search
Knowledge BaseRelease NotesRequest Demo

CrowdStrike 이벤트 스트림

Panther는 CrowdStrike의 Event Streams API에 연결하는 것을 지원합니다

hashtag
개요

Panther는 CrowdStrike 이벤트를 CrowdStrike Event Streams API를 쿼리하여 가져올 수 있습니다. Panther는 새 이벤트를 1분마다 쿼리합니다.

CrowdStrike Event Streams는 SaaS 감사 활동 및 CrowdStrike 디텍션 요약 이벤트를 포함하는 비-센서 데이터를 내보내기만 합니다. 장치 텔레메트리를 수집하려면 CrowdStrike Falcon Data Replicator (FDR) 소스가 필요합니다.

circle-info

Panther가 새 이벤트를 위해 Event Streams API를 쿼리하는 동작 자체가 추가적인 Crowdstrike.EventStreams 로그를 생성합니다. 통합에서 원하지 않는 노이즈를 생성하는 경우, 수집 필터 를 구성하여 이러한 로그를 필터링할 수 있습니다.

hashtag
CrowdStrike Event Streams 로그를 Panther에 온보딩하는 방법

hashtag
전제 조건

hashtag
1단계: CrowdStrike Falcon API 클라이언트 생성

  1. 관리자 수준 권한이 있는 계정으로 Falcon 콘솔에 로그인합니다.

  2. 탐색 표시줄에서 지원 및 리소스 > API 클라이언트 및 키. In an Endpoint security Activity dashboard, arrows are drawn to the three-lines navigation bar icon, a "Support and resources" option, and an "API clients and keys" option.

  3. 내부의 OAuth2 API 클라이언트 탭에서 API 클라이언트 생성. In a Support and resources dashboard, under an OAuth2 API clients tab, a table with Client name, Created, Last modified, and Client ID is shown.

  4. 다음 API 클라이언트 생성 양식을 작성합니다:

    • 클라이언트 이름: 설명적인 이름을 입력하세요.

    • 설명: 유용한 설명을 입력하세요.

    • 권한(스코프) 테이블에서, Event streams 행의 읽기 체크박스를 선택합니다. A "Create API client" header is above various form fields, like Client name, Description, and a Scope table. An arrow is drawn to the "Read" checkbox in the Event stream row.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Python 함수를 입력한 다음.

  6. 사용자를 사용할 것이며, API 클라이언트가 생성됨 팝업 모달에 클라이언트 ID, 시크릿기본 URL 값이 표시됩니다. 이 값을 복사하여 안전한 장소에 보관하십시오. 다음 단계에서 필요합니다. 이 값은 시크릿 이 한 번만 표시됩니다. Under an "API client created' header are Client ID, Secret, and Base URL values.

  7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 를 사용할 수 있습니다..

hashtag
2단계: Panther에서 새로운 CrowdStrike Event Streams 소스 생성

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

  3. "CrowdStrike Event Streams"를 검색한 후 해당 타일을 클릭합니다.

  4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작. A "CrowdStrike Event Streams" page is shown. An arrow is drawn to a "Start Setup" button in the upper-right corner.

  5. 구성 페이지에서 소스에 대한 설명적인 이름 을 입력합니다.

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

  7. 자격 증명 페이지에서 양식을 작성합니다:

    • 클라이언트 Id: Panther에서 이전 단계에서 생성한 클라이언트 ID : 이전 단계에서 CrowdStrike에서 생성한 값입니다.

    • 클라이언트 시크릿: Panther에서 이전 단계에서 생성한 시크릿 : 이전 단계에서 CrowdStrike에서 생성한 값입니다.

    • 클라이언트 클라우드: App Id에 표시된 리전을 선택하세요. 기본 URL : 이전 단계에서 CrowdStrike에서 생성한 값입니다.

    • 앱 Id: 연결을 식별할 레이블을 입력하세요.

      • 최대 20자의 영숫자 문자(a-z, A-Z, 0-9)가 허용됩니다.

    • 회원 Cid (선택 사항): CrowdStrike 클라이언트 Id와 시크릿이 여러 CID에 접근 권한이 있는 경우를 위해 고객 ID(CID) 선택기를 선택적으로 입력하세요.The text at the top reads, "Fill in the form below with your credentials." Below are various form fields, like Client Id and Client Secret.

  8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정. 성공 화면으로 이동합니다:

    The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

    • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의arrow-up-right.

    • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

      The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
지원되는 로그 유형

hashtag
Crowdstrike.EventStreams

Crowdstrike.EventStreams 로그는 Falcon 센서가 호스트에서 관찰한 활동을 나타내며 Falcon 콘솔의 아래에는 데이터 익스플로러에서 작성한 검색을 저장하는 방법에 대한 지침이 나와 있습니다. 또한 대시보드 및 검색에 표시됩니다.

이전CrowdStrike Falcon 데이터 복제기다음Docker 로그

마지막 업데이트

도움이 되었나요?