[Не рекомендуется] CrowdStrike Falcon Endpoint Protection с помощью соединителя устаревшего агента для Microsoft Sentinel

Внимание

Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.

Соединитель CrowdStrike Falcon Endpoint Protection позволяет легко подключать поток событий CrowdStrike Falcon к Microsoft Sentinel, создавать пользовательские панели мониторинга, оповещения и улучшить исследование. Это дает вам больше сведений о конечных точках вашей организации и улучшает возможности операций безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics CommonSecurityLog (CrowdStrikeFalconEventStream)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Корпорация Майкрософт

Примеры запросов

Первые 10 узлов с обнаружениями

CrowdStrikeFalconEventStream 

| where EventType == "DetectionSummaryEvent" 

| summarize count() by DstHostName 

| top 10 by count_

Лучшие 10 пользователей с обнаружениями

CrowdStrikeFalconEventStream 

| where EventType == "DetectionSummaryEvent" 

| summarize count() by DstUserName 

| top 10 by count_

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Crowd Strike Falcon Endpoint Protection и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов устройств CrowdStrikeFalcon и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

1.0 Конфигурация агента системного журнала Linux

Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.

Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов

1.1 Выбор или создание компьютера с Linux

Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel, который может находиться в локальной среде, Azure или других облаках.

1.2 Установка сборщика CEF на компьютере с Linux

Установите microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514.

  1. Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.

  2. Вы должны обладать повышенными правами (sudo) на компьютере.

    Выполните следующую команду, чтобы установить и применить сборщик CEF:

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  3. Переадресация журналов Потоков событий CrowdStrike Falcon в агент системного журнала

Разверните сборщик CrowdStrike Falcon SIEM для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel через агент Syslog.

  1. Следуйте этим инструкциям , чтобы развернуть сборщик SIEM и перенаправить системный журнал

  2. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

  3. Проверка подключения

Следуйте инструкциям, чтобы проверить подключение:

Откройте Log Analytics, чтобы проверить, получены ли журналы с помощью схемы CommonSecurityLog.

Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.

Если журналы не получены, выполните следующий сценарий проверки подключения:

  1. Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.

  2. На компьютере должны быть повышенные разрешения (sudo)

    Выполните следующую команду, чтобы проверить подключение:

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  3. Защита компьютера

Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.

Подробнее

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.