CrowdStrike 커넥터 설정

엔드포인트, 브라우저 및 그 너머에서 통합된 가시성을 위해 비즈니스용 Microsoft Edge 데이터를 CrowdStrike Falcon® Next-Gen SIEM에 쉽게 수집합니다. 다른 위협 지표와 함께 브라우저 보안 인사이트를 확인하여 검색을 가속화하고, 컨텍스트 전환을 최소화하며, 심사 정확도를 개선합니다.

이 데이터 커넥터에서 생성된 이벤트 유형:

• 브라우저 확장 설치: 사용자가 새 브라우저 확장을 설치할 때 생성됩니다.
• 암호 이벤트: 사용자가 여러 사이트에서 다시 사용되거나 알려진 데이터 위반에 노출된 암호를 만들거나 업데이트할 때 생성됩니다.
• 중간 탐색 이벤트: 사용자가 피싱, 맬웨어 또는 기만적인 콘텐츠와 같이 악의적인 플래그가 지정된 웹 사이트로 이동하려고 할 때 생성됩니다.

필수 구성 요소

• 관리자 또는 커넥터 관리자 권한이 있는 Falcon 콘솔 에 대한 액세스
• 유효한 CrowdStrike Falcon Next-Gen SIEM 또는 Next-Gen SIEM 10GB 구독
• Microsoft 365 관리 센터를 통해 관리되는 비즈니스용 Microsoft Edge
• 사용 가능한 CrowdStrike 클라우드: US-1, US-2, EU-1 또는 US-GOV-1
• Microsoft 365 관리 센터에 대한 액세스 관리

Falcon 콘솔 설정

1. 비즈니스용 Microsoft Edge 데이터 커넥터 구성 및 활성화

1. Falcon 콘솔에서 다음으로 이동합니다.
   Data Connectors > Data Connectors > Data Connections

2. + 연결 추가를 클릭합니다.

3. 필터링하거나 정렬하여 찾습니다.

   • 커넥터 이름: 비즈니스용 Microsoft Edge Data Connector
   • 공급업체: Microsoft
   • 제품: Microsoft Edge 브라우저
   • 커넥터 유형: 푸시
   • 작성자: Microsoft

4. 새 연결 대화 상자에서 메타데이터를 검토하고 구성을 클릭합니다.

5. 사전 프로덕션 상태 경고가 표시되면 수락 을 클릭하여 계속합니다.

6. 이름 및 선택적 설명을 제공하고 사용 약관에 동의한 다음 저장을 클릭합니다.

7. 저장되면 로 돌아가 Data Connectors > Data Connectors > Data Connections커넥터 옆에 있는 메뉴(⋮)를 클릭하고 API 키 생성을 선택합니다.

8. 중요: API 키 및 API URL을 복사하고 안전하게 저장합니다. 이러한 값은 한 번만 표시되며 Microsoft 365 설정에 필요합니다.

Microsoft 365 관리 센터에서 커넥터 구성

2. Microsoft Edge 정책 및 커넥터 자격 증명 구성

1. 로 가다: https://admin.microsoft.com

   • 관리자는 커넥터 구성에 할당할 구성 정책을 설정해야 합니다. 이 가이드에 따라 구성 정책을 만듭니다.
   • 하나 이상의 구성 정책을 만든 후에 는 Edge 관리 서비스의 커넥터 페이지를 방문하여 Edge 관리 서비스의 커넥터 페이지에 액세스합니다.

2. 다음으로 이동합니다.
   Show all > Settings > Microsoft Edge

3. Microsoft Edge 정책 페이지에서 다음을 수행합니다.

   • 구성 정책 탭 선택
   • 정책 만들기를 클릭합니다.
   • 정책 이름 지정
   • 정책 유형: 클라우드
   • 플랫폼: Windows 10 및 11
   • 사용자 그룹 또는 모든 사용자에게 할당
   • 검토 및 만들기

4. 커넥터 탭으로 이동합니다.

5. CrowdStrike 타일에서 설정을 클릭합니다.

6. 위에서 만든 정책을 선택하고 다음을 입력합니다.

   • URL: Falcon 콘솔에서 API URL 붙여넣기
   • 포트: 443
   • API 키: 생성된 API 키 붙여넣기

7. 연결 테스트를 클릭하여 성공적인 연결을 확인합니다.

8. 사용자 & 브라우저 이벤트에서 다음을 포함하여 전달할 이벤트 유형을 선택합니다.

   • 확장 설치
   • 암호 이벤트
   • 중간 탐색 이벤트

9. 구성 저장을 클릭합니다.

설치 확인

3. Falcon Next-Gen SIEM에 대한 데이터 수집 확인

1. Falcon 콘솔에서 다음으로 돌아갑니다.
   Data Connectors > Data Connectors > Data Connections

2. 상태 열이 활성으로 읽는지 확인합니다.

3. 작업에서 메뉴(⋮)를 클릭한 다음 이벤트 표시를 선택합니다.

4. 고급 이벤트 검색에서 쿼리를 실행하여 이벤트가 표시되는지 확인합니다.

데이터 수집을 수동으로 확인해야 하는 경우 이 쿼리를 실행하고 하나 이상의 일치 항목이 생성되었는지 확인합니다.

#Vendor = "microsoft" | #event.module = "edge"