Microsoft Sentinel için Crowdstrike Falcon Veri Çoğaltıcısı (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Crowdstrike Falcon Veri Çoğaltıcısı bağlayıcısı, Falcon Platformu olaylarından Microsoft Sentinel'e ham olay verilerini alma özelliği sağlar. Bağlayıcı, olası güvenlik risklerini incelemeye, ekibinizin işbirliği kullanımını analiz etmeye, yapılandırma sorunlarını tanılamaya ve daha fazlasına yardımcı olan Falcon Aracılarından olaylar alma olanağı sağlar.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Uygulama ayarları AWS_KEY
AWS_SECRET
AWS_REGION_NAME
QUEUE_URL
WorkspaceID
WorkspaceKey
logAnalyticsUri (isteğe bağlı)
Azure işlev uygulaması kodu https://aka.ms/sentinel-CrowdstrikeReplicator-functionapp
Kusto işlev diğer adı CrowdstrikeReplicator
Log Analytics tabloları CrowdstrikeReplicatorLogs_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft Corporation

Sorgu örnekleri

Veri Çoğaltıcısı - Tüm Etkinlikler

CrowdstrikeReplicator

| sort by TimeGenerated desc

Önkoşullar

Crowdstrike Falcon Veri Çoğaltıcısı ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • SQS ve AWS S3 hesabı kimlik bilgileri/izinleri: AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL gereklidir. Veri çekme hakkında daha fazla bilgi edinmek için belgelere bakın. Başlamak için CrowdStrike desteğine başvurun. İsteğiniz üzerine kısa vadeli depolama amacıyla CrowdStrike tarafından yönetilen Amazon Web Services (AWS) S3 demeti ve S3 demetinde yapılan değişiklikleri izlemek için bir SQS (basit kuyruk hizmeti) hesabı oluşturur.

Satıcı yükleme yönergeleri

Dekont

Bu bağlayıcı, günlükleri Microsoft Sentinel'e çekmek üzere S3 demetine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Dekont

Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır.

ADIM 1 - Kimlik bilgilerini ve Kuyruk URL'sini almak için CrowdStrike desteğine başvurun.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: Crowdstrike Falcon Veri Çoğaltıcısı bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak Crowdstrike Falcon Veri Çoğaltıcısı bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Deploy To Azure

  2. Tercih edilen AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL seçin.

NOT: Aynı kaynak grubunda, aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL girin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Crowdstrike Falcon Veri Çoğaltıcısı bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

  1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

  2. VS Code’u başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

  3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

  4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin. Zaten oturum açtıysanız sonraki adıma gidin.

  5. İstemlerde aşağıdaki bilgileri sağlayın:

    a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren bir klasöre göz atın.

    b. Abonelik: Kullanılacak aboneliği seçin.

    c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

    d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (ör. CrowdstrikeReplicatorXXXXXX).

    e. Çalışma zamanı seçin: Python 3.8'i seçin.

    f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve daha düşük maliyetler için Microsoft Sentinel'in bulunduğu bölgeyi seçin.

  6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.

  7. İşlev Uygulaması yapılandırması için Azure Portal'a gidin.

2. İşlev Uygulamasını Yapılandırma

  1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
  2. Uygulama ayarları sekmesinde** Yeni uygulama ayarı**'nı seçin.
  3. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)
  • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us. 4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.