CrowdStrike Tech Center

Introdução

Conector Falcon SIEM fornece aos usuários um fluxo de dados de consumo SIEM pronto para uso. O Conector Falcon SIEM:

Visão geral do conector SIEM

Pré-requisitos

Antes de usar o Conector Falcon SIEM, você deve primeiro definir o cliente API e definir seu escopo. Consulte este guia para obter acesso à API CrowdStrike para configurar uma nova chave de cliente API. Para o novo cliente API, certifique-se de que o escopo inclui acesso de leitura para fluxos de eventos.

Escopo de fluxos de eventos do conector SIEM

O CrowdStrike Falcon SIEM Connector (SIEM Connector) é executado como um serviço em um servidor Linux local.

Os requisitos de recursos (CPU / Memória / Disco rígido) são mínimos e o sistema pode ser uma VM.

Instalação e configuração

Para começar, você precisa baixar os pacotes de instalação rpm para o SIEM Connector da CrowdStrike Falcon UI .

Para obter um guia mais abrangente, visite o Guia de recursos do SIEM Connector .

Download do conector SIEM de ferramentas

Baixe o pacote do seu sistema operacional para o servidor Linux que deseja usar.

Abra um terminal e execute o comando de instalação em que <pacote do instalador> é o instalador que você baixou:

A última etapa antes de iniciar o SIEM Connector é escolher uma configuração. Existem algumas decisões a serem tomadas. O conector SIEM pode:

Aqui está um diagrama de fluxo de como escolher o arquivo de configuração correto:

Arquivo de configuração do conector SIEM

Depois de salvar o arquivo de configuração, você pode iniciar o serviço do conector SIEM com um dos seguintes comandos:

Para verificar se sua configuração estava correta e se a conectividade foi estabelecida, você pode verificar o arquivo de log com o seguinte comando:

tail -f /var/log/crowdstrike/falconhoseclient/cs.falconhoseclient.log

Você deve ver um Heartbeat. Se você vir uma mensagem de erro mencionando o token de acesso, verifique novamente o seu ID de cliente e segredo da Crowdstrike API.

Cauda para batimentos cardíacos

Conclusão

O processo acima mostra como começar com o Conector CrowdStrike Falcon SIEM. Existem muitas outras opções para este conector (usando um proxy para acessar a API de streaming, formatos de log personalizados e configurações de syslog, etc.) que podem ser encontradas no ” Guia de recursos do conector SIEM ” como parte do pacote de documentação na interface do usuário Falcon .