共用方式為


適用於 Microsoft Sentinel 的 Crowdstrike Falcon Data Replicator V2 (使用 Azure Functions) 連接器

Crowdstrike Falcon Data Replicator 連接器提供將原始事件資料從 Falcon 平台事件內嵌到 Microsoft Sentinel 的功能。 連接器可讓您從 Falcon Agents 取得事件,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題等等。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
Azure 函數應用程式程式碼 https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Kusto 函數別名 CrowdstrikeReplicator
Kusto 函數 URL https://aka.ms/sentinel-crowdstrikereplicator-parser
記錄分析資料表 CrowdStrike_Additional_Events_CL
ASimNetworkSessionLogs
ASimDnsActivityLogs
ASimAuditEventLogs
ASimFileEventLogs
ASimAuthenticationEventLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
CrowdStrike_Secondary_Data_CL
資料收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

Data Replicator - 所有活動

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

必要條件

若要與 Crowdstrike Falcon 資料復寫器 V2 整合 (使用 Azure Functions),請確定您有:

  • Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions
  • SQS 和 AWS S3 帳戶認證/權限:需要 AWS_SECRETAWS_REGION_NAMEAWS_KEYQUEUE_URL請參閱文件以深入了解資料提取 (英文)。 若要開始,請連絡 CrowdStrike 支援。 根據您的要求,他們將建立一個 CrowdStrike 受控 Amazon Web Services (AWS) S3 貯體以供短期儲存,以及用於監視 S3 貯體變更的 SQS (簡單佇列服務) 帳戶。

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 AWS SQS / S3,以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面

(選擇性步驟) 將 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。

必要條件

  1. 在 CrowdStrike 中設定 FDR - 您必須連絡 CrowdStrike 支援小組,才能啟用 CrowdStrike FDR。
    • 一旦啟用 CrowdStrike FDR,請從 CrowdStrike 控制台流覽至 [支援] --> API 用戶端和金鑰。
    • 您必須建立新的認證,才能複製 AWS 存取金鑰識別碼、AWS 祕密鑰、SQS 佇列 URL 和 AWS 區域。
  2. 註冊 AAD 應用程式 - 若要讓 DCR 驗證將資料內嵌至記錄分析,您必須使用 AAD 應用程式。

部署選項

從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure Function

選項 1 - Azure Resource Manager (ARM) 範本

使用此方法,透過ARM範本自動部署 Crowdstrike Falcon Data Replicator 連接器 V2。

  1. 按一下下方的 [部署至 Azure] 按鈕。

    部署至 Azure 部署至 Azure Gov

  2. 請提供必要的詳細資料,例如 Microsoft Sentinel 工作區、CrowdStrike AWS 認證、Azure AD 應用程式詳細資料和擷取設定注意:在同一個資源群組內,您無法在相同區域中混合 Windows 和 Linux 應用程式。 選取現有的資源群組,而不在其中選取 Windows 應用程式,或建立新的資源群組。 建議建立新的資源群組,以部署函式應用程式和相關聯的資源。

  3. 選取標示著 [我同意上方所述的條款及條件] 的核取方塊。

  4. 按一下 [購買] 以部署。

選項 2 - Azure Functions 手動部署

使用下列逐步指示,利用 Azure Functions (透過 Visual Studio Code 部署) 手動部署 Crowdstrike Falcon Data Replicator 連接器。

1.部署 DCE、DCR 和自訂資料表以進行資料擷取

  1. 使用資料收集資源 ARM 範本來部署必要的 DCE、DCR 和自訂資料表
  2. 成功部署 DCE 和 DCR 之後,請取得下列資訊並方便使用(在 Azure Functions 應用程式部署期間需要)。
    • DCE 記錄擷取 - 請遵循建立資料收集端點 (步驟 3) 所提供的指示。
    • 一或多個 DCR 的固定識別碼 (適用) - 請遵循從 DCR 收集資訊時所提供的指示(步驟 2)。

2.部署函數應用程式

  1. 下載 Azure 函數應用程式檔案。 將封存解壓縮至本機開發電腦。
  2. 請遵循函數應用程式手動部署指示,使用 VSCode 部署 Azure Functions 應用程式。
  3. 成功部署函數應用程式之後,請遵循後續步驟進行設定。

3.設定函數應用程式

  1. 移至 Azure 入口網站以進行函數應用程式設定。

  2. 在函數應用程式中,選取 [函數應用程式名稱],然後選取 [設定]

  3. 在 [應用程式設定] 索引標籤中,選取 [新增應用程式設定]。

  4. 個別新增下列每個應用程式設定,以及其各自的字串值 (區分大小寫):

    • AWS_KEY
    • AWS_SECRET
    • AWS_REGION_NAME
    • QUEUE_URL
    • USER_SELECTION_REQUIRE_RAW //True (如果需要原始資料)
    • USER_SELECTION_REQUIRE_SECONDARY //True (如果需要次要資料)
    • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 (使用量) 150 (進階)
    • MAX_SCRIPT_EXEC_TIME_MINUTES // 在此新增數值 10
    • AZURE_TENANT_ID
    • AZURE_CLIENT_ID
    • AZURE_CLIENT_SECRET
    • DCE_INGESTION_ENDPOINT
    • NORMALIZED_DCR_ID
    • RAW_DATA_DCR_ID
    • EVENT_TO_TABLE_MAPPING_LINK // 檔案存在於 Github。 如果可以使用網際網路存取檔案,請新增
    • REQUIRED_FIELDS_SCHEMA_LINK // 檔案存在於 Github。 如果可以使用網際網路存取檔案,請新增
    • Schedule // 新增 '0 */1 * * * *' 確保函數每分鐘都會執行。
  5. 輸入所有應用程式設定之後,請按一下 [儲存]

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。