众击猎鹰
Crowdstrike Falcon是一个基于云的平台,可为整个组织提供端点保护。如果您当前使用Crowdstrike Falcon,您可以配置Falcon SIEM连接器,将事件发送到InsightIDR,在那里您可以围绕该数据生成调查。
当Crowdstrike Falcon被设置为InsightIDR的事件源时,它仅通过查找检测汇总事件
在日志行中。它将忽略以下事件:机器学习
或隔离的\u文件\u更新
.
要设置Crowdstrike Falcon,您需要:
在你开始之前
- 安装并配置Falcon连接器RPM。请参阅此处的说明:https://www.crowdstrike.com/blog/tech-center/integrate-with-your-siem/
- 请联系Crowdstrike支持部门support@crowdstrike.com在您的帐户上启用API访问。您必须具有管理权限
配置Falcon SIEM连接器
HP ArcSight公共事件格式(CEF)通过定义日志记录的语法,方便了设备之间的通信。要向InsightIDR发送事件,必须修改默认CEF文件中的某些设置。
- 打开位于中的默认CEF配置文件
/选择/众罢工/等/
. - 改名
/opt/crowdstrike/etc/cs.falconehoseclient.cef.cfg
到/opt/crowdstrike/etc/cs.falconhoseclient.cfg
. - 对配置文件进行以下更改:
1.输出格式=系统日志2.输出到文件=真/假3.输出路径=
- 如果计划使用代理连接到Falcon Firehose端点,则需要更新http_代理=
:// : 在您的配置文件中。否则,请更新日志部分。 - 如果计划将数据发送到Syslog服务器,请将Syslog部分更新为:
1.发送到系统日志服务器=true2.主机= 3.端口= 4.协议=udp/tcp
- 启动服务:
#服务cs.Falconhose定向启动
.
在InsightIDR中设置此事件源
- 从左侧菜单,转到数据收集.
- 当“数据收集”页面出现时,单击设置事件源下拉选择添加事件源.
- 从“第三方警报”部分,单击群众罢工偶像此时会出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 如果要发送警报以外的其他事件,请选择未过滤原木复选框。在收集器上指定可以接收转发的Crowdstrike事件的未使用端口。我们建议您使用TCP作为协议。
- 点击拯救.
验证配置
通过运行启动SIEM连接器服务
/etc/init.d/cs.falconhoseclientd启动
或服务cs.Falconhose定向启动
.要验证设置是否正确以及连接是否已建立,您可以运行:
tail-f/opt/crowdstrike/log/cs.falconhoseclient.log
.
这页对你有帮助吗?