次の方法で共有

Microsoft Sentinel 用の CrowdStrike Falcon Adversary Intelligence (Azure Functions を使用) コネクタ

  • [アーティクル]

CrowdStrike は、Falcon Intel API からセキュリティ侵害のインジケーターを取得し、Microsoft Sentinel の脅威インテリジェンスにアップロードします。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Azure 関数アプリのコード https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp
Log Analytics テーブル IndicatorsOfCompromise
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

脅威インテリジェンス - Crowdstrike Indicators of Compromise

ThreatIntelligenceIndicator

| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'

| sort by TimeGenerated desc

前提条件

CrowdStrike Falcon Adversary Intelligence (Azure Functions を使用) と統合するには、次のことを確認してください。

  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • CrowdStrike API クライアント ID とクライアント シークレット: CROWDSTRIKE_CLIENT_IDCROWDSTRIKE_CLIENT_SECRETCROWDSTRIKE_BASE_URL。 CrowdStrike の資格情報には、インジケーター (Falcon Intelligence) の読み取りスコープがある必要があります。

ベンダーのインストール手順

手順 1 - CrowdStrike API 資格情報を生成します

'インジケーター (Falcon Intelligence)' スコープで '読み取り' が選択されていることを確認してください

手順 2 - クライアント シークレットを使用して Entra アプリを登録します。

それぞれの Log Analytics ワークスペースで Entra App プリンシパルを 'Microsoft Sentinel 共同作成者' ロールに指定します。 Azure でロールを割り当てる方法

手順 3 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要

CrowdStrike Falcon Indicator of Compromise コネクタをデプロイする前に、ワークスペース ID を用意します (以下からコピー可)。

オプション 1 - Azure Resource Manager (ARM) テンプレート

ARM テンプレートを使用して CrowdStrike Falcon Adversary Intelligence コネクタを自動的にデプロイするには、この方法を使用します。

  1. [Azure に配置する] を選択します。

    Azure にデプロイする

  2. 次のパラメーターを指定します: CrowdStrikeClientId、CrowdStrikeClientSecret、CrowdStrikeBaseUrl、WorkspaceId、TenantId、Indicators、AadClientId、AadClientSecret、LookBackDays

オプション 2 - Azure Functions の手動デプロイ

Azure Functions を使って CrowdStrike Falcon Adversary Intelligence コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code によるデプロイ)。

1. 関数アプリをデプロイする

Azure 関数の開発には VS Code を準備する必要があります。

  1. Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。

  2. VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。

  3. 展開されたファイルから最上位のフォルダーを選択します。

  4. アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。

  5. プロンプトで、次の情報を入力します。

    a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。

    b. サブスクリプションの選択: 使用するサブスクリプションを選択します。

    c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)

    d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。 (例: CrowdStrikeFalconIOCXXXXX)。

    e. ランタイムを選択してください: Python 3.9 を選択します。

    f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。

  6. デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。

  7. 関数アプリを構成するために、Azure portal に移動します。

2. 関数アプリを構成する

  1. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。

  2. [アプリケーション設定] タブで、 [新しいアプリケーション設定] を選択します。

  3. 次の各アプリケーション設定を、それぞれの文字列値で個別に追加します (大文字と小文字を区別します)。

    • CROWDSTRIKE_CLIENT_ID
    • CROWDSTRIKE_CLIENT_SECRET
    • CROWDSTRIKE_BASE_URL
    • TENANT_ID
    • INDICATORS
    • WorkspaceKey
    • AAD_CLIENT_ID
    • AAD_CLIENT_SECRET
    • LOOK_BACK_DAYS
    • WORKSPACE_ID

  4. すべてのアプリケーション設定を入力したら、[保存] を選択します。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。