Freigeben über

CrowdStrike Falcon Adversary Intelligence-Connector (mit Azure Functions) für Microsoft Sentinel

  • Artikel

Der CrowdStrike Falcon Indicators of Compromise-Connector ruft die Indikatoren der Kompromittierung aus der Falcon Intel-API ab und lädt in Microsoft Sentinel Threat Intel hoch.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Azure-Funktions-App-Code https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp
Log Analytics-Tabellen IndicatorsOfCompromise
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Bedrohungs-Intelligence – CrowdStrike Indicators of Compromise

ThreatIntelligenceIndicator

| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in „CrowdStrike Falcon Adversary Intelligence (mit Azure Functions)“ sicher, dass Folgendes vorhanden ist:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • CrowdStrike-API-Client-ID und geheimer Clientschlüssel: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Die CrowdStrike-Anmeldeinformationen müssen über die Leseberechtigungen „Indicators“ (Falcon Intelligence) verfügen.

Installationsanweisungen des Anbieters

SCHRITT 1 : Generieren Sie CrowdStrike-API-Anmeldeinformationen.

Stellen Sie sicher, dass im Bereich „Indicators (Falcon Intelligence)“ „lesen“ ausgewählt ist

SCHRITT 2 : Registrieren Sie eine Entra-App mit dem geheimen Clientschlüssel.

Versehen Sie den Entra App-Prinzipal mit der Rollenzuweisung „Microsoft Sentinel Contributor“ für den entsprechenden Log Analytics-Arbeitsbereich. So weisen Sie Rollen in Azure zu.

SCHRITT 3: Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen.

Wichtig

Vor der Bereitstellung des CrowdStrike Falcon Indicator of Compromise-Connectors sollten Sie die Arbeitsbereichs-ID (kann aus den folgenden Kopiert werden) zur Hand haben.

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des CrowdStrike Falcon Adversary Intelligence-Connectors mithilfe einer ARM-Vorlage.

  1. Klicken Sie auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Geben Sie die folgenden Parameter an: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittanleitungen, um den CrowdStrike Falcon Adversary Intelligence-Connector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.

  1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

  2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

  3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

  4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

  5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

    a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

    b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

    c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

    d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. CrowdStrikeFalconIOCXXXXX).

    e. Wählen Sie eine Laufzeit aus: Wählen Sie Python 3.9 aus.

    f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.

  6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

  7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Konfigurieren der Funktions-App

  1. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

  2. Wählen Sie auf der Registerkarte AnwendungseinstellungenNeue Anwendungseinstellung aus.

  3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten):

    • CROWDSTRIKE_CLIENT_ID
    • CROWDSTRIKE_CLIENT_SECRET
    • CROWDSTRIKE_BASE_URL
    • TENANT_ID
    • INDICATORS
    • WorkspaceKey
    • AAD_CLIENT_ID
    • AAD_CLIENT_SECRET
    • LOOK_BACK_DAYS
    • WORKSPACE_ID

  4. Nachdem alle Anwendungseinstellungen eingegeben wurden, wählen Sie Speichern aus.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.