你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

适用于 Microsoft Sentinel 的 Crowdstrike Falcon Data Replicator V2（使用 Azure Functions）连接器

Crowdstrike Falcon Data Replicator 连接器提供将 Falcon 平台事件中的原始事件数据引入 Microsoft Sentinel 的功能。 该连接器提供从 Falcon 代理获取事件的功能，这有助于检查潜在的安全风险、分析团队协作情况、诊断配置问题等。

连接器属性

连接器属性	说明
Azure 函数应用代码	https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Kusto 函数别名	CrowdstrikeReplicator
Log Analytics 表	CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL
数据收集规则支持	目前不支持
支持的服务	Microsoft Corporation

查询示例

Data Replicator - 所有活动

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

先决条件

要与 Crowdstrike Falcon Data Replicator V2（使用 Azure Functions）集成，请确保具有：

• Microsoft.Web/sites 权限：必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
• SQS 和 AWS S3 帐户凭据/权限：需要 AWS_SECRET、AWS_REGION_NAME、AWS_KEY、QUEUE_URL。 参阅文档以详细了解数据拉取。 若要开始，请联系 CrowdStrike 支持人员。 他们将按照你的请求创建一个 CrowdStrike 托管的 Amazon Web Services (AWS) S3 存储桶用于短期存储目的，并创建一个 SQS（简单队列服务）帐户用于监视对 S3 存储桶的更改。

供应商安装说明

此连接器使用 Azure Functions 连接到 AWS SQS/S3，以将日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息，请参阅 Azure Functions 定价页。

（可选步骤）将 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明，将 Azure Key Vault 与 Azure 函数应用结合使用。

先决条件

1. 在 CrowdStrike 中配置 FDR - 必须联系 CrowdStrike 支持团队以启用 CrowdStrike FDR。
   • 启用 CrowdStrike FDR 后，从 CrowdStrike 控制台导航到支持 -> API 客户端和密钥。
   • 需要创建新的凭据以复制 AWS 访问密钥 ID、AWS 机密访问密钥、SQS 队列 URL 和 AWS 区域。
2. 注册 AAD 应用程序 - 若要使 DCR 进行身份验证以将数据引入到 Log Analytics 中，必须使用 AAD 应用程序。
   • 按照此处的说明（步骤 1-5）获取 AAD 租户 ID、AAD 客户端 ID 和 AAD 客户端密码。
   • 对于 此应用程序的 AAD 主体 ID，请通过 AAD 门户访问 AAD 应用，并从应用程序概述页获取对象 ID。

部署选项

从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法通过 ARM 模板自动部署 Crowdstrike Falcon Data Replicator V2 连接器。

1. 单击下面的“部署到 Azure” 按钮。

   

2. 提供所需的详细信息，例如 Microsoft Sentinel 工作区、CrowdStrike AWS 凭据、Azure AD 应用程序详细信息和引入配置。注意：在同一资源组中，不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组，或创建新的资源组。 建议创建用于部署函数应用和相关资源的新资源组。

3. 选中“我同意上述条款和条件”复选框。

4. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

按照以下分步说明，使用 Azure Functions 手动部署 Crowdstrike Falcon Data Replicator 连接器（通过 Visual Studio Code 进行部署）。

1.为数据引入部署 DCE、DCR 和自定义表

1. 使用数据收集资源 ARM 模板部署所需的 DCE、DCR 和自定义表
2. 成功部署 DCE 和 DCR 后，获取以下信息并使其保持随时可用（Azure Functions 应用部署期间需要）。
   • DCE 日志引入 - 按照“创建数据收集终结点”（步骤 3）中提供的说明进行操作。
   • 一个或多个 DCR 的不可变 ID（如适用） - 按照“从 DCR 收集信息（步骤 2）”中提供的说明进行操作。

2.部署函数应用

1. 下载 Azure 函数应用文件。 将存档提取到本地开发计算机。
2. 按照函数应用手动部署指南，使用 VSCode 部署 Azure Functions 应用。
3. 成功部署函数应用后，请按照后续步骤进行配置。

3. 配置函数应用

1. 转到 Azure 门户，获取函数应用配置。

2. 在函数应用中选择“函数应用名称”，然后选择“配置”。

3. 在“应用程序设置”选项卡中，选择“新建应用程序设置”。

4. 分别添加以下每个应用程序设置及其各自的字符串值（区分大小写）：

   • AWS_KEY
   • AWS_SECRET
   • AWS_REGION_NAME
   • QUEUE_URL
   • USER_SELECTION_REQUIRE_RAW //True（如果需要原始数据）
   • USER_SELECTION_REQUIRE_SECONDARY //True（如果需要辅助数据）
   • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100（消耗）或 150（高级）
   • MAX_SCRIPT_EXEC_TIME_MINUTES // 在此处添加值 10
   • AZURE_TENANT_ID
   • AZURE_CLIENT_ID
   • AZURE_CLIENT_SECRET
   • DCE_INGESTION_ENDPOINT
   • NORMALIZED_DCR_ID
   • RAW_DATA_DCR_ID
   • EVENT_TO_TABLE_MAPPING_LINK // 文件存在于 Github。 如果可以使用 Internet 访问文件，请添加
   • REQUIRED_FIELDS_SCHEMA_LINK //文件存在于 Github。 如果可以使用 Internet 访问文件，请添加
   • Schedule //添加值为“0 */1 * * * *”，以确保函数每分钟运行一次。

5. 输入所有应用程序设置后，单击“保存”。

后续步骤

有关详细信息，请转到 Azure 市场中的相关解决方案。