Crowdstrike猎鹰

Crowdstrike Falcon是一个基于云计算的平台，为整个组织提供端点保护。如果您目前正在使用Crowdstrike Falcon，您可以配置Falcon SIEM连接器，将事件发送到InsightIDR，在InsightIDR中您可以围绕该数据生成调查。

当Crowdstrike Falcon被设置为InsightIDR的事件源时，它只通过查找来解析检测摘要事件DetectionSummaryEvent在对数线上。它将忽略任意一个事件机器学习或quarantined_file_update．

为了创建Crowdstrike Falcon，你需要:

在你开始之前

安装和配置Falcon Connector RPM。参见:https://www.crowdstrike.com/blog/tech-center/integrate-with-your-siem/
通过support@crowdstrike.com联系Crowdstrike支持，让你的账户能够访问API。您必须具有管理权限

配置猎鹰SIEM连接器

HP ArcSight Common Event Format (CEF)通过定义日志记录的语法来促进设备之间的通信。为了将事件发送到InsightIDR，您必须修改默认CEF文件中的某些设置。

打开位于中的默认CEF配置文件/ opt / crowdstrike / etc /．
重命名/ opt / crowdstrike / etc / cs.falconehoseclient.cef.cfg来/ opt / crowdstrike / etc / cs.falconhoseclient.cfg．
对配置文件进行以下修改:

         
          
           
          
         

          
           
            1
           output_format = syslog
          
          
           
            2
           output_to_file = true / false
          
          
           
            3.
           output_path = < filepath >

如果您计划使用代理连接到Falcon Firehose端点，则需要更新http_proxy= : / / ：在配置文件中。否则，更新Logging部分。
如果您计划将数据发送到Syslog服务器，请将Syslog部分更新为:

         
          
           
          
         

          
           
            1
           send_to_syslog_server = true
          
          
           
            2
           主机= > <主机
          
          
           
            3.
           端口= <端口>
          
          
           
            4
           = udp / tcp协议

启动服务:#服务cs。falconhoseclientd开始．

在InsightIDR中设置此事件源

从左边的菜单，转到数据收集．
当“数据采集”页面出现时，点击设置事件源下拉选择添加事件源．
从“第三方提醒”部分，单击Crowdstrike图标。出现“添加事件源”面板。
选择收集器和事件源。如果需要，还可以命名事件源。
如果您正在发送警报之外的其他事件，请选择未经过滤的日志复选框。在Collector上指定一个未使用的端口，用于接收转发的Crowdstrike事件。我们建议您使用TCP作为协议。
点击保存．

验证配置

通过运行启动SIEM Connector服务/etc/init.d/cs.falconhoseclientd开始或服务cs。falconhoseclientd开始．
要验证安装是否正确，连接是否已建立，可以运行以下命令:tail - f / opt / crowdstrike /日志/ cs.falconhoseclient.log．

这个页面对你有帮助吗?