Crowdstrike Falcon Data Replicator V2 -anslutningsprogram (med Azure Functions) för Microsoft Sentinel

Crowdstrike Falcon Data Replicator-anslutningsappen ger möjlighet att mata in rådata från Falcon Platform-händelserna till Microsoft Sentinel. Anslutningsappen ger möjlighet att hämta händelser från Falcon Agents som hjälper till att undersöka potentiella säkerhetsrisker, analysera ditt teams användning av samarbete, diagnostisera konfigurationsproblem med mera.

Anslut ellerattribut

Anslut ellerattribut	beskrivning
Kod för Azure-funktionsapp	https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Kusto-funktionsalias	CrowdstrikeReplicator
Log Analytics-tabeller	CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL
Stöd för regler för datainsamling	Stöds för närvarande inte
Stöds av	Microsoft Corporation

Exempel på frågor

Datareplikator – alla aktiviteter

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med Crowdstrike Falcon Data Replicator V2 (med Azure Functions) kontrollerar du att du har:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
• Autentiseringsuppgifter/behörigheter för SQS- och AWS S3-konton: AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL krävs. Mer information om datainsamling finns i dokumentationen. Börja genom att kontakta CrowdStrike-supporten. På din begäran kommer de att skapa en CrowdStrike-hanterad Amazon Web Services (AWS) S3-bucket för kortsiktiga lagringsändamål samt ett SQS-konto (enkel kötjänst) för övervakning av ändringar i S3-bucketen.

Installationsanvisningar för leverantör

Den här anslutningsappen använder Azure Functions för att ansluta till AWS SQS/S3 för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

Förutsättningar

1. Konfigurera FDR i CrowdStrike – Du måste kontakta CrowdStrike-supportteamet för att aktivera CrowdStrike FDR.
   • När CrowdStrike FDR har aktiverats går du från CrowdStrike-konsolen till Support –> API-klienter och nycklar.
   • Du måste skapa nya autentiseringsuppgifter för att kopiera AWS-åtkomstnyckelns ID, AWS Secret Access Key, SQS-kö-URL och AWS-region.
2. Registrera AAD-program – För att DCR ska kunna autentisera för att mata in data i logganalys måste du använda AAD-programmet.
   • Följ anvisningarna här (steg 1–5) för att hämta AAD-klient-ID, AAD-klient-ID och AAD-klienthemlighet.
   • För AAD-huvud-ID för det här programmet öppnar du AAD-appen via AAD-portalen och samlar in objekt-ID från programöversiktssidan.

Distributionsalternativ

Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

Alternativ 1 – Arm-mall (Azure Resource Manager)

Använd den här metoden för automatisk distribution av Crowdstrike Falcon Data Replicator Connector V2 med hjälp av en ARM Tempate.

1. Klicka på knappen Distribuera till Azure nedan.

   

2. Ange nödvändig information, till exempel Microsoft Sentinel-arbetsyta, CrowdStrike AWS-autentiseringsuppgifter, Azure AD-programinformation och inmatningskonfigurationer OBS: Inom samma resursgrupp kan du inte blanda Windows- och Linux-appar i samma region. Välj en befintlig resursgrupp utan Windows-appar i den eller skapa en ny resursgrupp. Vi rekommenderar att du skapar en ny resursgrupp för distribution av funktionsappen och associerade resurser.

3. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan.

4. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera anslutningsappen Crowdstrike Falcon Data Replicator manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera DCE, DCR och anpassade tabeller för datainmatning

1. Distribuera nödvändig DCE, DCR och anpassade tabeller med hjälp av ARM-mallen för datainsamlingsresurser
2. Efter en lyckad distribution av DCE och DCR:er hämtar du informationen nedan och behåll den till hands (krävs under distributionen av Azure Functions-appen).
   • DCE-logginmatning – Följ anvisningarna i Skapa datainsamlingsslutpunkt (steg 3).
   • Oföränderliga ID:er för en eller flera domänkontrollanter (i förekommande fall) – Följ anvisningarna som finns på Samla in information från DCR (Stpe 2).

2. Distribuera en funktionsapp

1. Ladda ned Azure Function App-filen. Extrahera arkivet till din lokala utvecklingsdator.
2. Följ instruktionerna för manuell distribution av funktionsappen för att distribuera Azure Functions-appen med VSCode.
3. När distributionen av funktionsappen har slutförts följer du nästa steg för att konfigurera den.

3. Konfigurera funktionsappen

1. Gå till Azure-portalen för konfigurationen av funktionsappen.

2. I funktionsappen väljer du funktionsappens namn och väljer Konfiguration.

3. På fliken Programinställningar väljer du ** Ny programinställning**.

4. Lägg till var och en av följande programinställningar individuellt med sina respektive strängvärden (skiftlägeskänsliga):

   • AWS_KEY
   • AWS_SECRET
   • AWS_REGION_NAME
   • QUEUE_URL
   • USER_SELECTION_REQUIRE_RAW //True om rådata krävs
   • USER_SELECTION_REQUIRE_SECONDARY //True om sekundära data krävs
   • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 för förbrukning och 150 för Premium
   • MAX_SCRIPT_EXEC_TIME_MINUTES // lägg till värdet 10 här
   • AZURE_TENANT_ID
   • AZURE_CLIENT_ID
   • AZURE_CLIENT_SECRET
   • DCE_INGESTION_ENDPOINT
   • NORMALIZED_DCR_ID
   • RAW_DATA_DCR_ID
   • EVENT_TO_TABLE_MAPPING_LINK // Filen finns på github. Lägg till om filen kan nås via Internet
   • REQUIRED_FIELDS_SCHEMA_LINK //File finns på github. Lägg till om filen kan nås via Internet
   • Schemalägg //Lägg till värde som "0 */1 * * * * *" för att säkerställa att funktionen körs varje minut.

5. När alla programinställningar har angetts klickar du på Spara.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.