Compartir a través de

CrowdStrike Falcon Adversary Intelligence (mediante Azure Functions) para Microsoft Sentinel

  • Artículo

El conector CrowdStrike Falcon Indicators of Compromise recupera los indicadores de compromiso de la API Falcon Intel y los carga en Microsoft Sentinel Threat Intel.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Código de la aplicación de funciones de Azure https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp
Tabla de Log Analytics IndicatorsOfCompromise
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Microsoft Corporation

Ejemplos de consultas

Threat Intel: Crowdstrike Indicators of Compromise

ThreatIntelligenceIndicator

| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'

| sort by TimeGenerated desc

Requisitos previos

Para la integración con CrowdStrike Falcon Adversary Intelligence (mediante Azure Functions), asegúrese de que tiene:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para más información sobre Azure Functions.
  • Identificación de cliente y secreto de cliente de la API de CrowdStrike: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Las credenciales de CrowdStrike deben tener ámbito de lectura Indicators (Falcon Intelligence).

Instrucciones de instalación del proveedor

PASO 1: Generación de credenciales de API de CrowdStrike.

Asegúrese de que el ámbito "Indicators (Falcon Intelligence)" tenga seleccionado "read".

PASO 2: Registro de una aplicación Entra con el secreto de cliente.

Proporcione la entidad de seguridad de aplicación Entra con la asignación de roles "Colaborador de Microsoft Sentinel" en el área de trabajo de Log Analytics correspondiente. Procedimientos para asignar roles en Azure

PASO 3: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

Importante

Antes de implementar el conector CrowdStrike Falcon Indicator of Compromise, tenga el identificador del área de trabajo (se puede copiar de lo siguiente).

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector CrowdStrike Falcon Adversary Intelligence mediante una plantilla de ARM.

  1. Seleccione el botón Implementar en Azure siguiente.

    Implementación en Azure

  2. Proporcione los parámetros siguientes: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Opción 2: Implementación manual de Azure Functions

Siga estas instrucciones paso a paso para implementar el conector CrowdStrike Falcon Adversary Intelligence manualmente con Azure Functions (implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

Debe preparar VS Code para el desarrollo de funciones de Azure.

  1. Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.

  2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

  3. Seleccione la carpeta de nivel superior de los archivos extraídos.

  4. Seleccione el icono de Azure en la barra de actividades y después, en el área Azure: Functions, seleccione el botón de implementación en la aplicación de funciones. Si aún no ha iniciado sesión, seleccione el icono de Azure en la barra de actividades y después en el área Azure: Functions, seleccione Iniciar sesión en Azure. Si ya había iniciado sesión, vaya al paso siguiente.

  5. Escriba la siguiente información cuando se le indique:

    a. Seleccionar carpeta: elija una carpeta de su área de trabajo o busque una que contenga su aplicación de funciones.

    b. Seleccionar la suscripción: elija la suscripción que desee usar.

    c. Seleccionar Crear aplicación de funciones en Azure (no elija la opción Opciones avanzadas)

    d. Escribir un nombre único global para la aplicación de funciones: escriba un nombre que sea válido en una ruta de acceso de la dirección URL, El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, CrowdStrikeFalconIOCXXXXX).

    e. Seleccione un entorno de ejecución: Elija Python 3.9.

    f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

  6. Se inicia la implementación. Una vez que se haya creado la aplicación de función se mostrará una notificación y se aplicará el paquete de implementación.

  7. Vaya a Azure Portal para la configuración de la aplicación de funciones.

2. Configuración de la aplicación de funciones

  1. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.

  2. En la pestaña Configuración de aplicaciones, seleccione Nueva configuración de aplicación.

  3. Agregue cada una de las siguientes opciones de configuración de la aplicación individualmente, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas):

    • CROWDSTRIKE_CLIENT_ID
    • CROWDSTRIKE_CLIENT_SECRET
    • CROWDSTRIKE_BASE_URL
    • TENANT_ID
    • INDICATORS
    • WorkspaceKey
    • AAD_CLIENT_ID
    • AAD_CLIENT_SECRET
    • LOOK_BACK_DAYS
    • WORKSPACE_ID

  4. Una vez especificada toda la configuración de la aplicación, seleccione Guardar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.