Łącznik CrowdStrike Falcon Adversary Intelligence (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik CrowdStrike Falcon Indicators of Compromise pobiera wskaźniki kompromisu z interfejsu API Falcon Intel i przekazuje je do firmy Microsoft Sentinel Threat Intel Intel.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Kod aplikacji funkcji platformy Azure | https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp |
Tabele usługi Log Analytics | WskaźnikiOfCompromise |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Threat Intel — wskaźniki tłumienia kompromisu
ThreatIntelligenceIndicator
| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować z aplikacją CrowdStrike Falcon Adversary Intelligence (przy użyciu usługi Azure Functions), upewnij się, że masz:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Identyfikator klienta interfejsu API CrowdStrike i klucz tajny klienta: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Poświadczenia CrowdStrike muszą mieć zakres odczytu wskaźników (Falcon Intelligence).
Instrukcje instalacji dostawcy
KROK 1. Generowanie poświadczeń interfejsu API CrowdStrike.
Upewnij się, że wybrano zakres "Wskaźniki (Falcon Intelligence)"
KROK 2. Rejestrowanie aplikacji Entra przy użyciu wpisu tajnego klienta.
Podaj nazwę główną aplikacji Entra z przypisaniem roli "Współautor usługi Microsoft Sentinel" w odpowiednim obszarze roboczym usługi Log Analytics. Jak przypisywać role na platformie Azure.
KROK 3. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
Ważne
Przed wdrożeniem łącznika CrowdStrike Falcon w łączniku kompromisu wprowadź identyfikator obszaru roboczego (można go skopiować z następujących elementów).
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do zautomatyzowanego wdrażania łącznika CrowdStrike Falcon Adversary Intelligence przy użyciu szablonu usługi ARM.
Wybierz następujący przycisk Wdróż na platformie Azure .
Podaj następujące parametry: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays
Opcja 2 — ręczne wdrażanie usługi Azure Functions
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik CrowdStrike Falcon Adversary Intelligence za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).
1. Wdrażanie aplikacji funkcji
Musisz przygotować program VS Code do tworzenia funkcji platformy Azure.
Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.
Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.
Wybierz folder najwyższego poziomu z wyodrębnionych plików.
Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.
Podaj następujące informacje po wyświetleniu monitów:
a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.
b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.
c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)
d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. CrowdStrikeFalconIOCXXXXX).
e. Wybierz środowisko uruchomieniowe: wybierz język Python 3.9.
f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.
Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.
Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.
2. Konfigurowanie aplikacji funkcji
W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter):
- CROWDSTRIKE_CLIENT_ID
- CROWDSTRIKE_CLIENT_SECRET
- CROWDSTRIKE_BASE_URL
- TENANT_ID
- WSKAŹNIKI
- Klucz obszaru roboczego
- AAD_CLIENT_ID
- AAD_CLIENT_SECRET
- LOOK_BACK_DAYS
- WORKSPACE_ID
Po wprowadzeniu wszystkich ustawień aplikacji wybierz pozycję Zapisz.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.