Crowdstrike猎鹰

Crowdstrike Falcon是一个基于云的平台，可为整个组织提供端点保护。如果您当前使用Crowdstrike Falcon，您可以配置Falcon SIEM连接器，将事件发送到InsightIDR，在那里您可以围绕该数据生成调查。

当Crowdstrike Falcon被设置为InsightIDR的事件源时，它只通过查找来解析检测摘要事件检测汇总事件在对数线上。它将忽略任意一个事件机器学习或quarantined_file_update.

为了创建Crowdstrike Falcon，你需要:

1. 配置Falcon SIEM连接器并启动服务.
2. 在InsightIDR中设置Crowdstrike Falcon事件源.
3. 验证配置是否有效.

在你开始之前

• 安装和配置Falcon Connector RPM。参见:https://www.crowdstrike.com/blog/tech-center/integrate-with-your-siem/
• 请联系Crowdstrike支持部门support@crowdstrike.com在您的帐户上启用API访问。您必须具有管理权限

配置猎鹰SIEM连接器

HP ArcSight公共事件格式（CEF）通过定义日志记录的语法，方便了设备之间的通信。要向InsightIDR发送事件，必须修改默认CEF文件中的某些设置。

1. 打开位于中的默认CEF配置文件/ opt / crowdstrike / etc /.
2. 重命名/opt/crowdstrike/etc/cs.falconehoseclient.cef.cfg来/ opt / crowdstrike / etc / cs.falconhoseclient.cfg.
3. 对配置文件进行以下更改：

         

          

           
          
         

          

           

            1.
           输出格式=系统日志
          
          

           

            2.
           output_to_file = true / false
          
          

           

            3.
           output_path = < filepath >
          

4. 如果您计划使用代理连接到Falcon Firehose端点，则需要更新http_proxy= : / / : 在您的配置文件中。否则，请更新日志部分。
5. 如果您计划将数据发送到Syslog服务器，请将Syslog部分更新为:

         

          

           
          
         

          

           

            1.
           send_to_syslog_server = true
          
          

           

            2.
           主机=
          
          

           

            3.
           端口= <端口>
          
          

           

            4.
           协议=udp/tcp
          

6. 启动服务：#服务cs。falconhoseclientd开始.

在InsightIDR中设置此事件源

1. 从左边的菜单，转到数据收集.
2. 当“数据采集”页面出现时，点击设置事件源下拉选择添加事件源.
3. 从“第三方警报”部分，单击Crowdstrike偶像此时会出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 如果您正在发送警报之外的其他事件，请选择未过滤原木复选框。在收集器上指定可以接收转发的Crowdstrike事件的未使用端口。我们建议您使用TCP作为协议。
6. 点击保存.

验证配置

1. 通过运行启动SIEM Connector服务/etc/init.d/cs.falconhoseclientd开始或服务cs。falconhoseclientd开始.

2. 要验证安装是否正确，连接是否已建立，可以运行以下命令:tail - f / opt / crowdstrike /日志/ cs.falconhoseclient.log.