Microsoft Sentinel için CrowdStrike Falcon Endpoint Protection bağlayıcısı
CrowdStrike Falcon Endpoint Protection bağlayıcısı, özel panolar, uyarılar oluşturmak ve araştırmayı geliştirmek için CrowdStrike Falcon Olay Akışınızı Microsoft Sentinel ile kolayca bağlamanıza olanak tanır. Bu, kuruluşunuzun uç noktaları hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | CommonSecurityLog (CrowdStrikeFalconEventStream) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
Algılamalı İlk 10 Konak
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstHostName
| top 10 by count_
Algılamaları Olan İlk 10 Kullanıcı
CrowdStrikeFalconEventStream
| where EventType == "DetectionSummaryEvent"
| summarize count() by DstUserName
| top 10 by count_
Satıcı yükleme yönergeleri
NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve Crowd Strike Falcon Endpoint Protection diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın; sorgunun ikinci satırında CrowdStrikeFalcon cihazlarınızın ana bilgisayar adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- CrowdStrike Falcon Olay Akışı günlüklerini syslog aracısına iletme
Syslog iletilerini CEF biçiminde Syslog aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletmek için CrowdStrike Falcon SIEM Toplayıcısı'nı dağıtın.
SIEM Toplayıcısı'nı dağıtmak ve syslog'u iletmek için bu yönergeleri izleyin
Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.
Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.