search
Knowledge BaseRelease NotesRequest Demo

CrowdStrike 이벤트 스트림

Panther는 CrowdStrike의 Event Streams API에 연결하는 것을 지원합니다

hashtag
개요

Panther는 CrowdStrike 이벤트를 CrowdStrike Event Streams API를 쿼리하여 가져올 수 있습니다. Panther는 새 이벤트를 1분마다 쿼리합니다.

CrowdStrike Event Streams는 SaaS 감사 활동 및 CrowdStrike 탐지 요약 이벤트를 포함하는 비-센서 데이터만 내보냅니다. 장치 텔레메트리를 수집하려면 CrowdStrike Falcon Data Replicator (FDR) 소스가 필요합니다.

circle-info

Panther가 새 이벤트를 위해 Event Streams API를 쿼리하는 동작 자체가 추가 Crowdstrike.EventStreams 로그를 생성합니다. 통합에서 원치 않는 노이즈가 발생하는 경우 수집 필터 를 구성하여 이러한 로그를 필터링할 수 있습니다.

hashtag
CrowdStrike Event Streams 로그를 Panther에 온보딩하는 방법

hashtag
전제 조건

hashtag
1단계: CrowdStrike Falcon API 클라이언트 생성

  1. 관리자 수준 권한이 있는 계정으로 Falcon 콘솔에 로그인합니다.

  2. 탐색 표시줄에서 지원 및 리소스 > API 클라이언트 및 키. In an Endpoint security Activity dashboard, arrows are drawn to the three-lines navigation bar icon, a "Support and resources" option, and an "API clients and keys" option.

  3. 내에서 OAuth2 API 클라이언트 탭에서 API 클라이언트 생성. In a Support and resources dashboard, under an OAuth2 API clients tab, a table with Client name, Created, Last modified, and Client ID is shown.

  4. 다음 API 클라이언트 생성 양식을 작성하세요:

    • 클라이언트 이름: 설명적인 이름을 입력하세요.

    • 설명: 유용한 설명을 입력하세요.

    • 범위 테이블에서, 이벤트 스트림 행에서 읽기 체크박스. A "Create API client" header is above various form fields, like Client name, Description, and a Scope table. An arrow is drawn to the "Read" checkbox in the Event stream row.

  5. 클릭 Create.

  6. 설정은 API 클라이언트가 생성되면 팝업 모달에 다음이 표시됩니다 섹션에서, 다음을 복사하세요,, 비밀(Secret)기본 URL 값을 복사하여 안전한 위치에 저장하세요. 다음 단계에서 필요합니다. 이것은 비밀(Secret) 가 표시되는 유일한 시간입니다. Under an "API client created' header are Client ID, Secret, and Base URL values.

  7. 클릭 완료.

hashtag
2단계: Panther에서 새 CrowdStrike Event Streams 소스 생성

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

  2. 클릭 새로 만들기.

  3. "CrowdStrike Event Streams"를 검색한 다음 해당 타일을 클릭하세요.

  4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작. A "CrowdStrike Event Streams" page is shown. An arrow is drawn to a "Start Setup" button in the upper-right corner.

  5. 구성 페이지에서 소스에 대한 설명적인 이름 를 입력하세요.

  6. 클릭 설정.

  7. 자격 증명 페이지에서 양식을 작성하세요:

    • 클라이언트 ID: Panther에서 이전 단계에서 생성한 섹션에서, 다음을 복사하세요, 이전 단계에서 CrowdStrike에서 생성한 값입니다.

    • 클라이언트 ID: Panther에서 이전 단계에서 생성한 비밀(Secret) 이전 단계에서 CrowdStrike에서 생성한 값입니다.

    • 클라이언트 클라우드: 표시된 리전을 선택하세요 기본 URL 이전 단계에서 CrowdStrike에서 생성한 값입니다.

    • 앱 ID: 연결을 식별할 라벨을 입력하세요.

      • 최대 20자의 영숫자 문자(a-z, A-Z, 0-9)를 사용할 수 있습니다.

    • 멤버 CID (선택 사항): 선택적으로 CrowdStrike 클라이언트 ID와 시크릿이 여러 CID에 액세스할 수 있는 경우 고객 ID(CID) 선택자를 입력하세요.The text at the top reads, "Fill in the form below with your credentials." Below are various form fields, like Client Id and Client Secret.

  8. 클릭 설정. 성공 화면으로 이동됩니다:

    The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

    • 선택적으로 하나 이상의 탐지 팩(Detection Packs)arrow-up-right.

    • 설정은 이벤트가 처리되지 않을 때 경고 트리거 기본값은 . 데이터가 일정 기간 이후 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

      The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
지원되는 로그 유형

hashtag
Crowdstrike.EventStreams

Crowdstrike.EventStreams 로그는 Falcon 센서가 호스트에서 관찰한 활동을 나타내며 Falcon 콘솔의 저장된 검색 목록에서 다운로드하거나 삭제하려는 검색을 찾습니다. 각 검색 이름 왼쪽의 상자를 체크하세요. 대시보드 및 검색에 표시됩니다.

PreviousCrowdStrike Falcon 데이터 복제기NextDocker 로그

Last updated

Was this helpful?