[非推奨] Microsoft Sentinel 用レガシ エージェント コネクタを使用した CrowdStrike Falcon Endpoint Protection

  • [アーティクル]

CrowdStrike Falcon Endpoint Protection コネクタを使用すると、CrowdStrike Falcon イベント ストリームを Microsoft Sentinel と簡単に接続して、カスタム ダッシュボード、アラートを作成し、調査を改善できます。 これにより、組織のエンドポイントに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル CommonSecurityLog (CrowdStrikeFalconEventStream)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

検出された上位 10 個のホスト

CrowdStrikeFalconEventStream 

| where EventType == "DetectionSummaryEvent" 

| summarize count() by DstHostName 

| top 10 by count_

検出された上位 10 人のユーザー

CrowdStrikeFalconEventStream 

| where EventType == "DetectionSummaryEvent" 

| summarize count() by DstUserName 

| top 10 by count_

ベンダーのインストール手順

注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数 をクリックし、エイリアス Crowd Strike Falcon Endpoint Protection を検索して関数コードを読み込みます。または、ここをクリックします。クエリの 2 行目で、CrowdStrikeFalcon デバイスのホスト名とログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

1.0 Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して、Microsoft Sentinel に転送するように構成します。

すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください

1.1 Linux コンピューターを選択または作成する

Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。

1.2 Linux コンピューターに CEF コレクターをインストールする

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。

  2. マシンに対する管理者特権のアクセス許可 (sudo) が必要です。

    次のコマンドを実行し、CEF コレクターをインストールして適用します。

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  3. CrowdStrike Falcon イベント ストリーム ログを Syslog エージェントに転送する

CrowdStrike Falcon SIEM Collector をデプロイして、Syslog エージェントを介して CEF 形式の Syslog メッセージを Microsoft Sentinel ワークスペースに転送します。

  1. これらの手順に従って、SIEM Collector をデプロイし、syslog を転送します

  2. Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。

  3. 接続の検証

手順に従って接続を検証します。

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。

ログが受信されない場合は、次の接続検証スクリプトを実行します。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。

  2. コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です

    次のコマンドを実行して、接続を検証します。

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  3. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。