概要

CrowdStrike は、エンドポイント、ワークロード、データ、アイデンティティを包括的に視覚化し、保護することで、侵害、ランサムウェア、サイバー攻撃を阻止するシングルエージェントソリューションです。

CrowdStrike インテグレーションにより、CrowdStrike の検出イベントやアラートを Datadog のログとしてリアルタイムに収集することができます。

セットアップ

インストール

インストールは必要ありません。

構成

イベントストリーミングの有効化

イベントストリームに接続する前に、CrowdStrike のサポートチームに連絡して、顧客アカウントで API のストリーミングを有効にしてください。

CrowdStrike のアカウントに接続する

ストリーミングを有効にしたら、CrowdStrike に新しい API クライアントを追加します。

  1. Falcon コンソールにサインインします。
  2. Support > API Clients and Keys に移動します。
  3. Add new API client をクリックします。
  4. Falcon および API アクションログで API クライアントを識別する、説明的なクライアント名を入力します (例えば、Datadog など)
  5. オプションで、API クライアントの使用目的などの説明を入力します。
  6. すべての API スコープで Read アクセスを選択します。
  7. Add をクリックします。

ログ収集の有効化

Datadog の CrowdStrike インテグレーションタイルに API クライアントの詳細を追加します。

  1. Connect a CrowdStrike Account をクリックします。
  2. API クライアント ID、クライアントシークレット、API ドメインをコピーします。
  3. オプションで、カンマで区切られたタグのリストを入力します。
  4. Submit をクリックします。

数分後、Crowdstrike Log Overview ダッシュボードcrowdstrike というソースのログが表示されます。

収集データ

メトリクス

CrowdStrike インテグレーションには、メトリクスは含まれません。

イベント

CrowdStrike インテグレーションにより、Datadog は以下のイベントを取り込むことができるようになります。

  • 検出の概要
  • ファイアウォールマッチ
  • アイデンティティ保護
  • Idp 検出の概要
  • インシデント概要
  • 認証イベント
  • 検出ステータスの更新
  • アップロードされた IoC
  • ネットワーク封じ込めイベント
  • IP 許可リストのイベント
  • ポリシー管理イベント
  • CrowdStrike ストアアクティビティ
  • リアルタイム応答セッションの開始/終了
  • イベントストリームの開始/停止

これらのイベントは Crowdstrike Log Overview ダッシュボードに表示されます。

サービスチェック

CrowdStrike インテグレーションには、サービスのチェック機能は含まれません。

トラブルシューティング

ご不明な点は、Datadog のサポートチームまでお問合せください。