Sdílet prostřednictvím

Konektor CrowdStrike Falcon Adversary Intelligence (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

CrowdStrike Falcon Indikátory kompromisu konektoru načte indikátory ohrožení z rozhraní Falcon Intel API a nahraje je Microsoft Sentinel Threat Intel.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Kód aplikace funkcí Azure https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp
Tabulky Log Analytics IndikátoryOfCompromise
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

Hrozba Intel - Crowdstrike Indikátory ohrožení

ThreatIntelligenceIndicator

| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'

| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat s CrowdStrike Falcon Adversary Intelligence (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • ID klienta rozhraní API CrowdStrike a tajný klíč klienta: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Přihlašovací údaje CrowdStrike musí mít rozsah čtení indikátorů (Falcon Intelligence).

Pokyny k instalaci dodavatele

KROK 1: Vygenerování přihlašovacích údajů rozhraní API CrowdStrike

Ujistěte se, že je vybraný obor Indikátory (Falcon Intelligence).

KROK 2 : Registrace aplikace Entra s tajným kódem klienta

Zadejte instanční objekt aplikace Entra s přiřazením role Přispěvatel Microsoft Sentinelu v příslušném pracovním prostoru služby Log Analytics. Přiřazení rolí v Azure

KROK 3: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

Důležité

Než nasadíte konektor CrowdStrike Falcon Indicator of Compromise Connector, zadejte ID pracovního prostoru (můžete zkopírovat z následujícího příkladu).

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení konektoru CrowdStrike Falcon Adversary Intelligence pomocí šablony ARM.

  1. Vyberte následující tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Zadejte následující parametry: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte konektor CrowdStrike Falcon Adversary Intelligence ručně pomocí služby Azure Functions (nasazení přes Visual Studio Code).

1. Nasazení aplikace funkcí

Potřebujete připravit VS Code na vývoj funkcí Azure.

  1. Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.

  2. Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.

  3. Vyberte složku nejvyšší úrovně z extrahovaných souborů.

  4. Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.

  5. Podle pokynů na obrazovce zadejte tyto informace:

    a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.

    b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.

    c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).

    d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. CrowdStrikeFalconIOCXXXXX).

    e. Vyberte modul runtime: Zvolte Python 3.9.

    f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.

  6. Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.

  7. Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.

2. Konfigurace aplikace funkcí

  1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.

  2. Na kartě Nastavení aplikace vyberte Nové nastavení aplikace.

  3. Přidejte jednotlivá nastavení aplikace s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena):

    • CROWDSTRIKE_CLIENT_ID
    • CROWDSTRIKE_CLIENT_SECRET
    • CROWDSTRIKE_BASE_URL
    • TENANT_ID
    • INDIKÁTORY
    • WorkspaceKey
    • AAD_CLIENT_ID
    • AAD_CLIENT_SECRET
    • LOOK_BACK_DAYS
    • WORKSPACE_ID

  4. Po zadání všech nastavení aplikace vyberte Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.