Este documento tem como objetivo fornecer um guia para a instalação, configuração e coleta de logs do CROWDSTRIKE Falcon.
Para coletar os logs o falcon possui um conector, a versão do conector disponível no portal https://falcon.crowdstrike.com/login/ pode ser usada. O Fábricante disponibliza o conector para Linux e Windows:
1 - Log into the Falcon Console
2 - Go to Support > Tool Downloads.
3 - Download the Falcon SIEM Connector for your OS (Windows or Linux).
4 - Install the SIEM Connector
5 - On Windows, run the installer and follow the setup wizard.
6 - On Linux, extract the downloaded file and run
1 - pré-requisito: Docker instalado na HIN.
2 - Baixe o pacote com o conector na HIN:
Falcon-CrowdStrike-SIEM-Connector-main
3 - No arquivo cs.falconhoseclient.cfg.template confirme a configuração abaixo:
[Syslog]
send_to_syslog_server = true
host = localhost
port = 5141
protocol = udp
4 - No arquivo .env inclua as credenciais da API.
5 - Crie a pipeline no logstash para o input udp na porta 5141 ou outra caso a indicada já esteja em uso.
6 - execute o container docker com o comando docker compose up -d