK // Plik jest obecny w witrynie github. Dodaj, czy można uzyskać dostęp do pliku za pomocą Internetu
- REQUIRED_FIELDS_SCHEMA_LINK //File znajduje się w witrynie github. Dodaj, czy można uzyskać dostęp do pliku za pomocą Internetu
- Zaplanuj //Dodaj wartość jako "0 */1 * * * *", aby upewnić się, że funkcja jest uruchamiana co minutę.
Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.