今天,我們很高興能夠擴展我們最近的一致風險狀態公告,提供有關我們與 CrowdStrike 最新整合的更多資訊。我們之前曾分享過,我們的 CrowdStrike Falcon Next-Gen SIEM 整合可以透過統一第一方和第三方資料、原生威脅情報、人工智慧和工作流程自動化,允許客戶進行更深入的分析和進一步調查,從而讓您的安全團隊能夠專注於重要的工作。
這篇文章說明了 Falcon Next-Gen SIEM 如何幫助客戶識別和調查有風險的使用者行為,並結合其他記錄來源分析資料以發現隱藏的威脅。透過結合 Cloudflare 和 CrowdStrike,組織可以更好地管理風險並果斷採取行動阻止網路攻擊。
透過利用 Cloudflare 和 CrowdStrike 的組合功能,組織可以將 Cloudflare 的電子郵件安全性和 Zero Trust 記錄功能與 CrowdStrike 的儀表板和自訂工作流程相結合,以更好地瞭解其環境並修復潛在威脅。Happy Cog 是一家提供全方位服務的數位機構,目前就利用了這項整合。共同創辦人兼總裁 Matthew Weinberg 表示:
「將 Cloudflare 強大的 Zero Trust 功能與 CrowdStrike Falcon Next-Gen SIEM 整合,讓組織能夠更全面地瞭解威脅情勢,並採取行動來緩解當今網路安全挑戰所帶來的內外部風險。」
Cloudflare 電子郵件安全性與 Falcon Next-Gen SIEM
利用 Cloudflare 電子郵件安全性的可設定原則,組織現在可以將入侵指標 (IoC) 警示推送至 Falcon Next-Gen SIEM,從而將可疑活動通知分析師,例如使用者與網路釣魚電子郵件互動。透過在偵測到可疑活動時主動提醒分析師,Cloudflare 和 CrowdStrike 可以及早偵測帳戶入侵或內部人員威脅。
Cloudflare Zero Trust 記錄與 Falcon Next-Gen SIEM
我們還將 Cloudflare 的 Zero Trust 平台與 Falcon Next-Gen SIEM 整合。這樣,我們的共同客戶可以將 Cloudflare Zero Trust 記錄從 Cloudflare Access 和 Cloudflare Gateway 推送到 Falcon Next-Gen SIEM,以實現更好的視覺化、分析和補救。這一整合允許使用 Cloudflare 記錄來自訂和增強 Falcon Next-Gen SIEM 偵測,並觸發 CrowdStrike 工作流程以自動設定回應動作。工作流程範例:基於一個新偵測,一個使用者的存取要求被視為欺詐,或者如果使用者正在存取有風險的網站,Falcon 平台可以觸發 Cloudflare 工作流程,將使用者移動到受影響的使用者群組並套用適應性存取控制原則,例如存取隔離或隔離使用者。
如何開始使用
若要連線 Cloudflare Zero Trust 記錄,請從 Falcon Next-Gen SIEM 模組開始。導覽至 Falcon Next-Gen SIEM 儀表板的 [資料連接器] 索引標籤,然後選擇 Cloudflare 資料連接器。
為連接器命名並選取「儲存」,您將收到兩條資訊:API 金鑰和 API URL。請務必記下金鑰,因為它只會顯示一次。
接下來,在 Cloudflare 中,建立一個透過 API 進行 HTTP logpush 工作,並按以下方式設定「destination_conf」欄位的格式:
"destination_conf": "<API URL>?header_Authorization=Bearer%20<API KEY>&tags=<ZONE>,dataset:<DATASET>"
注意:
<ZONE> 對於帳戶層級 logpush 工作是可選的
<DATASET> 遵循點分隔語法,因此
http_requests
會變成http.requests
一旦工作建立並處於作用中狀態,您將開始看到事件填充在 Falcon 儀表板的 [我的連接器] 區段中。在 Falcon Next-Gen SIEM 中填入 Cloudflare 資料後,您現在可以搜尋事件並建立 Falcon Fusion SOAR 自動化工作流程和關聯規則,所有這些都基於 Cloudflare 記錄事件。
總結
CrowdStrike 和 Cloudflare 的共用遙測相結合,將進一步減少平均遏制時間,並提高任何組織果斷應對其環境中風險的能力。這兩個平台合二為一,讓組織能夠封鎖可疑活動,並向安全分析師提供高保真度警示,以便進一步調查。
若要深入瞭解這些整合,請隨時聯絡我們以開始諮詢。我們可以討論您的目前環境,並確保您做好充分準備,在面臨新興威脅時實現更好的可見度和補救。