CrowdStrike猎鹰数据复制器

您可以将CrowdStrike Falcon Data Replicator (FDR)与InsightIDR连接起来,基于您的流程启动数据进行分析、警报和调查。Crowdstrike FDR数据流进入日志搜索中的Endpoint Activity >进程启动事件。

Ultimate特点:增强终点遥测

增强的端点遥测(EET)是一个最终的包功能,以前可用作附加模块。使用EET,您可以完全访问由Crowdstrike FDR捕获的流程开始数据的存档。虽然您不需要EET进行InsightIdr以生成数据的警报,但需要查看触发日志搜索中警报的进程启动数据。

检查你的资格

查看以下要求以确定您是否有资格使用此集成:

  • 您的组织位于美国地区。
  • 您不是Rapid7托管服务客户
  • 您的环境中没有部署任何Insight A必威体育app登录gents

如何配置Crowdstrike FDR集成

InsightIDR和CrowdStrike FDR之间的集成需要两个产品之间的沟通。在尝试在InsightIDR中配置此集成之前,请确保您已经启用了API访问并获得了必要的密钥。

第一步:获得Crowdstrike证书

联系Crowdstrike Support做以下事情:

  1. 启用帐户上的API访问。
  2. 获取所需密钥。在后面的步骤中,您需要将这些密钥输入到InsightIDR中。
    • 独特的客户标识符
    • 客户机ID
    • 客户的秘密
    • 云端点API.
    • 访问密钥
    • 秘密密钥
    • SQS地区
    • SQS URL

步骤2:在InsightIDR中设置CrowdStrike Falcon Data Replicator

  1. 1 .登录InsightIDR。
  2. 从左边的菜单中选择设置>第三方代理人
  3. 切换拨动.Connect to CrowdStrike Falcon Data Replicator面板将会出现。
  4. 在CrowdStrike API凭据部分输入从CrowdStrike支持获得的凭据:
    1. 输入唯一的客户标识符。这允许InsightIdr建立与Cramdstrike帐户的连接。
    2. 在客户端ID中,输入API客户端ID。
    3. 输入客户端秘密。
    4. 在云端点中,输入您的API网关URL。
  5. 在Falcon数据刷新器凭据下,部分输入从Crowdstrike支持中获取的凭据:
    1. 在access key字段中输入访问密钥。该密钥授予InsightIDR访问Falcon数据复制器的权限。
    2. 输入Secret密钥。
    3. 输入SQS区域。这表示帐户的区域。
    4. 输入SQS URL。
  6. 准备好后,选择我已经核实了我的证件复选框。
  7. 点击提交凭据.InsightIDR现在将尝试与CrowdStrike猎鹰数据复制器建立联系。建立这种连接可能需要1个小时。

提交的凭据

一旦提交,您将无法在InsightIdr中查看您的凭据。但别担心,将发送信息进行处理,并将启动连接。

停止处理Crowdstrike FDR数据

一旦完成完成并且InsightIdr和Crowdstrike之间的连接,您可以停止处理数据。

  1. 从InsightIDR左边菜单中选择设置>第三方代理人
  2. 切换拨动离开.断开数据处理面板将出现。
  3. 点击断开连接

停止收集CrowdStrike FDR数据

如果您不再希望将Crowdstrike FDR数据发送到RAIK7,请联系Rapid7支持取消集成并停止数据收集。

如何更新凭据

InsightIdr最多可能需要1小时,以建立与Crowdstrike Falcon数据复制器的连接。在此期间,您可以使用第三方代理页面上的“更新凭据”按钮更新凭据。建立连接后,此按钮将不再可用,并且您需要联系Rapid7支持以更新凭据。

在安装过程中更新不正确的凭证

您只能在InsightIdr建立连接时更新凭据。如果已建立连接,并且您需要更新凭据,请联系Rapid7支持。

  1. 在“第三方代理”页面,单击更新证书
  2. 更新您的凭据。有关更多信息,请参阅[获取Crowdstrike凭据]。
  3. 在验证您正确输入凭据后,选择“我验证了凭据。”。
  4. 点击提交凭据.InsightIDR现在将尝试与CrowdStrike猎鹰数据复制器建立联系。

更新过时的凭据

要在安装完成后更新凭据,必须联系Rapid7支持

验证数据流

一旦InsightIDR建立了连接,切换将被设置为.现在,如果你可以使用Enhanced Endpoint Telemetry功能,你可以在Log Search中查看你的CrowdStrike FDR流程数据。

日志搜索获取原始的、收集的数据的每个日志,并自动为您将它们分类为日志集。Crowdstrike FDR流程启动数据下端点的活动>过程开始事件.您也可以从第三方代理页面导航到日志搜索页面,并输入您自己的查询。

切换状态及其含义

切换状态 描述
数据正从CrowdStrike FDR流向InsightIDR
离开 在第一次设置之前:CrowdStrike FDR和InsightIDR之间没有联系

安装后:如果在连接建立后切换开关被关闭,这意味着InsightIDR没有处理CrowdStrike FDR数据。
系统处理 而InsightIDR试图建立与CrowdStrike FDR的联系。