Соединитель репликатора данных Репликатора данных 2 (с помощью Функции Azure) для Microsoft Sentinel для Crowdstrike Falcon Data Replicator версии 2
Соединитель репликатора данных Crowdstrike Falcon предоставляет возможность приема необработанных данных событий из событий Falcon Platform в Microsoft Sentinel. Соединитель предоставляет возможность получать события от агентов Falcon, которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
Код приложения-функции Azure | https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp |
Псевдоним функции Kusto | CrowdstrikeReplicator |
URL-адрес функции Kusto | https://aka.ms/sentinel-crowdstrikereplicator-parser |
Таблицы Log Analytics | CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Корпорация Майкрософт |
Примеры запросов
Репликатор данных — все действия
CrowdStrikeReplicatorV2
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Crowdstrike Falcon Data Replicator версии 2 (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные и разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Дополнительные сведения о вытягивании данных см. в документации. Чтобы начать, обратитесь в службу поддержки CrowdStrike. По запросу он создаст управляемый контейнер Amazon Web Services (AWS) CrowdStrike S3 для краткосрочных целей хранения, а также учетную запись SQS (простая служба очередей) для мониторинга изменений в контейнере S3.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к AWS SQS/S3 для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Необходимые компоненты
- Настройка FDR в CrowdStrike — необходимо обратиться в службу поддержки CrowdStrike, чтобы включить FDR CrowdStrike.
- После включения FDR CrowdStrike из консоли CrowdStrike перейдите в раздел "Поддержка -> клиенты API и ключи".
- Чтобы скопировать идентификатор ключа доступа AWS, секретный ключ доступа AWS, URL-адрес очереди SQS и регион AWS, необходимо создать новые учетные данные.
- Регистрация приложения AAD. Для проверки подлинности DCR для приема данных в log analytics необходимо использовать приложение AAD.
- Следуйте инструкциям здесь (шаги 1–5), чтобы получить идентификатор клиента AAD, идентификатор клиента AAD и секрет клиента AAD.
- Для идентификатора субъекта AAD этого приложения перейдите к приложению AAD через портал AAD и захватить идентификатор объекта на странице обзора приложения.
Варианты развертывания
Выберите ОДИН из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя репликатора данных Репликатора Данных Crowdstrike V2 с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Укажите необходимые сведения, такие как рабочая область Microsoft Sentinel, учетные данные AWS CrowdStrike, сведения о приложении Azure AD и конфигурации приема. В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. Рекомендуется создать группу ресурсов для развертывания приложения-функции и связанных ресурсов.
Пометьте флажок, помеченный как я согласен с условиями, указанными выше.
Нажмите кнопку " Купить" , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Выполните следующие пошаговые инструкции по развертыванию соединителя репликатора данных Crowdstrike Falcon вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).
1. Развертывание DCE, DCR и пользовательских таблиц для приема данных
- Развертывание необходимых DCE, DCR(s) и пользовательских таблиц с помощью шаблона ARM ресурса сбора данных
- После успешного развертывания DCE и DCR(s) получите приведенные ниже сведения и сохраните его удобно (требуется во время развертывания приложения Функции Azure).
- Прием журналов DCE. Следуйте инструкциям, доступным в статье "Создание конечной точки сбора данных" (шаг 3).
- Неизменяемые идентификаторы одного или нескольких контроллеров домена (как применимо) — следуйте инструкциям, доступным в статье "Сбор сведений из DCR " (шаг 2).
2. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
3. Настройка приложения-функции
Перейдите на портал Azure для конфигурации приложения-функции.
В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
На вкладке "Параметры приложения" выберите ** Новый параметр приложения**.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра):
- AWS_KEY
- AWS_SECRET
- AWS_REGION_NAME
- QUEUE_URL
- USER_SELECTION_REQUIRE_RAW //True, если необработанные данные необходимы
- USER_SELECTION_REQUIRE_SECONDARY //True, если требуются вторичные данные
- MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 для потребления и 150 для Premium
- MAX_SCRIPT_EXEC_TIME_MINUTES // добавьте значение 10 здесь
- AZURE_TENANT_ID
- AZURE_CLIENT_ID
- AZURE_CLIENT_SECRET
- DCE_INGESTION_ENDPOINT
- NORMALIZED_DCR_ID
- RAW_DATA_DCR_ID
- EVENT_TO_TABLE_MAPPING_LINK // Файл присутствует на github. Добавить, можно ли получить доступ к файлу с помощью Интернета
- REQUIRED_FIELDS_SCHEMA_LINK //File присутствует на github. Добавить, можно ли получить доступ к файлу с помощью Интернета
- Запланируйте //Добавить значение как "0 */1 * * * *", чтобы убедиться, что функция выполняется каждую минуту.
После ввода всех параметров приложения нажмите кнопку "Сохранить".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.