Condividi tramite

Connettore CrowdStrike Falcon Adversary Intelligence (usando Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore CrowdStrike Falcon Indicators of Compromise recupera gli indicatori di compromissione dall'API Intel Falcon e li carica Microsoft Sentinel Threat Intel.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Codice dell'app per le funzioni di Azure https://aka.ms/sentinel-CrowdStrikeFalconAdversaryIntelligence-Functionapp
Tabelle Log Analytics IndicatorsOfCompromise
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft Corporation

Esempi di query

Threat Intel - Crowdstrike Indicators of Compromise

ThreatIntelligenceIndicator

| where SourceSystem == 'CrowdStrike Falcon Adversary Intelligence'

| sort by TimeGenerated desc

Prerequisiti

Per integrarsi con CrowdStrike Falcon Adversary Intelligence (usando Funzioni di Azure) assicurarsi di avere:

  • autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
  • ID client dell'API CrowdStrike e segreto client: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Le credenziali crowdStrike devono avere l'ambito di lettura Indicatori (Falcon Intelligence).

Istruzioni per l’installazione di Vendor

PASSAGGIO 1: generare le credenziali dell'API CrowdStrike.

Verificare che l'ambito "Indicatori (Falcon Intelligence)" sia selezionato "Read"

PASSAGGIO 2 - Registrare un'app Entra con il segreto client.

Fornire all'entità di sicurezza dell'app Entra l'assegnazione di ruolo "Collaboratore Microsoft Sentinel" nella rispettiva area di lavoro Log Analytics. Come assegnare ruoli in Azure.

PASSAGGIO 3: scegliere UNA tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

Importante

Prima di distribuire il connettore CrowdStrike Falcon Indicator of Compromise, avere l'ID dell'area di lavoro (può essere copiato da quanto segue).

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore CrowdStrike Falcon Adversary Intelligence usando un modello di Resource Manager.

  1. Selezionare il pulsante Distribuisci in Azure seguente.

    Distribuzione in Azure

  2. Specificare i parametri seguenti: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore CrowdStrike Falcon Adversary Intelligence con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'App per le funzioni

È necessario preparare VS Code per lo sviluppo di funzioni di Azure.

  1. Scaricare il file App per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.

  2. Avviare VS Code. Scegliere File nel menu principale quindi selezionare Apri cartella.

  3. Selezionare la cartella di primo livello dai file estratti.

  4. Selezionare l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non si ha ancora effettuato l'accesso, selezionare l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi ad Azure. Se si ha già effettuato l'accesso, andare al passaggio successivo.

  5. Quando richiesto, immettere le informazioni seguenti:

    a. Seleziona cartella: scegliere una cartella dall'area di lavoro o selezionarne una che contenga l'app per le funzioni.

    b. Selezionare Sottoscrizione: scegliere la sottoscrizione da usare.

    c. Selezionare Crea nuova App per le funzioni in Azure (non scegliere l'opzione Avanzata)

    d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio CrowdStrikeFalconIOCXXXXX).

    e. Selezionare un runtime: scegliere Python 3.9.

    f. Select a location for new resources. Per prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

  6. La distribuzione avrà inizio. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

  7. Passare a portale di Azure per la configurazione dell'app per le funzioni.

2. Configurare l'App per le funzioni

  1. Nell'App per le funzioni selezionare Nome App per le funzioni seguito da Configurazione.

  2. Nella scheda Impostazioni applicazione selezionare Nuova impostazione applicazione.

  3. Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori di stringa (maiuscole/minuscole):

    • CROWDSTRIKE_CLIENT_ID
    • CROWDSTRIKE_CLIENT_SECRET
    • CROWDSTRIKE_BASE_URL
    • TENANT_ID
    • INDICATORI
    • WorkspaceKey
    • AAD_CLIENT_ID
    • AAD_CLIENT_SECRET
    • LOOK_BACK_DAYS
    • WORKSPACE_ID

  4. Dopo aver immesso tutte le impostazioni dell'applicazione, selezionare Salva.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.