概要
CrowdStrike は、エンドポイント、ワークロード、データ、アイデンティティを包括的に視覚化し、保護することで、侵害、ランサムウェア、サイバー攻撃を阻止するシングルエージェントソリューションです。
CrowdStrike インテグレーションにより、CrowdStrike の検出イベントやアラートを Datadog のログとしてリアルタイムに収集することができます。
セットアップ
インストール
インストールは必要ありません。
構成
イベントストリーミングの有効化
イベントストリームに接続する前に、CrowdStrike のサポートチームに連絡して、顧客アカウントで API のストリーミングを有効にしてください。
CrowdStrike のアカウントに接続する
ストリーミングを有効にしたら、CrowdStrike に新しい API クライアントを追加します。
- Falcon コンソールにサインインします。
- Support > API Clients and Keys に移動します。
- Add new API client をクリックします。
- Falcon および API アクションログで API クライアントを識別する、説明的なクライアント名を入力します (例えば、
Datadog など) - オプションで、API クライアントの使用目的などの説明を入力します。
- すべての API スコープで Read アクセスを選択します。
- Add をクリックします。
ログ収集の有効化
Datadog の CrowdStrike インテグレーションタイルに API クライアントの詳細を追加します。
- Connect a CrowdStrike Account をクリックします。
- API クライアント ID、クライアントシークレット、API ドメインをコピーします。
- オプションで、カンマで区切られたタグのリストを入力します。
- Submit をクリックします。
数分後、Crowdstrike Log Overview ダッシュボードに crowdstrike というソースのログが表示されます。
収集データ
メトリクス
CrowdStrike インテグレーションには、メトリクスは含まれません。
イベント
CrowdStrike インテグレーションにより、Datadog は以下のイベントを取り込むことができるようになります。
- 検出の概要
- ファイアウォールマッチ
- アイデンティティ保護
- Idp 検出の概要
- インシデント概要
- 認証イベント
- 検出ステータスの更新
- アップロードされた IoC
- ネットワーク封じ込めイベント
- IP 許可リストのイベント
- ポリシー管理イベント
- CrowdStrike ストアアクティビティ
- リアルタイム応答セッションの開始/終了
- イベントストリームの開始/停止
これらのイベントは Crowdstrike Log Overview ダッシュボードに表示されます。
サービスチェック
CrowdStrike インテグレーションには、サービスのチェック機能は含まれません。
トラブルシューティング
ご不明な点は、Datadog のサポートチームまでお問合せください。
