Partager via

Connecteur CrowdStrike Falcon Adversary Intelligence (avec Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur CrowdStrike Falcon Indicators of Compromise récupère les indicateurs de compromission auprès de l’API Falcon Intel et les charge dans Microsoft Sentinel Threat Intelligence.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Code d’application de fonction Azure https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp
Table(s) Log Analytics IndicatorsOfCompromise
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Microsoft Corporation

Exemples de requête

Threat Intelligence – Indicateurs de compromission Crowdstrike

ThreatIntelligenceIndicator

| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'

| sort by TimeGenerated desc

Prérequis

Pour s’intégrer à CrowdStrike Falcon Adversary Intelligence (avec Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
  • ID et clé secrète client de l’API CrowdStrike : CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Les informations d’identification CrowdStrike doivent avoir l’étendue de lecture Indicators (Falcon Intelligence).

Instructions d’installation du fournisseur

ÉTAPE 1 – Générer les informations d’identification de l’API CrowdStrike.

Vérifiez que « Lecture » est sélectionné pour l’étendue « Indicators (Falcon Intelligence) ».

ÉTAPE 2 – Inscrire une application Entra avec la clé secrète client.

Fournissez au principal de l’application Entra l’attribution de rôle « Contributeur Microsoft Sentinel » sur l’espace de travail Log Analytics concerné. Comment attribuer des rôles sur Azure

ÉTAPE 3 : choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

Important

Avant de déployer le connecteur CrowdStrike Falcon Indicator of Compromise, vous devez disposer de l’ID d’espace de travail (vous pouvez le copier depuis ce qui suit).

Option 1 – Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur CrowdStrike Falcon Adversary Intelligence en utilisant un modèle ARM.

  1. Sélectionnez le bouton Déployer sur Azure suivant.

    Déployer sur Azure

  2. Spécifiez les paramètres suivants : CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Option 2 - Déploiement manuel de fonctions Azure

Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur CrowdStrike Falcon Adversary Intelligence avec Azure Functions (Déploiement via Visual Studio Code).

1. Déployer une application de fonction

Vous devez préparer VS Code pour le développement d’une fonction Azure.

  1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

  2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

  3. Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.

  4. Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.

  5. Quand vous y êtes invité, indiquez les informations suivantes :

    a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

    b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

    c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

    d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (par exemple CrowdStrikeFalconIOCXXXXX).

    e. Sélectionner un runtime : choisissez Python 3.9.

    f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

  6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.

  7. Accédez au Portail Azure pour la configuration de l’application de fonction.

2. Configurer l’application de fonction

  1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis Configuration.

  2. Sous l’onglet Paramètres d’application, sélectionnez Nouveau paramètre d’application.

  3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) :

    • CROWDSTRIKE_CLIENT_ID
    • CROWDSTRIKE_CLIENT_SECRET
    • CROWDSTRIKE_BASE_URL
    • TENANT_ID
    • INDICATORS
    • WorkspaceKey
    • AAD_CLIENT_ID
    • AAD_CLIENT_SECRET
    • LOOK_BACK_DAYS
    • WORKSPACE_ID

  4. Une fois que tous les paramètres d’application sont entrés, sélectionnez Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.