適用於 Microsoft Sentinel 的 Crowdstrike Falcon Data Replicator V2 (使用 Azure Functions) 連接器
Crowdstrike Falcon Data Replicator 連接器提供將原始事件資料從 Falcon 平台事件內嵌到 Microsoft Sentinel 的功能。 連接器可讓您從 Falcon Agents 取得事件,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題等等。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
連接器屬性 | 描述 |
---|---|
Azure 函數應用程式程式碼 | https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp |
Kusto 函數別名 | CrowdstrikeReplicator |
Kusto 函數 URL | https://aka.ms/sentinel-crowdstrikereplicator-parser |
記錄分析資料表 | CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL |
資料收集規則支援 | 目前不支援 |
支援者: | Microsoft Corporation |
查詢範例
Data Replicator - 所有活動
CrowdStrikeReplicatorV2
| sort by TimeGenerated desc
必要條件
若要與 Crowdstrike Falcon 資料復寫器 V2 整合 (使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- SQS 和 AWS S3 帳戶認證/權限:需要 AWS_SECRET、AWS_REGION_NAME、AWS_KEY、QUEUE_URL。 請參閱文件以深入了解資料提取 (英文)。 若要開始,請連絡 CrowdStrike 支援。 根據您的要求,他們將建立一個 CrowdStrike 受控 Amazon Web Services (AWS) S3 貯體以供短期儲存,以及用於監視 S3 貯體變更的 SQS (簡單佇列服務) 帳戶。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 AWS SQS / S3,以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
必要條件
- 在 CrowdStrike 中設定 FDR - 您必須連絡 CrowdStrike 支援小組,才能啟用 CrowdStrike FDR。
- 一旦啟用 CrowdStrike FDR,請從 CrowdStrike 控制台流覽至 [支援] --> API 用戶端和金鑰。
- 您必須建立新的認證,才能複製 AWS 存取金鑰識別碼、AWS 祕密鑰、SQS 佇列 URL 和 AWS 區域。
- 註冊 AAD 應用程式 - 若要讓 DCR 驗證將資料內嵌至記錄分析,您必須使用 AAD 應用程式。
- 遵循這裡的指示(步驟 1-5) 取得 AAD 租用戶識別碼、AAD 用戶端識別碼,以及 AAD 用戶端祕密。
- 針對此應用程式的 AAD 主體識別碼,請透過 AAD 入口網站存取 AAD 應用程式,並從應用程式概觀頁面擷取物件物件識別碼。
部署選項
從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure Function
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法,透過ARM範本自動部署 Crowdstrike Falcon Data Replicator 連接器 V2。
按一下下方的 [部署至 Azure] 按鈕。
請提供必要的詳細資料,例如 Microsoft Sentinel 工作區、CrowdStrike AWS 認證、Azure AD 應用程式詳細資料和擷取設定注意:在同一個資源群組內,您無法在相同區域中混合 Windows 和 Linux 應用程式。 選取現有的資源群組,而不在其中選取 Windows 應用程式,或建立新的資源群組。 建議建立新的資源群組,以部署函式應用程式和相關聯的資源。
選取標示著 [我同意上方所述的條款及條件] 的核取方塊。
按一下 [購買] 以部署。
選項 2 - Azure Functions 手動部署
使用下列逐步指示,利用 Azure Functions (透過 Visual Studio Code 部署) 手動部署 Crowdstrike Falcon Data Replicator 連接器。
1.部署 DCE、DCR 和自訂資料表以進行資料擷取
- 使用資料收集資源 ARM 範本來部署必要的 DCE、DCR 和自訂資料表
- 成功部署 DCE 和 DCR 之後,請取得下列資訊並方便使用(在 Azure Functions 應用程式部署期間需要)。
2.部署函數應用程式
- 下載 Azure 函數應用程式檔案。 將封存解壓縮至本機開發電腦。
- 請遵循函數應用程式手動部署指示,使用 VSCode 部署 Azure Functions 應用程式。
- 成功部署函數應用程式之後,請遵循後續步驟進行設定。
3.設定函數應用程式
移至 Azure 入口網站以進行函數應用程式設定。
在函數應用程式中,選取 [函數應用程式名稱],然後選取 [設定]。
在 [應用程式設定] 索引標籤中,選取 [新增應用程式設定]。
個別新增下列每個應用程式設定,以及其各自的字串值 (區分大小寫):
- AWS_KEY
- AWS_SECRET
- AWS_REGION_NAME
- QUEUE_URL
- USER_SELECTION_REQUIRE_RAW //True (如果需要原始資料)
- USER_SELECTION_REQUIRE_SECONDARY //True (如果需要次要資料)
- MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 (使用量) 150 (進階)
- MAX_SCRIPT_EXEC_TIME_MINUTES // 在此新增數值 10
- AZURE_TENANT_ID
- AZURE_CLIENT_ID
- AZURE_CLIENT_SECRET
- DCE_INGESTION_ENDPOINT
- NORMALIZED_DCR_ID
- RAW_DATA_DCR_ID
- EVENT_TO_TABLE_MAPPING_LINK // 檔案存在於 Github。 如果可以使用網際網路存取檔案,請新增
- REQUIRED_FIELDS_SCHEMA_LINK // 檔案存在於 Github。 如果可以使用網際網路存取檔案,請新增
- Schedule // 新增 '0 */1 * * * *' 確保函數每分鐘都會執行。
輸入所有應用程式設定之後,請按一下 [儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。