连接到 CrowdStrike Falcon 数据源

在线编辑

CrowdStrike Falcon 数据源连接到平台,以使应用程序和仪表板能够收集和分析 CrowdStrike Falcon 安全数据。 Universal Data Insights 连接器支持跨安全产品进行联合搜索。

在开始之前

CrowdStrike Falcon Administration 协作以从 Falcon 主机接收日志。
  1. 创建具有 Falcon 管理员角色的用户。
    1. 登录到 Falcon 控制台。
    2. 单击 Falcon 用户 > 用户管理
    3. 单击 + 以添加用户。
    4. 指定用户的电子邮件地址、名字和姓氏。
    5. 选择 Falcon 管理员 角色。
    6. 单击 添加用户
  2. 设置 CrowdStrike API 客户机以安全地访问 CrowdStrike API。
    1. 登录到 Falcon 控制台。
    2. 单击 支持 > API 客户机和密钥
    3. 单击 + 添加新 API 客户机
    4. 指定客户机名称和描述。
    5. API SCOPES 部分中,选中 检测旁边的 读取
    6. 单击添加
    7. 复制基本 URL、客户机标识和私钥值。 不要复制基本 URL 的 https:// 部分。 您在步骤 6 中需要基本 URL 值,在步骤 8 中需要客户机标识和私钥值。

如果集群与数据源目标之间存在防火墙,请使用 IBM® Security Edge Gateway 来托管容器。 Edge Gateway 必须是 V1.6 或更高版本。 有关更多信息,请参阅 设置边缘网关

关于此任务

CrowdStrike Falcon 是统一的端点保护和安全平台。 使用连接器从 CrowdStrike Falcon检索检测和行为日志。

支持 "检测" 监视 API 的数据源连接。

结构化威胁信息 eXpression (STIX) 是组织用于交换网络威胁情报的语言和序列化格式。 CrowdStrike Falcon 连接器使用 STIX 图案化来查询 CrowdStrike Falcon 数据,并将结果作为 STIX 对象返回。 有关 CrowdStrike Falcon 数据模式如何映射到 STIX的更多信息,请参阅 CrowdStrike Falcon STIX 映射 (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/crowdstrike_supported_stix.md)。

程序

  1. 转至 菜单 > 连接 > 数据源
  2. 数据源 选项卡上,单击 连接数据源
  3. 单击 CrowdStrike Falcon,然后单击 下一步
  4. 配置与数据源的连接。
    1. 数据源名称 字段中,分配用于唯一标识数据源连接的名称。
      可以为某个数据源创建多个连接实例,因此最好能按名称将这些实例清晰地区分开。 仅允许使用字母数字字符和以下特殊字符: - . _
    2. 数据源描述 字段中,编写描述以指示数据源连接的用途。
      您可以为某个数据源创建多个连接实例,因此按描述清晰地指示每个连接的目的非常有用。 仅允许使用字母数字字符和以下特殊字符: - . _
    3. 如果集群与数据源目标之间存在防火墙,请使用 Edge Gateway 来托管容器。 在 边缘网关 (可选) 字段中,指定要使用的 Edge Gateway
      选择 Edge Gateway 以托管连接器。 Edge Gateway 上新部署的数据源连接的状态最多可能需要 5 分钟才能显示为已连接。
    4. 管理 IP 地址或主机名 字段中,指定在 "开始之前" 部分中复制的 CrowdStrike API 的基本 URL。 确保基本 URL 中未包含 https://
    5. 主机端口 字段中,设置与基本 URL 关联的端口号。 缺省值为 443。
  5. 设置查询参数以控制针对数据源的搜索查询的行为。
    1. 并发搜索限制 字段中,设置可以与数据源建立的并发连接数。 连接数量缺省限制为 4。 此值不能小于 1 并且不能大于 100。
    2. 查询搜索超时限制 字段中,设置在数据源上运行查询的时间限制 (以分钟为单位)。 缺省时间限制为 30。 该值设置为零时,表示没有超时。 此值不能小于 1 并且不能大于 120。
    3. 结果大小限制 字段中,设置搜索查询返回的最大条目数或对象数。 缺省结果大小限制为 10,000。 该值不得小于 1 且不得大于 500,000。
    4. 查询时间范围 字段中,设置搜索的时间范围 (以分钟为单位) ,表示为最后的 X 分钟。 缺省值为 5 分钟。 该值不得小于 1,并且不得大于 10,000。
    重要信息: 如果增加并发搜索限制和结果大小限制,那么可以将更多的数据发送到数据源,这将增加对数据源的压力。 增大查询时间范围还会增加数据量。
  6. 可选: 如果需要定制 STIX 属性映射,请单击 定制属性映射 并编辑 JSON blob 以将新属性或现有属性映射到其关联的目标数据源字段。
  7. 配置身份和访问权。
    1. 单击 添加配置
    2. 配置名称 字段中,输入唯一名称以描述访问配置,并将其与您可能设置的此数据源连接的其他访问配置区分开。 仅允许使用字母数字字符和以下特殊字符: - . _
    3. 配置描述 字段中,输入唯一描述以描述访问配置,并将其与您可能设置的此数据源连接的其他访问配置区分开。 仅允许使用字母数字字符和以下特殊字符: - . _
    4. 单击 编辑访问权 ,然后选择哪些用户可以连接到数据源和访问权类型。
    5. 客户机标识 字段中,输入在 "开始之前" 部分中复制的客户机标识。
    6. 客户机密钥 字段中,输入在 "准备工作" 部分中输入的客户机密钥。
    7. 单击 添加
    8. 要保存配置并建立连接,请单击 完成
    您可以在“数据源设置”页面的“连接”下看到已添加的数据源连接配置。 卡片上的消息指示与数据源的连接。
    添加数据源时,可能需要几分钟时间才能将数据源显示为已连接。
    提示: 连接数据源后,检索数据可能需要最多 30 秒。 在返回完整数据集之前,数据源可能会显示为不可用。 返回数据后,数据源将显示为正在连接,并且将发生轮询机制以验证连接状态。 连接状态在每次轮询后 60 秒内有效。

    可以为此数据源添加具有不同用户和不同访问许可权的其他连接配置。

  8. 要编辑配置,请完成以下步骤:
    1. 数据源 选项卡上,选择要编辑的数据源连接。
    2. 在 " 配置 " 部分中,单击 编辑配置 ("编辑配置" 图标)。
    3. 编辑身份和访问权参数,然后单击 保存

后续步骤

通过使用 IBM Security Data Explorer 运行查询来测试连接。 要使用 Data Explorer,您必须具有已连接的数据源,以便应用程序可以在一组统一的数据源中运行查询和检索结果。 搜索结果根据配置的数据源中包含的数据的不同而不同。 有关如何在 Data Explorer中构建查询的更多信息,请参阅 构建查询