配置第三方响应操作

在 CrowdStrike 中启用 API 访问。 在 CrowdStrike 中创建一个 API 客户端以允许访问该系统。有关说明，请参阅 CrowdStrike 的文档。

• 为 API 客户端提供读取 CrowdStrike 数据以及对已注册主机执行操作所需的最低权限。考虑为读取数据和执行操作创建单独的 API 客户端，以限制每个 API 客户端允许的权限。

  • 要隔离和释放主机，API 客户端必须具有 Alerts 的 Read 访问权限，以及 Hosts 的 Read 和 Write 访问权限。

• 记下客户端 ID、客户端密钥和基本 URL；在后续步骤中，当您配置 Elastic Security 组件以访问 CrowdStrike 时，您将需要它们。

• 基本 URL 因您的 CrowdStrike 帐户类型而异

  • US-1：https://api.crowdstrike.com
  • US-2：https://api.us-2.crowdstrike.com
  • EU-1：https://api.eu-1.crowdstrike.com
  • US-GOV-1：https://api.laggar.gcw.crowdstrike.com

安装 CrowdStrike 集成和 Elastic Agent。 Elastic 的 CrowdStrike 集成 收集并将日志提取到 Elastic Security 中。

1. 在导航菜单中找到 集成，或使用全局搜索字段，搜索并选择 CrowdStrike，然后选择 添加 CrowdStrike。

2. 使用 集成名称 和可选的 描述 配置集成。

3. 选择 通过 API 收集 CrowdStrike 日志，然后输入所需的 设置

   • 客户端 ID：用于读取 CrowdStrike 数据的 API 客户端的客户端 ID。
   • 客户端密钥：允许您访问 CrowdStrike 的客户端密钥。
   • URL：CrowdStrike API 的基本 URL。

4. 在 通过 API 收集 CrowdStrike 日志 下选择 Falcon Alerts 和 主机 子选项。

5. 向下滚动并在 新代理策略名称 中输入代理策略的名称。如果已存在其他代理策略，您可以单击 现有主机 选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息，请参阅Elastic Agent 策略。

6. 单击 保存并继续。

7. 选择 将 Elastic Agent 添加到您的主机 并继续执行 Elastic Agent 安装步骤 以在您网络中的资源（例如服务器或 VM）上安装 Elastic Agent。 Elastic Agent 将充当从 CrowdStrike 收集数据并将其发送回 Elastic Security 的桥梁。

创建 CrowdStrike 连接器。 Elastic 的 CrowdStrike 连接器 使 Elastic Security 能够在 CrowdStrike 注册的主机上执行操作。

1. 在导航菜单中找到 连接器，或使用全局搜索字段，然后选择 创建连接器。

2. 选择 CrowdStrike 连接器。

3. 输入配置信息

   • 连接器名称：用于标识连接器的名称。
   • CrowdStrike API URL：CrowdStrike API 的基本 URL。
   • CrowdStrike 客户端 ID：用于在 CrowdStrike 中执行操作的 API 客户端的客户端 ID。
   • 客户端密钥：允许您访问 CrowdStrike 的客户端密钥。

4. 单击 保存。

创建并启用检测规则以生成 Elastic Security 警报。 （可选）创建 检测规则 以根据 CrowdStrike 事件和数据生成 Elastic Security 警报。 CrowdStrike 集成文档 列出了可用于构建规则查询的可用提取的日志和字段。

这使您可以了解 CrowdStrike 的情况，而无需离开 Elastic Security。您可以通过使用警报详细信息弹出窗口中的 采取操作 菜单，直接从规则创建的警报执行支持的端点响应操作。

在 Microsoft Azure 中创建 API 访问信息。 在您的 Azure 域中创建两个新应用程序，并授予它们以下最低 API 权限

• Microsoft Defender for Endpoint Fleet 集成策略：读取警报数据的权限 (Windows Defender ATP: Alert.Read.All)。
• Microsoft Defender for Endpoint 连接器：读取机器信息以及隔离和释放机器的权限 (Windows Defender ATP: Machine.Isolate 和 Machine.Read.All)。

有关创建新 Azure 应用程序的详细信息，请参阅 Microsoft Defender for Endpoint 集成文档 或 Microsoft 的文档。

创建应用程序后，记下每个应用程序的客户端 ID、客户端密钥和租户 ID；在后续步骤中，当您配置 Elastic Security 组件以访问 Microsoft Defender for Endpoint 时，您将需要它们。

安装 Microsoft Defender for Endpoint 集成和 Elastic Agent。 Elastic 的 Microsoft Defender for Endpoint 集成 收集并将日志提取到 Elastic Security 中。

1. 在导航菜单中找到 集成，或使用全局搜索字段，搜索并选择 Microsoft Defender for Endpoint，然后选择 添加 Microsoft Defender for Endpoint。
2. 输入 集成名称。 输入 描述 是可选的。
3. 确保已选择 Microsoft Defender for Endpoint 日志，然后输入 客户端 ID、客户端密钥 和 租户 ID 的所需值。
4. 向下滚动并在 新代理策略名称 中输入代理策略的名称。如果已存在其他代理策略，您可以单击 现有主机 选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息，请参阅Elastic Agent 策略。
5. 单击 保存并继续。
6. 选择 将 Elastic Agent 添加到您的主机 并继续执行 Elastic Agent 安装步骤 以在您网络中的资源（例如服务器或 VM）上安装 Elastic Agent。 Elastic Agent 将充当桥梁，从 Microsoft Defender for Endpoint 收集数据并将其发送回 Elastic Security。

创建 Microsoft Defender for Endpoint 连接器。 Elastic 的 Microsoft Defender for Endpoint 连接器使 Elastic Security 能够在 Microsoft Defender 注册的主机上执行操作。

1. 在导航菜单中找到 连接器，或使用全局搜索字段，然后选择 创建连接器。

2. 选择 Microsoft Defender for Endpoint 连接器。

3. 输入配置信息

   • 连接器名称：用于标识连接器的名称。
   • 应用程序客户端 ID：在步骤 1 中创建的客户端 ID。
   • 租户 ID：在步骤 1 中创建的租户 ID。
   • 客户端密钥值：在步骤 1 中创建的客户端密钥。

4. （可选）如有必要，调整为其他配置参数填充的默认值。

5. 单击 保存。

创建并启用检测规则以生成 Elastic Security 警报。 创建 检测规则 以根据 Microsoft Defender for Endpoint 事件和数据生成 Elastic Security 警报。

这使您可以了解 Microsoft Defender 主机的情况，而无需离开 Elastic Security。您可以通过使用警报详细信息弹出窗口中的 采取操作 菜单，直接从规则创建的警报执行支持的端点响应操作。

创建规则时，您可以针对包含 Microsoft Defender 机器 ID 字段的任何事件。 使用以下一个或多个索引模式

• logs-microsoft_defender_endpoint.log-*
• logs-m365_defender.alert-*
• logs-m365_defender.incident-*
• logs-m365_defender.log-*
• logs-m365_defender.event-*

在 SentinelOne 中生成 API 访问令牌。 您将在后续步骤中需要这些令牌，它们允许 Elastic Security 收集数据并在 SentinelOne 中执行操作。

在 SentinelOne 中创建两个 API 令牌，并为将使用它们的 Elastic 组件提供所需的最低权限

• SentinelOne 集成：读取 SentinelOne 数据的权限。
• SentinelOne 连接器：允许读取 SentinelOne 数据并对已注册的主机执行操作（例如，隔离和释放端点）。

有关生成 API 令牌的详细信息，请参阅 SentinelOne 集成文档 或 SentinelOne 的文档。

安装 SentinelOne 集成和 Elastic Agent。Elastic 的 SentinelOne 集成 收集日志并将日志提取到 Elastic Security 中。

1. 在导航菜单中找到 集成，或者使用全局搜索字段，搜索并选择 SentinelOne，然后选择 添加 SentinelOne。

2. 使用 集成名称 和可选的 描述 配置集成。

3. 确保已选中 通过 API 收集 SentinelOne 日志，然后输入所需的 设置

   • URL: SentinelOne 控制台 URL。
   • API 令牌：您之前生成的 SentinelOne API 访问令牌，具有读取 SentinelOne 数据的权限。

4. 向下滚动并在 新代理策略名称 中输入代理策略的名称。如果已存在其他代理策略，您可以单击 现有主机 选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息，请参阅Elastic Agent 策略。

5. 单击 保存并继续。

6. 选择 将 Elastic Agent 添加到您的主机 并继续执行 Elastic Agent 安装步骤，以便在网络中的资源（例如服务器或 VM）上安装 Elastic Agent。Elastic Agent 将充当桥梁，从 SentinelOne 收集数据并将其发送到 Elastic Security。

创建 SentinelOne 连接器。Elastic 的 SentinelOne 连接器 使 Elastic Security 能够对 SentinelOne-enrolled 主机执行操作。

1. 在导航菜单中找到 连接器，或使用全局搜索字段，然后选择 创建连接器。

2. 选择 SentinelOne 连接器。

3. 输入配置信息

   • 连接器名称：用于标识连接器的名称。
   • SentinelOne 租户 URL：SentinelOne 租户 URL。
   • API 令牌：您之前生成的 SentinelOne API 访问令牌，具有读取 SentinelOne 数据并对已注册主机执行操作的权限。

4. 单击 保存。

创建并启用检测规则以生成 Elastic Security 警报。创建检测规则，以基于 SentinelOne 事件和数据生成 Elastic Security 警报。

这样您无需离开 Elastic Security 即可了解 SentinelOne 的可见性。 通过使用警报详细信息浮出控件中的 采取行动 菜单，您可以直接从规则创建的警报执行受支持的端点响应操作。

创建规则时，您可以定位包含 SentinelOne 代理 ID 字段的任何事件。使用以下一个或多个索引模式