Microsoft Sentinel için Crowdstrike Falcon Data Replicator V2 (Azure İşlevleri kullanarak) bağlayıcısı

Crowdstrike Falcon Veri Çoğaltıcısı bağlayıcısı, Falcon Platformu olaylarından Microsoft Sentinel'e ham olay verilerini alma özelliği sağlar. Bağlayıcı, olası güvenlik risklerini incelemeye, ekibinizin işbirliği kullanımını analiz etmeye, yapılandırma sorunlarını tanılamaya ve daha fazlasına yardımcı olan Falcon Aracılarından olaylar alma olanağı sağlar.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlayıcı öznitelikleri

Sorgu örnekleri

Veri Çoğaltıcısı - Tüm Etkinlikler

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

Önkoşullar

Crowdstrike Falcon Data Replicator V2 (Azure İşlevleri kullanarak) ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
• SQS ve AWS S3 hesabı kimlik bilgileri/izinleri: AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL gereklidir. Veri çekme hakkında daha fazla bilgi edinmek için belgelere bakın. Başlamak için CrowdStrike desteğine başvurun. İsteğiniz üzerine kısa vadeli depolama amacıyla CrowdStrike tarafından yönetilen Amazon Web Services (AWS) S3 demeti ve S3 demetinde yapılan değişiklikleri izlemek için bir SQS (basit kuyruk hizmeti) hesabı oluşturur.

Satıcı yükleme yönergeleri

(İsteğe Bağlı Adım) API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault'ta güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Önkoşullar

1. CrowdStrike'de FDR'yi yapılandırma - CrowdStrike FDR'yi etkinleştirmek için CrowdStrike destek ekibine başvurmanız gerekir.
   • CrowdStrike FDR etkinleştirildikten sonra CrowdStrike konsolundan Destek --> API İstemcileri ve Anahtarları'na gidin.
   • AWS Erişim Anahtarı Kimliği, AWS Gizli Erişim Anahtarı, SQS Kuyruğu URL'si ve AWS Bölgesi'ni kopyalamak için yeni kimlik bilgileri oluşturmanız gerekir.
2. AAD uygulamasını kaydetme - DCR'nin log analytics'e veri almak için kimlik doğrulaması yapması için AAD uygulamasını kullanmanız gerekir.
   • AAD Kiracı Kimliği, AAD İstemci Kimliği ve AAD İstemci Gizli Anahtarı'nı almak için buradaki yönergeleri (1-5 arası adımlar) izleyin.
   • Bu uygulamanın AAD Asıl Kimliği için AAD Portalı üzerinden AAD Uygulamasına erişin ve uygulamaya genel bakış sayfasından Nesne Kimliği'ni yakalayın.

Dağıtım Seçenekleri

Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Tempate kullanarak Crowdstrike Falcon Veri Çoğaltma bağlayıcısı V2'nin otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

   

2. Microsoft Sentinel Çalışma Alanı, CrowdStrike AWS kimlik bilgileri, Azure AD Uygulaması ayrıntıları ve alım yapılandırmaları gibi gerekli ayrıntıları sağlayın NOT: Aynı kaynak grubunda Windows ve Linux uygulamalarını aynı bölgede birleştiremezsiniz. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. İşlev uygulamasının ve ilişkili kaynakların dağıtımı için yeni bir Kaynak Grubu oluşturmanız önerilir.

3. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

4. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Crowdstrike Falcon Veri Çoğaltıcısı bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Veri alımı için DCE, DCR ve Özel Tablolar dağıtma

1. Veri Toplama Kaynak ARM şablonunu kullanarak gerekli DCE, DCR'ler ve Özel Tabloları dağıtma
2. DCE ve DCR'ler başarıyla dağıtıldıktan sonra aşağıdaki bilgileri alın ve kullanışlı tutun (Azure İşlevleri uygulama dağıtımı sırasında gereklidir).
   • DCE günlük alımı - Veri toplama uç noktası oluşturma (3. Adım) bölümünde sağlanan yönergeleri izleyin.
   • Bir veya daha fazla DCR'nin sabit kimlikleri (varsa) - DCR'den bilgi toplama (Stpe 2) başlığı altında sağlanan yönergeleri izleyin.

2. İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

3. İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure Portal'a gidin.

2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

3. Uygulama ayarları sekmesinde** Yeni uygulama ayarı**'nı seçin.

4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin:

   • AWS_KEY
   • AWS_SECRET
   • AWS_REGION_NAME
   • QUEUE_URL
   • Ham veri gerekiyorsa //True USER_SELECTION_REQUIRE_RAW
   • İkincil veriler gerekiyorsa //True USER_SELECTION_REQUIRE_SECONDARY
   • MAX_QUEUE_MESSAGES_MAIN_QUEUE // tüketim için 100 ve Premium için 150
   • MAX_SCRIPT_EXEC_TIME_MINUTES // değerini buraya ekleyin
   • AZURE_TENANT_ID
   • AZURE_CLIENT_ID
   • AZURE_CLIENT_SECRET
   • DCE_INGESTION_ENDPOINT
   • NORMALIZED_DCR_ID
   • RAW_DATA_DCR_ID
   • EVENT_TO_TABLE_MAPPING_LINK // Dosyası github'da bulunur. Dosyaya İnternet kullanılarak erişilip erişilemediğini ekleme
   • REQUIRED_FIELDS_SCHEMA_LINK //File github'da bulunur. Dosyaya İnternet kullanılarak erişilip erişilemediğini ekleme
   • İşlevin dakikada bir çalıştığından emin olmak için //Değeri '0 */1 * * * *' olarak ekleyin.

5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.