Collecter les journaux CrowdStrike Falcon

Ce document fournit des conseils sur les journaux CrowdStrike Falcon, comme suit:

  • Explique comment collecter des journaux CrowdStrike Falcon en configurant un flux Google Security Operations.
  • Explique comment les champs de journal CrowdStrike Falcon correspondent aux champs du modèle de données unifié (UDM) de Google SecOps.
  • Répertorie les types de journaux et d'événements CrowdStrike Falcon compatibles.

Pour en savoir plus, consultez la présentation de l'ingestion de données dans Google SecOps.

Avant de commencer

  • Assurez-vous de disposer des droits d'administrateur sur l'instance CrowdStrike pour installer le capteur d'hôte CrowdStrike Falcon.
  • Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
  • Assurez-vous que l'appareil fonctionne sur un système d'exploitation compatible.
    • Le système d'exploitation doit s'exécuter sur un serveur 64 bits. Microsoft Windows Server 2008 R2 SP1 est compatible avec les versions 6.51 ou ultérieures du capteur hôte CrowdStrike Falcon.
    • Les systèmes exécutant d'anciennes versions d'OS (par exemple, Windows 7 SP1) nécessitent la prise en charge de la signature de code SHA-2 sur leurs appareils.
  • Obtenez le fichier du compte de service Google SecOps et votre ID client auprès de l'équipe d'assistance Google SecOps.

Déployer CrowdStrike Falcon avec l'intégration du flux Google SecOps

Un déploiement typique comprend CrowdStrike Falcon et le flux Google SecOps configuré pour envoyer des journaux à Google SecOps. Votre déploiement peut différer du déploiement typique.

Le déploiement contient les composants suivants:

  • CrowdStrike Falcon Intelligence: produit CrowdStrike à partir duquel vous collectez des journaux.
  • Flux CrowdStrike Flux CrowdStrike qui extrait les journaux de CrowdStrike et les écrit dans Google SecOps.
  • CrowdStrike Intel Bridge: produit CrowdStrike qui collecte les informations de la source de données et les transfère à Google SecOps.
  • Google SecOps: plate-forme qui conserve et analyse les journaux de détection CrowdStrike. Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes en UDM. Les informations de ce document s'appliquent aux analyseurs CrowdStrike Falcon avec les libellés d'ingestion suivants :
    • CS_EDR
    • CS_DETECTS
    • CS_IOC L'analyseur d'IOC CrowdStrike est compatible avec les types d'indicateurs suivants :
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configurer un flux Google SecOps pour les journaux EDR CrowdStrike

Les procédures suivantes sont nécessaires pour configurer le flux.

Configurer un flux du réplicateur de données Falcon

Pour configurer un flux Falcon Data Replicator, procédez comme suit:

  1. Connectez-vous à la console CrowdStrike Falcon.
  2. Accédez à Applications d'assistance > Falcon Data Replicator.
  3. Cliquez sur Ajouter pour créer un flux Falcon Data Replicator. Cela génère un identifiant S3, une URL SQS et un code secret client.
  4. Utilisez les valeurs Flux, Identifiant S3, URL SQS et Secret client générées pour configurer le flux dans Google SecOps.

Pour en savoir plus, consultez Configurer le flux du réplicateur de données Falcon.

Configurer des flux d'ingestion

Vous pouvez utiliser Amazon SQS ou un bucket Amazon S3 pour configurer le flux d'ingestion dans Google SecOps. Amazon SQS est recommandé, mais Amazon S3 est également accepté.

Configurer un flux d'ingestion avec un bucket S3

Pour configurer un flux d'ingestion à l'aide d'un bucket S3, procédez comme suit:

  1. Connectez-vous à votre instance Google SecOps.
  2. Dans le menu de l'application , sélectionnez Settings (Paramètres) > Feeds (Flux).
  3. Cliquez sur Ajouter.
  4. Dans Type de source, sélectionnez Amazon S3.
  5. Dans Type de journal, sélectionnez CrowdStrike Falcon.
  6. En fonction du compte de service et de la configuration du bucket Amazon S3 que vous avez créés, spécifiez des valeurs pour les champs suivants:
    Champ Description
    region Région S3 associée à l'URI.
    S3 uri URI source du bucket S3.
    uri is a Type d'objet auquel l'URI fait référence.
    source deletion option Indique si les fichiers et les répertoires doivent être supprimés après le transfert.
    access key id Clé d'accès au compte, qui est une chaîne alphanumérique de 20 caractères (par exemple, AKIAOSFOODNN7EXAMPLE).
    secret access key Clé d'accès au compte, qui est une chaîne alphanumérique de 40 caractères (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY).
    oauth client id Identifiant OAuth public, spécifique au client.
    oauth client secret Code secret du client OAuth 2.0.
    oauth secret refresh uri URI d'actualisation du code secret du client OAuth 2.0.
    asset namespace Espace de noms auquel le flux sera associé.

Configurer un flux d'ingestion avec Amazon SQS

Pour configurer un flux d'ingestion avec Amazon SQS, procédez comme suit:

  1. Dans le menu de l'application , sélectionnez Settings (Paramètres) > Feeds (Flux).
  2. Cliquez sur Ajouter.
  3. Dans Source type (Type de source), sélectionnez Amazon SQS.
  4. Dans Type de journal, sélectionnez CrowdStrike Falcon.
  5. En fonction du compte de service et de la configuration Amazon SQS que vous avez créés, spécifiez les valeurs des champs suivants:
    Champ Description
    region Région S3 associée à l'URI.
    QUEUE NAME Nom de la file d'attente SQS à partir de laquelle lire les données.
    ACCOUNT NUMBER Numéro de compte SQS.
    source deletion option Indique si les fichiers et les répertoires doivent être supprimés après le transfert.
    QUEUE ACCESS KEY ID Clé d'accès au compte, qui est une chaîne alphanumérique de 20 caractères, par exemple AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Clé d'accès au compte, qui est une chaîne alphanumérique de 40 caractères, par exemple wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    asset namespace Espace de noms auquel le flux sera associé.
    submit Commande permettant d'envoyer le flux.

En cas de problème, contactez l'équipe d'assistance Google SecOps.

Configurer un flux Google SecOps pour les journaux CrowdStrike

Pour configurer un flux d'ingestion dans Google SecOps afin d'ingérer les journaux de surveillance de la détection CrowdStrike, procédez comme suit:

  1. Connectez-vous à la console CrowdStrike Falcon.
  2. Accédez à Support Apps (Applications d'assistance) > API Clients and Keys (Clients et clés API).
  3. Créez une paire de clés client API dans CrowdStrike Falcon. Cette paire de clés lit les événements et les informations supplémentaires de CrowdStrike Falcon.
  4. Accordez l'autorisation READ à Detections et Alerts lors de la création de la paire de clés.
  5. Connectez-vous à votre instance Google SecOps.
  6. Dans le menu de l'application , sélectionnez Settings (Paramètres) > Feeds (Flux).
  7. Cliquez sur Ajouter.
  8. Dans Type de source, sélectionnez API tierce.
  9. Dans Type de journal, sélectionnez CrowdStrike Detection Monitoring (Surveillance de la détection CrowdStrike).

En cas de problème, contactez l'équipe d'assistance Google SecOps.

Ingérer des journaux d'IOC CrowdStrike dans Google SecOps

Pour configurer l'ingestion de journaux dans Google SecOps pour les journaux d'indicateurs de compromission CrowdStrike, procédez comme suit:

  1. Créez une paire de clés client API dans CrowdStrike Falcon. Google SecOps Intel Bridge utilise cette paire de clés pour lire les événements et les informations supplémentaires de CrowdStrike Falcon. Pour en savoir plus, consultez CrowdStrike to Google SecOps Intel Bridge.
  2. Accordez l'autorisation READ à Indicators (Falcon Intelligence) lors de la création de la paire de clés.
  3. Configurez Google SecOps Intel Bridge en suivant la procédure décrite dans CrowdStrike vers Google SecOps Intel Bridge.

  4. Exécutez les commandes suivantes pour envoyer les journaux de CrowdStrike à Google SecOps, où sa.json correspond au fichier du compte de service Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.