CrowdStrike Event Streams

개요

Panther는 CrowdStrike 이벤트를 CrowdStrike Event Streams API를 쿼리하여 가져올 수 있습니다. Panther는 매 1분마다 새 이벤트를 쿼리합니다.

CrowdStrike Event Streams는 SaaS 감사 활동 및 CrowdStrike Detection Summary 이벤트를 포함하는 비-센서 데이터만 내보냅니다. 장치 텔레메트리를 수집하려면 CrowdStrike Falcon Data Replicator (FDR) 소스가 필요합니다.

CrowdStrike Event Streams 로그를 Panther에 온보딩하는 방법

전제 조건

• 이 방법을 사용하려면 먼저 CrowdStrike 지원팀에 문의 하여 CrowdStrike 계정에서 스트리밍 API를 활성화해야 합니다.

1단계: CrowdStrike Falcon API 클라이언트 생성

1. 관리자 권한이 있는 계정으로 Falcon 콘솔에 로그인합니다.

2. 탐색 표시줄에서 지원 및 리소스 > API 클라이언트 및 키.

3. 내에서 OAuth2 API 클라이언트 탭에서 API 클라이언트 생성.

4. 양식을 API 클라이언트 생성 작성합니다:

   • 클라이언트 이름: 설명이 포함된 이름을 입력하세요.

   • 설명: 유용한 설명을 입력하세요.

   • 권한 테이블에서, 이벤트 스트림 행에서 읽기 체크박스를 선택하세요.

5. 클릭 생성.

6. 다음 생성된 API 클라이언트 팝업 모달에 표시됩니다 클라이언트 ID, 비밀(Secret), 및 기본 URL 값이 표시됩니다. 다음 단계에서 필요하므로 이 값들을 복사하여 안전한 위치에 보관하세요. 이것은 비밀(Secret) 가 표시되는 유일한 시간입니다.

7. 클릭 완료.

2단계: Panther에서 새로운 CrowdStrike Event Streams 소스 생성

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 구성 > 로그 소스.

2. 클릭 새로 생성.

3. "CrowdStrike Event Streams"를 검색한 후 해당 타일을 클릭하세요.

4. 슬라이드 아웃 패널에서 설정 시작.

5. 구성 페이지에서 소스에 대한 설명이 포함된 이름 을 입력하세요.

6. 클릭 설치.

7. 자격 증명 페이지에서 양식을 작성하세요:

   • 클라이언트 ID: 이전 단계에서 CrowdStrike에서 생성한 클라이언트 ID 를 입력하세요.

   • 클라이언트 시크릿: 이전 단계에서 CrowdStrike에서 생성한 비밀(Secret) 를 입력하세요.

   • 클라이언트 클라우드: 기본 URL 를 입력하세요.

   • 앱 ID: 연결을 식별할 레이블을 입력하세요.

     • 최대 20자의 영숫자 문자(a-z, A-Z, 0-9)입니다.

   • 멤버 CID (선택 사항): CrowdStrike 클라이언트 ID와 시크릿이 여러 CID에 접근할 수 있는 경우, 선택적으로 고객 ID(CID) 선택자를 입력하세요.

8. 클릭 설치. 성공 화면으로 이동합니다:

   

   • 선택적으로 하나 이상의 디텍션 팩.

   • 다음 이벤트가 처리되지 않을 때 알러트 트리거 설정의 기본값은 예입니다. 데이터가 일정 기간 후 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 간격은 구성 가능하며 기본값은 24시간입니다.\

     

지원되는 로그 유형

Crowdstrike.EventStreams

Crowdstrike.EventStreams 로그는 Falcon 센서가 호스트에서 관찰하고 Falcon 콘솔의 조사 대시보드 및 검색에 표시되는 활동을 나타냅니다.