Aufzeichnungen von ExtraHop an CrowdStrike Falcon LogScale senden
Sie können Ihr ExtraHop Reveal (x) Enterprise-System so konfigurieren, dass Datensätze auf Transaktionsebene zur langfristigen Speicherung an ein CrowdStrike Falcon LogScale-Repository gesendet werden und diese Datensätze dann vom ExtraHop-System und der ExtraHop REST-API abgefragt werden.
Hier sind einige wichtige Überlegungen zur Aktivierung eines LogScale-Repositorys als Recordstore:
- Die Menge an Recordstore-Lookback, die abgefragt werden kann, wird bestimmt durch Einstellungen für die Datenspeicherung konfiguriert für Ihr LogScale-System.
- Sie können für jeden ExtraHop-Sensor ein separates LogScale-Repository aktivieren.
- Von einer ExtraHop-Konsole aus können Sie Datensätze aus LogScale-Repositorys auf allen verbundenen ExtraHop-Sensoren abfragen, sofern diese Repositorys derselben LogScale-Ansicht zugeordnet sind.
- Wenn alle ExtraHop-Sensoren Datensätze an dasselbe Repository senden, können Sie Recordstore-Einstellungen übertragen und verwalten Sie alle Sensoren von der ExtraHop-Konsole aus.
- Alle Trigger, die für das Senden von Datensätzen konfiguriert sind commitRecord zu einem Recordstore werden automatisch zum LogScale-Repository umgeleitet. Es ist keine weitere Konfiguration erforderlich.
Aktiviere LogScale als Recordstore
Before you begin
- Ihr ExtraHop-System muss für den LogScale Recordstore lizenziert sein.
- Auf Ihrem ExtraHop-System muss die Reveal (x) Enterprise-Firmware-Version 9.5 oder höher ausgeführt werden.
- Auf jeder Konsole und allen angeschlossenen Sensoren muss dieselbe ExtraHop-Firmware-Version ausgeführt werden.
- Ihr ExtraHop-Benutzerkonto muss System- und Zugriffsadministrationsrechte.
- Ihr LogScale-System muss Version 1.111.0 oder höher haben.
- Ihr LogScale-Benutzerkonto muss über Administratorrechte verfügen.
- Sie müssen über ein LogScale-Ingest-Token verfügen, das einem Repository oder einem Organisationstoken zugeordnet ist, das die Berechtigung zum Ingest in allen Repositorys innerhalb der Organisation beinhaltet.
- Sie benötigen ein LogScale-View-Token, das die Zugriffsberechtigung zum Lesen von Daten beinhaltet.
Recordstore-Einstellungen übertragen
Wenn du einen ExtraHop hast Konsole Wenn Sie an Ihre ExtraHop-Sensoren angeschlossen sind, können Sie die Recordstore-Einstellungen auf dem Sensor konfigurieren und verwalten oder die Verwaltung der Einstellungen an den Konsole. Durch die Übertragung und Verwaltung der Recordstore-Einstellungen auf der Konsole können Sie die Recordstore-Einstellungen für mehrere Sensoren auf dem neuesten Stand halten.
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?