CrowdStrike猎鹰数据复制器

您可以将CrowdStrike Falcon Data Replicator (FDR)与InsightIDR连接起来,基于您的流程启动数据进行分析、警报和调查。Crowdstrike FDR数据流进入日志搜索中的Endpoint Activity >进程启动事件。

最终功能:增强端点遥测

增强端点遥测(EET)是Ultimate包的一个特性,以前是作为一个附加模块提供的。使用EET,您可以完全访问由CrowdStrike FDR捕获的流程启动数据档案。虽然InsightIDR不需要EET就您的数据生成警报,但需要在Log Search中查看触发警报的进程启动数据。

检查你的资格

检查以下要求,以确定您是否有资格使用此集成:

  • 您的组织在美国的一个地区。
  • 您不是Rapid7管理服务客户
  • 您的环境中没有部署任何Insight A必威体育app登录gents

如何配置CrowdStrike FDR集成

InsightIDR和CrowdStrike FDR之间的集成需要两个产品之间的沟通。在尝试在InsightIDR中配置此集成之前,请确保您已经启用了API访问并获得了必要的密钥。

第一步:获得Crowdstrike证书

联系Crowdstrike Support做以下事情:

  1. 在您的帐户上启用API访问。
  2. 获取所需密钥。在后面的步骤中,您需要将这些密钥输入到InsightIDR中。
    • 唯一的用户标识符
    • 客户机ID
    • 客户的秘密
    • 云API端点
    • 访问密钥
    • 秘密密钥
    • SQS地区
    • SQS URL

步骤2:在InsightIDR中设置CrowdStrike Falcon Data Replicator

  1. 1 .登录InsightIDR。
  2. 从左边的菜单中选择设置>第三方代理
  3. 开关的切换.Connect to CrowdStrike Falcon Data Replicator面板将会出现。
  4. 在CrowdStrike API凭据部分输入从CrowdStrike支持获得的凭据:
    1. 输入唯一客户标识符。这可以让InsightIDR与你的Crowdstrike账户建立连接。
    2. 在客户端ID中,输入API客户端ID。
    3. 输入客户端秘密。
    4. 在云端点中,输入您的API网关URL。
  5. 在Falcon Data Replicator凭据部分,输入从CrowdStrike支持获得的凭据:
    1. 在access key字段中输入访问密钥。该密钥授予InsightIDR访问Falcon数据复制器的权限。
    2. 输入Secret密钥。
    3. 输入SQS区域。这表示帐户的区域。
    4. 输入SQS URL。
  6. 当准备好时,选择我已经核实了我的证件复选框。
  7. 点击提交的凭证.InsightIDR现在将尝试与CrowdStrike猎鹰数据复制器建立联系。建立这种连接可能需要1个小时。

提交的凭证

一旦提交,您将无法在InsightIDR中查看您的凭证。但是不要担心,信息已经发送给处理,连接将被启动。

停止处理CrowdStrike FDR数据

一旦安装完成,InsightIDR和CrowdStrike之间的连接就可以停止数据处理了。

  1. 从InsightIDR左边菜单中选择设置>第三方代理
  2. 开关的切换.断开数据处理面板将出现。
  3. 点击断开连接

停止收集CrowdStrike FDR数据

如果你不想再向Rapid7发送CrowdStrike FDR数据,请联系Rapid7支持取消集成并停止数据收集。

如何更新您的证书

InsightIDR需要1个小时才能与Crowdstrike Falcon Data Replicator建立连接。在此期间,您可以使用第三方代理页面上的“更新凭据”按钮更新凭据。一旦建立了连接,这个按钮将不再可用,您将需要联系Rapid7支持更新您的凭证。

在安装过程中更新不正确的凭证

您只能在InsightIDR建立连接时更新凭据。如果已经建立了连接,您需要更新您的凭证,请联系Rapid7支持。

  1. 在“第三方代理”页面,单击更新证书
  2. 更新您的凭据。欲了解更多信息,请参见[获取Crowdstrike证书]。
  3. 在验证您正确地输入凭据之后,选择“我已经验证了凭据”。
  4. 点击提交的凭证.InsightIDR现在将尝试与CrowdStrike猎鹰数据复制器建立联系。

更新过时的凭证

要在安装完成后更新凭据,您必须联系Rapid7支持

验证数据流

一旦InsightIDR建立了连接,切换将被设置为.现在,如果你可以使用Enhanced Endpoint Telemetry功能,你可以在Log Search中查看你的CrowdStrike FDR流程数据。

日志搜索获取原始的、收集的数据的每个日志,并自动为您将它们分类为日志集。Crowdstrike FDR流程启动数据下端点的活动>流程启动事件.您也可以从第三方代理页面导航到日志搜索页面,并输入您自己的查询。

切换状态及其含义

切换状态 描述
数据正从CrowdStrike FDR流向InsightIDR
在第一次设置之前:CrowdStrike FDR和InsightIDR之间没有联系

安装后:如果在连接建立后切换开关被关闭,这意味着InsightIDR没有处理CrowdStrike FDR数据。
系统处理 而InsightIDR试图建立与CrowdStrike FDR的联系。