CrowdStrike Falcon のログを収集する

このドキュメントでは、CrowdStrike Falcon ログに関するガイダンスを次のように提供します。

  • Google Security Operations フィードを設定して CrowdStrike Falcon のログを収集する方法について説明します。
  • CrowdStrike Falcon ログフィールドが Google SecOps 統合データモデル(UDM)フィールドにマッピングする方法について説明します。
  • サポートされている CrowdStrike Falcon のログタイプとイベントタイプを一覧表示します。

詳細については、Google SecOps へのデータの取り込みの概要をご覧ください。

始める前に

  • CrowdStrike Falcon ホストセンサーをインストールするために、CrowdStrike インスタンスに対する管理者権限があることを確認します。
  • デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
  • デバイスが、サポートされているオペレーティング システムで実行されていることを確認します。
    • OS は 64 ビットサーバーで実行されている必要があります。Microsoft Windows Server 2008 R2 SP1 は、CrowdStrike Falcon ホストセンサー バージョン 6.51 以降でサポートされています。
    • 以前の OS バージョン(Windows 7 SP1 など)を実行しているシステムでは、デバイスに SHA-2 コード署名サポートがインストールされている必要があります。
  • Google SecOps サービス アカウント ファイルとお客様 ID を Google SecOps サポートチームから入手します。

Google SecOps フィード統合で CrowdStrike Falcon をデプロイする

一般的なデプロイは、CrowdStrike Falcon と、Google SecOps にログを送信するように構成された Google SecOps フィードで構成されます。デプロイは一般的なデプロイとは異なる場合があります。

デプロイには次のコンポーネントが含まれます。

  • CrowdStrike Falcon Intelligence: ログの収集元である CrowdStrike プロダクト。
  • CrowdStrike フィード: CrowdStrike からログを取得して Google SecOps に書き込む CrowdStrike フィード。
  • CrowdStrike Intel Bridge: データソースから情報を収集し、Google SecOps に転送する CrowdStrike プロダクト。
  • Google SecOps: CrowdStrike Detection ログを保持して分析するプラットフォーム。取り込みラベルによって、未加工のログデータを UDM に正規化するパーサーが識別されます。このドキュメントの情報は、次の取り込みラベルを持つ CrowdStrike Falcon パーサーに適用されます。
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike IOC パーサーは、次のインジケータ タイプをサポートしています。
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

CrowdStrike EDR ログ用に Google SecOps フィードを構成する

フィードを構成するには、次の手順が必要です。

Falcon Data Replicator フィードを構成する

Falcon Data Replicator フィードを設定する手順は次のとおりです。

  1. CrowdStrike Falcon コンソールにログインします。
  2. [サポートアプリ] > [Falcon Data Replicator] に移動します。
  3. [追加] をクリックして、新しい Falcon Data Replicator フィードを作成します。これにより、S3 IDSQS URLクライアント シークレットが生成されます。
  4. 生成されたフィードS3 IDSQS URLクライアント シークレットの値を使用して、Google SecOps でフィードを設定します。

詳細については、Falcon Data レプリケータ フィードを設定する方法をご覧ください。

取り込みフィードを設定する

Amazon SQS または Amazon S3 バケットを使用して、Google SecOps で取り込みフィードを設定できます。Amazon SQS が推奨されますが、Amazon S3 もサポートされています。

S3 バケットを使用して取り込みフィードを設定する

S3 バケットを使用して取り込みフィードを設定する手順は次のとおりです。

  1. Google SecOps インスタンスにログインします。
  2. アプリケーション メニューから、[Settings] > [Feeds] を選択します。
  3. [新しく追加] をクリックします。
  4. [Source type] で [Amazon S3] を選択します。
  5. [Log type] で [CrowdStrike Falcon] を選択します。
  6. 作成したサービス アカウントと Amazon S3 バケット構成に基づいて、次のフィールドの値を指定します。
    フィールド 説明
    region URI に関連付けられている S3 リージョン。
    S3 uri S3 バケットのソース URI。
    uri is a URI が指し示すオブジェクトのタイプ。
    source deletion option 転送後にファイルとディレクトリを削除するかどうか。
    access key id 20 文字の英数字のアカウント アクセスキー(例: AKIAOSFOODNN7EXAMPLE)。
    secret access key 40 文字の英数字のアカウント アクセスキー(例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。
    oauth client id 公開されているクライアント固有の OAuth ID。
    oauth client secret OAuth 2.0 クライアント シークレット。
    oauth secret refresh uri OAuth 2.0 クライアント シークレットの更新 URI。
    asset namespace フィードが関連付けられる名前空間。

Amazon SQS を使用して取り込みフィードを設定する

Amazon SQS を使用して取り込みフィードを設定するには、次の操作を行います。

  1. アプリケーション メニューから、[Settings] > [Feeds] を選択します。
  2. [新しく追加] をクリックします。
  3. [Source type] で [Amazon SQS] を選択します。
  4. [Log type] で [CrowdStrike Falcon] を選択します。
  5. 作成したサービス アカウントと Amazon SQS 構成に基づいて、次のフィールドに値を指定します。
    フィールド 説明
    region URI に関連付けられている S3 リージョン。
    QUEUE NAME 読み取り元の SQS キュー名。
    ACCOUNT NUMBER SQS アカウント番号。
    source deletion option 転送後にファイルとディレクトリを削除するかどうか。
    QUEUE ACCESS KEY ID 20 文字の英数字のアカウント アクセスキー(例: AKIAOSFOODNN7EXAMPLE)。
    QUEUE SECRET ACCESS KEY 40 文字の英数字のアカウント アクセスキー(例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。
    asset namespace フィードが関連付けられる名前空間。
    submit フィードを送信するコマンド。

問題が発生した場合は、Google SecOps サポートチームにお問い合わせください。

CrowdStrike ログ用に Google SecOps フィードを構成する

CrowdStrike 検出モニタリング ログを取り込むように Google SecOps で取り込みフィードを設定する手順は次のとおりです。

  1. CrowdStrike Falcon コンソールにログインします。
  2. [アプリのサポート] > [API クライアントとキー] に移動します。
  3. CrowdStrike Falcon で新しい API クライアント鍵ペアを作成します。この鍵ペアは、CrowdStrike Falcon からイベントと補足情報を読み取ります。
  4. 鍵ペアの作成時に、DetectionsAlertsREAD 権限を付与します。
  5. Google SecOps インスタンスにログインします。
  6. アプリケーション メニューから、[Settings] > [Feeds] を選択します。
  7. [新しく追加] をクリックします。
  8. [ソースタイプ] で [サードパーティ API] を選択します。
  9. [Log type] で [CrowdStrike Detection Monitoring] を選択します。

問題が発生した場合は、Google SecOps サポートチームにお問い合わせください。

CrowdStrike IOC ログを Google SecOps に取り込む

CrowdStrike IOC ログ用に Google SecOps へのログ取り込みを構成する手順は次のとおりです。

  1. CrowdStrike Falcon で新しい API クライアント鍵ペアを作成します。Google SecOps Intel Bridge は、この鍵ペアを使用して CrowdStrike Falcon からイベントと補足情報を読み取ります。詳細については、CrowdStrike から Google SecOps へのインテリジェンス ブリッジをご覧ください。
  2. 認証鍵ペアを作成するときに、Indicators (Falcon Intelligence)READ 権限を付与します。
  3. CrowdStrike から Google SecOps Intel Bridge の手順に沿って、Google SecOps Intel Bridge を設定します。

  4. 次のコマンドを実行して、CrowdStrike から Google SecOps にログを送信します。ここで、sa.json は Google SecOps サービス アカウント ファイルです。

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。