Introdução
O Conector Falcon SIEM fornece aos usuários um fluxo de dados de consumo SIEM pronto para uso. O Conector Falcon SIEM:
- Transforma os dados da API Crowdstrike em um formato que um SIEM pode consumir
- Mantém a conexão com a API CrowdStrike Event Streaming e seu SIEM
- Gerencia o ponteiro do fluxo de dados para evitar a perda de dados
Pré-requisitos
Antes de usar o Conector Falcon SIEM, você deve primeiro definir o cliente API e definir seu escopo. Consulte este guia para obter acesso à API CrowdStrike para configurar uma nova chave de cliente API. Para o novo cliente API, certifique-se de que o escopo inclui acesso de leitura para fluxos de eventos.
O CrowdStrike Falcon SIEM Connector (SIEM Connector) é executado como um serviço em um servidor Linux local.
Os requisitos de recursos (CPU / Memória / Disco rígido) são mínimos e o sistema pode ser uma VM.
- SO compatível (apenas 64 bits):
- CentOS / RHEL 6.x-7.x
- Ubuntu 14.x
- Ubuntu 16.04
- Ubuntu 18.04
- Conectividade: conectividade com a Internet e capacidade de conectar a CrowdStrike Cloud (HTTPS / TCP 443)
- Autorização: acesso ao escopo do Streaming de eventos da API Crowdstrike
- Hora: A data e hora no host que executa o Conector Falcon SIEM deve ser atual (NTP é recomendado)
Instalação e configuração
Para começar, você precisa baixar os pacotes de instalação rpm para o SIEM Connector da CrowdStrike Falcon UI .
Para obter um guia mais abrangente, visite o Guia de recursos do SIEM Connector .
Baixe o pacote do seu sistema operacional para o servidor Linux que deseja usar.
Abra um terminal e execute o comando de instalação em que <pacote do instalador> é o instalador que você baixou:
- CentOS:
sudo rpm -Uvh <installer package>
- Ubuntu:
sudo dpkg -i <installer package>
A última etapa antes de iniciar o SIEM Connector é escolher uma configuração. Existem algumas decisões a serem tomadas. O conector SIEM pode:
- Saída para um arquivo local (seu SIEM ou outras ferramentas teriam que ler ativamente desse arquivo)
- Saída para um servidor syslog (a maioria dos SIEMs modernos tem um receptor syslog integrado)
- Saída para um formato como CEF ou LEEF para seu SIEM
Aqui está um diagrama de fluxo de como escolher o arquivo de configuração correto:
Depois de salvar o arquivo de configuração, você pode iniciar o serviço do conector SIEM com um dos seguintes comandos:
- CentOS:
sudo service cs.falconhoseclientd start
- Ubuntu 14.x:
sudo start cs.falconhoseclientd
- Ubuntu 16.04 e posterior:
sudo systemctl start cs.falconhoseclientd.service
Para verificar se sua configuração estava correta e se a conectividade foi estabelecida, você pode verificar o arquivo de log com o seguinte comando:
tail -f /var/log/crowdstrike/falconhoseclient/cs.falconhoseclient.log
Você deve ver um Heartbeat. Se você vir uma mensagem de erro mencionando o token de acesso, verifique novamente o seu ID de cliente e segredo da Crowdstrike API.
Conclusão
O processo acima mostra como começar com o Conector CrowdStrike Falcon SIEM. Existem muitas outras opções para este conector (usando um proxy para acessar a API de streaming, formatos de log personalizados e configurações de syslog, etc.) que podem ser encontradas no ” Guia de recursos do conector SIEM ” como parte do pacote de documentação na interface do usuário Falcon .