Verbindung zu einer CrowdStrike Falcon -Datenquelle herstellen

Online bearbeiten

Verbinden Sie die CrowdStrike Falcon -Datenquelle mit der Plattform, damit Ihre Anwendungen und Dashboards CrowdStrike Falcon -Sicherheitsdaten erfassen und analysieren können. Universal Data Insights -Connectors ermöglichen die föderierte Suche in Ihren Sicherheitsprodukten.

Vorbereitende Schritte

Arbeiten Sie mit CrowdStrike Falcon Administration zusammen, um Protokolle von Falcon -Hosts zu empfangen.
  1. Erstellen Sie einen Benutzer mit der Falcon -Administratorrolle.
    1. Melden Sie sich an der Falcon-Konsole an.
    2. Klicken Sie auf Falcon-Benutzer > Benutzerverwaltung.
    3. Klicken Sie auf + , um einen Benutzer hinzuzufügen.
    4. Geben Sie die E-Mail-Adresse, den Vornamen und den Nachnamen des Benutzers an.
    5. Wählen Sie die Rolle Falcon Administrator aus.
    6. Klicken Sie auf Benutzer hinzufügen.
  2. Richten Sie den CrowdStrike -API-Client für sicheren Zugriff auf die CrowdStrike -API ein.
    1. Melden Sie sich an der Falcon-Konsole an.
    2. Klicken Sie auf Support > API-Clients und -Schlüssel.
    3. Klicken Sie auf + Neuen API-Client hinzufügen.
    4. Geben Sie einen Clientnamen und eine Beschreibung an.
    5. Wählen Sie im Abschnitt API SCOPES die Option Lesen neben Erkennungenaus.
    6. Klicken Sie auf Hinzufügen.
    7. Kopieren Sie die Werte Basis-URL, Client-ID und Geheimer Schlüssel. Kopieren Sie nicht den https://-Teil der Basis-URL. Sie benötigen den Wert für die Basis-URL in Schritt 6 und die Werte für Client-ID und Geheimer Schlüssel in Schritt 8.

Wenn Sie über eine Firewall zwischen Ihrem Cluster und dem Datenquellenziel verfügen, verwenden Sie IBM® Security Edge Gateway als Host für die Container. Edge Gateway muss V1.6 oder höher sein. Weitere Informationen finden Sie unter Edge-Gateway einrichten.

Informationen zu dieser Task

CrowdStrike Falcon ist eine einheitliche Plattform für Endpunktschutz und -sicherheit. Verwenden Sie den Connector, um Erkennungs-und Verhaltensprotokolle aus CrowdStrike Falconabzurufen.

Datenquellenverbindungen für die API für die Überwachung von Erkennungen werden unterstützt.

Structured Threat Information eXpression (STIX) ist ein Sprach-und Serialisierungsformat, das Unternehmen für den Austausch von Cyberbedrohungsdaten verwenden. Der Connector CrowdStrike Falcon verwendet das Muster STIX zum Abfragen von CrowdStrike Falcon -Daten und gibt Ergebnisse als STIX -Objekte zurück. Weitere Informationen zur Zuordnung des CrowdStrike Falcon -Datenschemas zu STIXfinden Sie unter CrowdStrike Falcon STIX -Zuordnung (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/crowdstrike_supported_stix.md).

Vorgehensweise

  1. Rufen Sie Menü > Verbindungen > Datenquellenauf.
  2. Klicken Sie auf der Registerkarte Datenquellen auf Datenquelle verbinden.
  3. Klicken Sie auf CrowdStrike Falconund anschließend auf Weiter.
  4. Konfigurieren Sie die Verbindung zur Datenquelle.
    1. Weisen Sie im Feld Datenquellenname einen Namen zu, der die Datenquellenverbindung eindeutig identifiziert.
      Sie können mehrere Verbindungsinstanzen zu einer Datenquelle erstellen. Daher empfiehlt es sich, diesen Instanzen zur besseren Unterscheidung eindeutige Namen zu geben. Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig: - . _
    2. Geben Sie im Feld Datenquellenbeschreibung eine Beschreibung für den Zweck der Datenquellenverbindung ein.
      Sie können mehrere Verbindungsinstanzen zu einer Datenquelle erstellen. Daher ist es nützlich, den Zweck jeder Verbindung mit einer eindeutigen Beschreibung anzugeben. Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig: - . _
    3. Wenn Sie über eine Firewall zwischen Ihrem Cluster und dem Datenquellenziel verfügen, verwenden Sie Edge Gateway als Host für die Container. Geben Sie im Feld Edge-Gateway (optional) an, welche Edge Gateway verwendet werden soll.
      Wählen Sie ein Edge Gateway als Host für den Connector aus. Es kann bis zu fünf Minuten dauern, bis der Status neu implementierter Datenquellenverbindungen auf dem Edge Gateway als verbunden angezeigt wird.
    4. Geben Sie im Feld Management-IP-Adresse oder Hostname die Basis-URL der CrowdStrike -API an, die im Abschnitt "Vorbereitende Schritte" kopiert wurde. Achten Sie darauf, dass Sie das https:// nicht in die Basis-URL einschließen.
    5. Legen Sie im Feld Host-Port die Portnummer fest, die der Basis-URL zugeordnet ist. Der Standardwert ist 443.
  5. Legen Sie die Abfrageparameter fest, um das Verhalten der Suchabfrage für die Datenquelle zu steuern.
    1. Legen Sie im Feld Grenzwert für gleichzeitige Suche fest, wie viele gleichzeitige Verbindungen zur Datenquelle hergestellt werden können. Der Standardgrenzwert für die Anzahl der Verbindungen ist 4. Der Wert darf nicht kleiner als 1 und nicht größer als 120 sein.
    2. Legen Sie im Feld Zeitlimit für Abfragesuche das Zeitlimit in Minuten für die Ausführung der Abfrage in der Datenquelle fest. Standardzeitlimit ist 30. Wenn der Wert auf 0 gesetzt wird ist, gibst es kein Zeitlimit. Der Wert darf nicht kleiner als 1 und nicht größer als 120 sein.
    3. Legen Sie im Feld Grenzwert für Ergebnisgröße die maximale Anzahl der Einträge oder Objekte fest, die von der Suchabfrage zurückgegeben werden. Die Standardgröße der Ergebnisse ist auf 10.000 begrenzt. Der Wert darf nicht kleiner als 1 und nicht größer als 500.000 sein.
    4. Legen Sie im Feld Abfragezeitbereich den Zeitbereich in Minuten für die Suche fest, der als die letzten X Minuten dargestellt wird. Standard ist 5 Minuten. Der Wert darf weder kleiner als 1 noch größer als 10.000 sein.
    Wichtig: Wenn Sie den Grenzwert für die gleichzeitige Suche und den Grenzwert für die Ergebnisgröße erhöhen, kann eine größere Datenmenge an die Datenquelle gesendet werden, was die Belastung der Datenquelle erhöht. Eine Erhöhung des Abfragezeitbereichs erhöht auch das Datenvolumen.
  6. Optional: Wenn Sie die STIX-Attributzuordnung anpassen müssen, klicken Sie auf Attributzuordnung anpassen und bearbeiten Sie das JSON-BLOB, um den zugehörigen Zieldatenquellenfeldern neue oder vorhandene Eigenschaften zuzuordnen.
  7. Konfigurieren Sie Identität und Zugriff.
    1. Klicken Sie auf Konfiguration hinzufügen.
    2. Geben Sie im Feld Konfigurationsname einen eindeutigen Namen ein, um die Zugriffskonfiguration zu beschreiben und von den anderen Zugriffskonfigurationen für diese Datenquellenverbindung zu unterscheiden, die Sie möglicherweise einrichten. Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig: - . _
    3. Geben Sie im Feld Konfigurationsbeschreibung eine eindeutige Beschreibung ein, um die Zugriffskonfiguration zu beschreiben und von den anderen Zugriffskonfigurationen für diese Datenquellenverbindung zu unterscheiden, die Sie möglicherweise einrichten. Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig: - . _
    4. Klicken Sie auf Zugriff bearbeiten und wählen Sie die Benutzer aus, die eine Verbindung zur Datenquelle herstellen können, sowie den Zugriffstyp.
    5. Geben Sie im Feld Client-ID die Client-ID ein, die Sie im Abschnitt "Vorbereitende Schritte" kopiert haben.
    6. Geben Sie im Feld Geheimer Clientschlüssel den geheimen Clientschlüssel ein, den Sie im Abschnitt "Vorbereitungen" eingegeben haben.
    7. Klicken Sie auf Hinzufügen.
    8. Klicken Sie auf Fertig, um Ihre Konfiguration zu speichern und die Verbindung herzustellen.
    Sie können die Datenquellenverbindungskonfiguration anzeigen, die Sie unter "Verbindungen" auf der Seite mit den Einstellungen für die Datenquelle hinzugefügt haben. Eine Nachricht auf der Karte gibt die Verbindung zu der Datenquelle an.
    Wenn Sie eine Datenquelle hinzufügen, kann es einige Minuten dauern, bis die Datenquelle als verbunden angezeigt wird.
    Tipp: Nachdem Sie eine Datenquelle verbunden haben, kann es bis zu 30 Sekunden dauern, bis die Daten abgerufen werden. Bevor das vollständige Dataset zurückgegeben wird, wird die Datenquelle möglicherweise als nicht verfügbar angezeigt. Nachdem die Daten zurückgegeben wurden, wird die Datenquelle als verbunden angezeigt und ein Abfragemechanismus wird ausgeführt, um den Verbindungsstatus zu validieren. Der Verbindungsstatus ist nach jeder Abfrage 60 Sekunden lang gültig.

    Sie können für diese Datenquelle weitere Verbindungskonfigurationen mit anderen Benutzern und anderen Datenzugriffsberechtigungen hinzufügen.

  8. Gehen Sie wie folgt vor, um Ihre Konfigurationen zu bearbeiten:
    1. Wählen Sie auf der Registerkarte Datenquellen die Datenquellenverbindung aus, die Sie bearbeiten möchten.
    2. Klicken Sie im Abschnitt Konfigurationen auf Konfiguration bearbeiten (Symbol 'Konfiguration bearbeiten').
    3. Bearbeiten Sie die Identitäts-und Zugriffsparameter und klicken Sie auf Speichern.

Nächste Schritte

Testen Sie die Verbindung, indem Sie eine Abfrage mit IBM Security Data Explorer ausführen. Um Data Explorerverwenden zu können, müssen Sie über verbundene Datenquellen verfügen, damit die Anwendung Abfragen ausführen und Ergebnisse aus einer einheitlichen Gruppe von Datenquellen abrufen kann. Die Suchergebnisse variieren abhängig von den Daten, die in den konfigurierten Datenquellen enthalten sind. Weitere Informationen zum Erstellen einer Abfrage in Data Explorerfinden Sie unter Abfrage erstellen.