众击猎鹰

Crowdstrike Falcon是一个基于云的平台,可为整个组织提供端点保护。如果您当前使用Crowdstrike Falcon,您可以配置Falcon SIEM连接器,将事件发送到InsightIDR,在那里您可以围绕该数据生成调查。

当Crowdstrike Falcon被设置为InsightIDR的事件源时,它仅通过查找检测汇总事件在日志行中。它将忽略以下事件:机器学习隔离的\u文件\u更新.

要设置Crowdstrike Falcon,您需要:

  1. 配置Falcon SIEM连接器并启动服务.
  2. 在InsightIDR中设置Crowdstrike Falcon事件源.
  3. 验证配置是否有效.

在你开始之前

配置Falcon SIEM连接器

HP ArcSight公共事件格式(CEF)通过定义日志记录的语法,方便了设备之间的通信。要向InsightIDR发送事件,必须修改默认CEF文件中的某些设置。

  1. 打开位于中的默认CEF配置文件/选择/众罢工/等/.
  2. 改名/opt/crowdstrike/etc/cs.falconehoseclient.cef.cfg/opt/crowdstrike/etc/cs.falconhoseclient.cfg.
  3. 对配置文件进行以下更改:
         
1.
输出格式=系统日志
2.
输出到文件=真/假
3.
输出路径=
  1. 如果计划使用代理连接到Falcon Firehose端点,则需要更新http_代理= :// : 在您的配置文件中。否则,请更新日志部分。
  2. 如果计划将数据发送到Syslog服务器,请将Syslog部分更新为:
         
1.
发送到系统日志服务器=true
2.
主机=
3.
端口=
4.
协议=udp/tcp
  1. 启动服务:#服务cs.Falconhose定向启动.

在InsightIDR中设置此事件源

  1. 从左侧菜单,转到数据收集.
  2. 当“数据收集”页面出现时,单击设置事件源下拉选择添加事件源.
  3. 从“第三方警报”部分,单击群众罢工偶像此时会出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 如果要发送警报以外的其他事件,请选择未过滤原木复选框。在收集器上指定可以接收转发的Crowdstrike事件的未使用端口。我们建议您使用TCP作为协议。
  6. 点击拯救.

验证配置

  1. 通过运行启动SIEM连接器服务/etc/init.d/cs.falconhoseclientd启动服务cs.Falconhose定向启动.

  2. 要验证设置是否正确以及连接是否已建立,您可以运行:tail-f/opt/crowdstrike/log/cs.falconhoseclient.log.