众击猎鹰

Crowdstrike Falcon是一个基于云的平台，可为整个组织提供端点保护。如果您当前使用Crowdstrike Falcon，您可以配置Falcon SIEM连接器，将事件发送到InsightIDR，在那里您可以围绕该数据生成调查。

当Crowdstrike Falcon被设置为InsightIDR的事件源时，它仅通过查找检测汇总事件在日志行中。它将忽略以下事件：机器学习或隔离的\u文件\u更新.

要设置Crowdstrike Falcon，您需要：

1. 配置Falcon SIEM连接器并启动服务.
2. 在InsightIDR中设置Crowdstrike Falcon事件源.
3. 验证配置是否有效.

在你开始之前

• 安装并配置Falcon连接器RPM。请参阅此处的说明：https://www.crowdstrike.com/blog/tech-center/integrate-with-your-siem/
• 请联系Crowdstrike支持部门support@crowdstrike.com在您的帐户上启用API访问。您必须具有管理权限

配置Falcon SIEM连接器

HP ArcSight公共事件格式（CEF）通过定义日志记录的语法，方便了设备之间的通信。要向InsightIDR发送事件，必须修改默认CEF文件中的某些设置。

1. 打开位于中的默认CEF配置文件/选择/众罢工/等/.
2. 改名/opt/crowdstrike/etc/cs.falconehoseclient.cef.cfg到/opt/crowdstrike/etc/cs.falconhoseclient.cfg.
3. 对配置文件进行以下更改：

         

          

           
          
         

          

           

            1.
           输出格式=系统日志
          
          

           

            2.
           输出到文件=真/假
          
          

           

            3.
           输出路径=
          

4. 如果计划使用代理连接到Falcon Firehose端点，则需要更新http_代理= :// : 在您的配置文件中。否则，请更新日志部分。
5. 如果计划将数据发送到Syslog服务器，请将Syslog部分更新为：

         

          

           
          
         

          

           

            1.
           发送到系统日志服务器=true
          
          

           

            2.
           主机=
          
          

           

            3.
           端口=
          
          

           

            4.
           协议=udp/tcp
          

6. 启动服务：#服务cs.Falconhose定向启动.

在InsightIDR中设置此事件源

1. 从左侧菜单，转到数据收集.
2. 当“数据收集”页面出现时，单击设置事件源下拉选择添加事件源.
3. 从“第三方警报”部分，单击群众罢工偶像此时会出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 如果要发送警报以外的其他事件，请选择未过滤原木复选框。在收集器上指定可以接收转发的Crowdstrike事件的未使用端口。我们建议您使用TCP作为协议。
6. 点击拯救.

验证配置

1. 通过运行启动SIEM连接器服务/etc/init.d/cs.falconhoseclientd启动或服务cs.Falconhose定向启动.

2. 要验证设置是否正确以及连接是否已建立，您可以运行：tail-f/opt/crowdstrike/log/cs.falconhoseclient.log.