Partager via


Connecteur CrowdStrike Falcon Data Replicator V2 (avec Azure Functions) pour Microsoft Sentinel

Le connecteur Crowdstrike Falcon Data Replicator offre la possibilité d’ingérer des données d’événements brutes à partir des événements de la plateforme Falcon dans Microsoft Sentinel. Le connecteur permet d’obtenir les événements de Falcon Agents pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Code d’application de fonction Azure https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Alias de fonction Kusto CrowdstrikeReplicator
URL de fonction Kusto https://aka.ms/sentinel-crowdstrikereplicator-parser
Table(s) Log Analytics CrowdStrike_Additional_Events_CL
ASimNetworkSessionLogs
ASimDnsActivityLogs
ASimAuditEventLogs
ASimFileEventLogs
ASimAuthenticationEventLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
CrowdStrike_Secondary_Data_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Microsoft Corporation

Exemples de requête

Réplicateur de données - Toutes les activités

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

Prérequis

Pour intégrer CrowdStrike Falcon Data Replicator V2 (avec Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
  • Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL sont requis. Consultez la documentation pour en savoir plus sur l’extraction de données. Pour commencer, contactez le support CrowdStrike. À votre demande, ils créent un compartiment Amazon Web Services (AWS) S3 géré par CrowdStrike à des fins de stockage à court terme, ainsi qu’un compte SQS (service de file d’attente simple) pour surveiller les modifications apportées au compartiment S3.

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Functions pour se connecter à AWS SQ / S3 et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

Prérequis

  1. Configurez FDR dans CrowdStrike. Vous devez contacter l’équipe du support technique CrowdStrike pour activer CrowdStrike FDR.
    • Une fois CrowdStrike FDR activé, à partir de la console CrowdStrike, accédez à Support --> API Clients and Keys (Clients et clés d’API).
    • Vous devez créer des informations d’identification pour copier l’ID de clé d’accès AWS, la clé d’accès au secret AWS, l’URL de file d’attente SQS et la région AWS.
  2. Inscrire l’application AAD : pour qu’une règle de collecte de données puisse s’authentifier afin d’ingérer des données dans Log Analytics, vous devez utiliser l’application AAD.
    • Suivez les instructions fournies ici (étapes 1 à 5) pour obtenir l’ID de locataire AAD, l’ID de client AAD et la clé secrète client AAD.
    • Pour l’ID du principal AAD de cette application, accédez à l’application AAD via le portail AAD et capturez l’ID d’objet à partir de la page de vue d’ensemble de l’application.

Options de déploiement

Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

Option 1 – Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur CrowdStrike Falcon Data Replicator V2 à l’aide d’un modèle ARM.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure Déployer sur Azure Gov

  2. Fournissez les détails requis tels que l’espace de travail Microsoft Sentinel, les informations d’identification CrowdStrike AWS, les détails de l’application Azure AD et les configurations d’ingestion. REMARQUE : au sein d’un même groupe de ressources, vous ne pouvez pas combiner des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. Il est recommandé de créer un groupe de ressources pour le déploiement de l’application de fonction et des ressources associées.

  3. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

  4. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de fonctions Azure

Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données Crowdstrike Falcon Data Replicator avec with Azure Functions (Déploiement via Visual Studio Code).

1. Déployer le DCE, les DCR et les tables personnalisées pour l’ingestion de données

  1. Déployez le DCR requis, les DCE et les tables personnalisées à l’aide du modèle ARM de la ressource de collecte de données.
  2. Une fois le déploiement de DCE et des DCR réussi, procurez-vous les informations ci-dessous et conservez-les à portée de main (elles sont requises pendant le déploiement de l’application Azure Functions).

2. Déployer une application de fonction

  1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.
  2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
  3. Après avoir déployé l’application de fonction, suivez les étapes suivantes pour la configurer.

3. Configurer l’application de fonction

  1. Accédez au Portail Azure pour la configuration de l’application de fonction.

  2. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.

  3. Sous l’onglet Paramètres d’application, sélectionnez ** Nouveau paramètre d’application**.

  4. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) :

    • AWS_KEY
    • AWS_SECRET
    • AWS_REGION_NAME
    • QUEUE_URL
    • USER_SELECTION_REQUIRE_RAW //True if raw data is required
    • USER_SELECTION_REQUIRE_SECONDARY //True if secondary data is required
    • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 for consumption and 150 for Premium
    • MAX_SCRIPT_EXEC_TIME_MINUTES // add the value of 10 here
    • AZURE_TENANT_ID
    • AZURE_CLIENT_ID
    • AZURE_CLIENT_SECRET
    • DCE_INGESTION_ENDPOINT
    • NORMALIZED_DCR_ID
    • RAW_DATA_DCR_ID
    • EVENT_TO_TABLE_MAPPING_LINK // File is present on github. Add if the file can be accessed using internet
    • REQUIRED_FIELDS_SCHEMA_LINK //File is present on github. Add if the file can be accessed using internet
    • Schedule //Add value as '0 */1 * * * *' to ensure the function runs every minute.
  5. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.