Compartilhar via

Conector CrowdStrike Falcon Adversary Intelligence (usando o Azure Functions) para Microsoft Sentinel

  • Artigo

O conector CrowdStrike Falcon Indicators of Compromise recupera os Indicadores de Comprometimento da API Falcon Intel e os carrega Microsoft Sentinel Threat Intel.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Código do aplicativo de funções do Azure https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp
Tabela(s) do Log Analytics IndicatorsOfCompromise
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Microsoft Corporation

Exemplos de consulta

Threat Intel - Crowdstrike Indicators of Compromise

ThreatIntelligenceIndicator

| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com CrowdStrike Falcon Adversary Intelligence (usando o Azure Functions), verifique se você tem:

  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • ID do Cliente e Segredo do Cliente da API CrowdStrike: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. As credenciais da CrowdStrike devem ter escopo de leitura de Indicadores (Falcon Intelligence).

Instruções de instalação do fornecedor

ETAPA 1 - Gerar credenciais da API CrowdStrike.

Verifique se o escopo 'Indicadores (Falcon Intelligence)' tem 'leitura' selecionada

ETAPA 2 - Registrar um aplicativo do Entra com segredo do cliente.

Conceda ao principal do aplicativo do Entra a atribuição de função 'Colaborador do Microsoft Sentinel' no respectivo workspace do Log Analytics. Como atribuir funções no Azure.

ETAPA 3 – Escolha UMA das duas opções de implantação a seguir para implantar o conector e o Azure Function associado

Importante

Antes de implantar o conector CrowdStrike Falcon Indicator of Compromise, tenha a ID do workspace (pode ser copiado a partir do seguinte).

Opção 1 – Modelo do Azure Resource Manager (ARM)

Use esse método para implantação automatizada do conector CrowdStrike Falcon Adversary Intelligence usando um modelo do ARM.

  1. Selecione o botão Implantar no Azure a seguir.

    Implantar no Azure

  2. Forneça os seguintes parâmetros: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Opção 2 – Implantação Manual do Azure Functions

Use as seguintes instruções passo a passo para implantar o conector CrowdStrike Falcon Adversary Intelligence manualmente com o Azure Functions (Implantação via Visual Studio Code).

1. Implantar um Aplicativo de Funções

Você precisa preparar o VS Code para o desenvolvimento de funções do Azure.

  1. Baixe o arquivo do Aplicativo Azure Functions. Extraia o arquivo para seu computador de desenvolvimento local.

  2. Iniciar o VS Code. Escolha Arquivo no menu principal e selecione Abrir Pasta.

  3. Selecione a pasta de nível superior dos arquivos extraídos.

  4. Escolha o ícone do Azure na barra de atividades e, na área Azure: Funções, escolha o botão Implantar no aplicativo de funções. Se você ainda não estiver conectado, escolha o ícone do Azure na barra de atividades e, em seguida, na área Azure: Funções, escolha Entrar no Azure Se você já estiver conectado, vá para a próxima etapa.

  5. Forneça as seguintes informações nos prompts:

    a. Selecione a pasta: escolha uma pasta do seu espaço de trabalho ou navegue até uma que contenha seu aplicativo de funções.

    b. Selecionar Assinatura: escolha a assinatura a ser usada.

    c. Selecione Criar aplicativo de Funções no Azure (não escolha a opção Avançado)

    d. Insira um nome globalmente exclusivo para o aplicativo de funções: digite um nome que seja válido em um caminho de URL. O nome que você digitar é validado para ter certeza de que ele é exclusivo no Azure Functions. (por exemplo, CrowdStrikeFalconIOCXXXXX).

    e. Selecione um tempo de execução: Escolha Python 3.9.

    f. Selecione uma localização para novos recursos. Para um melhor desempenho e custos mais baixos, escolha a mesma região onde o Microsoft Sentinel está localizado.

  6. A implantação será iniciada. Uma notificação é exibida depois que seu aplicativo de funções é criado e o pacote de implantação é aplicado.

  7. Acesse o portal do Microsoft Azure para a configuração do Aplicativo de Funções.

2. Configurar o Aplicativo de Funções

  1. No Aplicativo de Funções, selecione o Nome do Aplicativo de Funções e selecione Configuração.

  2. Na aba Configurações do aplicativo, selecione Novas configurações do aplicativo.

  3. Adicione cada uma das seguintes configurações de aplicativo individualmente, com os respectivos valores de cadeia de caracteres (diferencia maiúsculas de minúsculas):

    • CROWDSTRIKE_CLIENT_ID
    • CROWDSTRIKE_CLIENT_SECRET
    • CROWDSTRIKE_BASE_URL
    • TENANT_ID
    • INDICATORS
    • WorkspaceKey
    • AAD_CLIENT_ID
    • AAD_CLIENT_SECRET
    • LOOK_BACK_DAYS
    • WORKSPACE_ID

  4. Depois que todas as configurações do aplicativo forem inseridas, selecione Salvar.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.