Esplora le nuove funzionalità e i vantaggi del connettore dati CrowdStrike Falcon Data Replicator V2 ora disponibile su Microsoft Sentinel.
L’innovazione nel settore della cyber security procede senza sosta e, in tal contesto, assume un rilievo fondamentale l’introduzione del CrowdStrike Falcon Data Replicator V2 – una soluzione di punta per la protezione dei terminali di rete. Questo connettore dati è stato realizzato per essere integrato all’interno di Microsoft Sentinel, piattaforma leader nella gestione della sicurezza aziendale. L’obiettivo è parametro di riferimento per una gestione efficiente dei log di CrowdStrike FDR (Falcon Data Replicator), sfruttando un backend basato su Azure Function per una raccolta e un’ingestione dati ottimizzate.
Interfacciare la piattaforma CrowdStrike con Microsoft Sentinel apre le porte a una serie di miglioramenti notevoli, vediamone alcuni:
- Il connettore offre una scalabilità migliorata rispetto al volume dei dati, mantenendo alte le prestazioni di ingestione.
- Permette una maggiore ingestione di dati con il piano di consumo, ottimizzando così i costi.
- La normalizzazione al momento dell’ingestione è conforme al modello di dati ASIM, permettendo ai clienti di utilizzare varie soluzioni normalizzate e contenuti associati (analitiche, ricerca, quaderni di lavoro).
- L’analisi al momento della query è più rapida grazie alla suddivisione dei dati in tabelle multiple basate sulla categoria dell’evento (come rete, autenticazione, file, DNS e così via).
- È possibile includere anche dati secondari di CrowdStrike (come informazioni su app, asset, utenti ecc.) nell’ingestione.
- Supporta l’ingestione di log grezzi in aggiunta a quelli normalizzati, se necessario per scopi di conformità.
Avvicinandoci al cuore del suo funzionamento, il connettore dati si avvale di un’architettura che supporta la raccolta dei log di CrowdStrike direttamente da un bucket AWS S3, normalizzandoli di default nei relativi tavoli ASIM e, qualora selezionato, immagazzinando anche i log grezzi in tabelle personalizzate CrowdStrike. La configurazione di questa funzione nella pratica, è accessibile tramite una procedura guidata disponibile nella piattaforma Sentinel Content Hub.
L’implementazione del connettore dati presenta un approccio pratico e intuitivo. Occorre innanzitutto installare la soluzione da Content Hub, che provvederà a dispiegare i tre connettori dati nella galleria dei connettori. A questo punto, selezionando il connettore V2 sarà possibile accedere alla pagina del connettore dati e procedere con la configurazione guidata, specificando dettagli come i dati di AWS e Azure AD necessari per l’ingestione.
Un elemento cruciale da tenere in considerazione è l’EPS (eventi per secondo) atteso, che influenzerà la selezione del numero di istanze del connettore dati. Dopo il deployment, il connettore inizierà a raccogliere e inglobare i dati nell’area di lavoro di Microsoft Sentinel.
Ecco alcune considerazioni aggiuntive che potrebbero emergere:
- Il volume di dati che il connettore può processare è scalabile in base al volume di dati specifico del cliente.
- Per una stima accurata dell’EPS prodotto da CrowdStrike, si possono utilizzare parametri di default e, dopo un’analisi iniziale dei dati ingestiti, adeguare le impostazioni.
- Il processo di migrazione da versioni precedenti del connettore a CrowdStrike Falcon Data Replicator V2 richiede la sospensione dell’ingestione tramite il vecchio connettore e l’implementazione del nuovo.
Concludendo, il CrowdStrike Falcon Data Replicator V2 si presenta come una soluzione di assoluto interesse per le aziende che puntano a integrare la sicurezza dei loro endpoint con potenti strumenti analitici basati su Microsoft Sentinel, garantendo quindi una gestione dei dati di sicurezza all’altezza delle attuali minacce informatiche.