通过扩大与 CrowdStrike 的合作关系，增强客户与 Cloudflare 电子邮件安全和 Zero Trust 的集成

今天，我们很高兴扩展最近发布的统一风险态势公告，提供关于 Cloudflare 与 CrowdStrike 集成的更多最新信息。我们之前曾分享过，通过统一第一方数据和第三方数据、原生威胁情报、人工智能和工作流程自动化，Cloudflare 与 CrowdStrike Falcon Next-Gen SIEM 集成可以进行更深入的分析和进一步调查，从而让安全团队专注于重要事项。

本博客文章将阐述 Falcon Next-Gen SIEM 如何帮助客户识别和调查存在风险的用户行为，并结合其他日志源分析数据，发现隐藏的威胁。通过利用 Cloudflare 与 CrowdStrike 集成，组织能够更好地管理风险并果断采取措施阻止网络攻击。

通过利用 Cloudflare 与 CrowdStrike 集成，组织可以将 Cloudflare 电子邮件安全和 Zero Trust 日志记录功能与 CrowdStrike 的仪表板和自定义工作流程相结合，改善对运行环境的监测并修复潜在威胁。 Happy Cog 目前正利用二者的集成，这是一家提供全方位服务的数字代理机构。其联合创始人兼总裁 Matthew Weinberg 表示：

“Cloudflare 强大的 Zero Trust 功能与 CrowdStrike Falcon Next-Gen SIEM 的集成，让组织能够更全面地了解威胁形势，并采取措施来缓解当今各种安全挑战带来的内部和外部风险。”

利用 Cloudflare 电子邮件安全的可配置策略，组织现在可以将入侵指标 (IoC) 警报推送到 Falcon Next-Gen SIEM，让分析师收到关于可疑活动的通知，例如用户与网络钓鱼邮件互动。通过在检测到可疑活动后主动向分析师发送警报通知，Cloudflare 与 CrowdStrike 可以及早发现帐户入侵或内部威胁。

我们还将 Cloudflare Zero Trust 平台与 Falcon Next-Gen SIEM 集成。这让双方的共同客户能够将 Cloudflare Zero Trust 日志从 Cloudflare Access 和 Cloudflare Gateway 推送到 Falcon Next-Gen SIEM，改善数据可视化、分析和补救。通过此集成，可以将 Cloudflare 日志用于自定义和增强 Falcon Next-Gen SIEM 检测，并触发 CrowdStrike 工作流程自动配置响应操作。一个示例工作流程：如果新检测到的用户访问请求被视为欺诈，或者用户正在访问存在风险的网站，Falcon 平台可能会触发 Cloudflare 将该用户移至受影响的用户组并应用自适应访问控制策略，例如访问隔离或隔离该用户。

若要连接 Cloudflare Zero Trust 日志，请从 Falcon Next-Gen SIEM 模块开始。导航到 Falcon Next-Gen SIEM 仪表板的“数据连接器”选项卡，然后选择 Cloudflare 数据连接器。

为连接器命名并选择“保存”，您将会收到两则信息：一个 API 密钥，以及一个 API URL。请务必记下该密钥，因为它只会显示一次。

接着，在 Cloudflare 中，通过 API 创建一个 HTTP Logpush 作业，并将“destination_conf”字段设置为如下格式：

"destination_conf": "<API URL>?header_Authorization=Bearer%20<API KEY>&tags=<ZONE>,dataset:<DATASET>"

注意： 

• 对于帐户级 Logpush 作业，<ZONE> 是选填字段 

• <DATASET> 遵循点分隔语法，因此，http_requests 会变成 http.requests

创建并激活作业后，您将会看到 Falcon 仪表板的“我的连接器”部分中填充的事件。Cloudflare 数据填充到 Falcon Next-Gen SIEM 后，此时，您便可以根据 Cloudflare 日志事件来搜索事件，以及创建 Falcon Fusion SOAR 自动化工作流程和关联规则。

CrowdStrike 与 Cloudflare 两者的共享遥测数据将进一步缩短遏制威胁的平均时间，并提高组织果断应对其环境中的风险的能力。这两个平台团结一致、通力合作，让组织能够阻止可疑活动并向安全分析师发送高保真警报，供其进行进一步的调查。

如需进一步了解这些集成，请随时联系我们并开始咨询。我们可以讨论贵组织的现有环境，确保您做好充分准备，改善新兴威胁监测并改进补救措施。