輕鬆將 商務用 Microsoft Edge 資料擷取到 CrowdStrike Falcon® 下一代 SIEM 中,以實現跨端點、瀏覽器等的統一可見性。 查看瀏覽器安全見解以及其他威脅指標,以加速偵測、最大限度地減少上下文切換並提高分類準確性。
此資料連接器所產生的事件類型:
- 瀏覽器擴充功能安裝: 當使用者安裝新的瀏覽器擴充功能時產生。
- 密碼事件: 當使用者建立或更新密碼時產生,該密碼會在多個網站重複使用,或已在已知資料外洩中暴露。
- 插頁式導航事件: 當使用者嘗試導航到標記為惡意的網站(例如網路釣魚、惡意軟體或欺騙性內容)時產生。
必要條件
- 具有管理員或連接器管理員權限存取 Falcon 控制台
- 有效的 CrowdStrike Falcon 下一代 SIEM 或下一代 SIEM 10GB 訂閱
- 透過 Microsoft 365 系統管理中心管理的商務商務用 Microsoft Edge
- 可用的 CrowdStrike 雲端:US-1、US-2、EU-1 或 US-GOV-1
- Microsoft 365 系統管理中心的管理員存取權
Falcon 控制台設置
1. 設定並啟用商務用 Microsoft Edge 資料連接器
在 Falcon 控制台中,導航至:
Data Connectors > Data Connectors > Data Connections按一下 + 新增連線。
篩選或排序以尋找:
- 連接器名稱:商務用 Microsoft Edge 資料連接器
- 廠商:Microsoft
- 產品:Microsoft Edge 瀏覽器
- 連接器類型:推入式
- 作者:Microsoft
在 [新增連線 ] 對話方塊中,檢閱中繼資料,然後按一下 [設定]。
如果提示生產前狀態警告,請按一下 [接受] 以繼續。
提供 名稱 和選用 說明,接受 條款與條件,然後按一下「 儲存」。
儲存後,請返回
Data Connectors > Data Connectors > Data Connections,按一下聯結器旁的功能表 (⋮) ,然後選取 產生API金鑰。重要事項:複製並安全地儲存 API 金鑰 和 API URL。 這些值只會顯示一次,而且是 Microsoft 365 安裝程式所必需的。
在 Microsoft 365 系統管理中心設定連接器
2. 設定 Microsoft Edge 原則和連接器認證
赴: https://admin.microsoft.com
- 系統管理員必須設定設定原則,以指派給任何連接器設定。 請遵循本指南來建立設定原則。
- 建立至少一個組態原則後,請造訪 Edge 管理服務中的連接器頁面 ,以存取 Edge 管理服務中的連接器頁面。
導覽至:
Show all > Settings > Microsoft Edge在 [Microsoft Edge 的原則] 頁面上:
- 選取 [ 組態原則 ] 索引標籤
- 按一下 建立原則
- 為您的政策命名
- 原則類型:雲端
- 平台:Windows 10 和 11
- 指派給使用者群組或所有使用者
- 檢閱並建立
導覽至 [連接器] 索引標籤。
在 CrowdStrike 圖塊中,按一下 設定。
選取上面建立的原則,然後輸入:
- URL:從 Falcon 控制台貼上 API URL
-
港口:
443 - API 金鑰:貼上產生的 API 金鑰
按一下 [測試連線] 以驗證連線成功。
在「 使用者 & 瀏覽器事件」下,選取要轉寄的事件型別,包括:
- 擴充安裝
- 密碼事件
- 插頁式導覽事件
按一下 儲存組態。
驗證設定
3. 確認資料攝取到 Falcon 下一代 SIEM 中
注意
在連接器設定後至少等待 15 分鐘,再驗證擷取。
在 Falcon 控制台中,返回:
Data Connectors > Data Connectors > Data Connections確認 [狀態] 資料行顯示為 [作用中]。
按一下 「動作」下方的功能表 (⋮) ,然後選取「 顯示事件」。
在 進階事件搜尋中,執行查詢以確認事件出現:
如果您需要手動驗證資料擷取,請執行此查詢,並確認至少產生一個相符專案
#Vendor = "microsoft" | #event.module = "edge"