CrowdStrike Falcon 로그 수집

이 문서에서는 다음과 같이 CrowdStrike Falcon 로그에 관한 안내를 제공합니다.

  • Google Security Operations 피드를 설정하여 CrowdStrike Falcon 로그를 수집하는 방법을 설명합니다.
  • CrowdStrike Falcon 로그 필드가 Google SecOps 통합 데이터 모델 (UDM) 필드에 매핑되는 방식을 설명합니다.
  • 지원되는 CrowdStrike Falcon 로그 유형 및 이벤트 유형을 나열합니다.

자세한 내용은 Google SecOps에 데이터 수집 개요를 참고하세요.

시작하기 전에

  • CrowdStrike Falcon 호스트 센서를 설치할 수 있는 CrowdStrike 인스턴스 관리자 권한이 있는지 확인합니다.
  • 배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.
  • 기기가 지원되는 운영체제에서 실행 중인지 확인합니다.
    • OS가 64비트 서버에서 실행 중인 상태여야 합니다. Microsoft Windows Server 2008 R2 SP1은 CrowdStrike Falcon Host 센서 버전 6.51 이상에서 지원됩니다.
    • 기존 OS 버전 (예: Windows 7 SP1)을 실행하는 시스템의 경우 기기에 SHA-2 코드 서명 지원이 설치되어 있어야 합니다.
  • Google SecOps 지원팀에서 Google SecOps 서비스 계정 파일과 고객 ID를 받습니다.

Google SecOps 피드 통합으로 CrowdStrike Falcon 배포

일반적인 배포는 CrowdStrike Falcon 및 Google SecOps에 로그를 전송하도록 구성된 Google SecOps 피드로 구성됩니다. 배포가 일반적인 배포와 다를 수 있습니다.

배포에는 다음 구성요소가 포함됩니다.

  • CrowdStrike Falcon Intelligence: 로그를 수집하는 CrowdStrike 제품입니다.
  • CrowdStrike 피드 CrowdStrike에서 로그를 가져오고 로그를 Google SecOps에 작성하는 CrowdStrike 피드입니다.
  • CrowdStrike Intel Bridge: 데이터 소스에서 정보를 수집하여 Google SecOps로 전달하는 CrowdStrike 제품입니다.
  • Google SecOps: CrowdStrike 감지 로그를 보관하고 분석하는 플랫폼입니다. 수집 라벨은 원시 로그 데이터를 UDM으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 다음 수집 라벨이 있는 CrowdStrike Falcon 파서에 적용됩니다.
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike IOC 파서는 다음과 같은 지표 유형을 지원합니다.
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

CrowdStrike EDR 로그용 Google SecOps 피드 구성

피드를 구성하려면 다음 절차가 필요합니다.

Falcon Data Replicator 피드 구성

Falcon Data Replicator 피드를 설정하려면 다음 단계를 따르세요.

  1. CrowdStrike Falcon Console에 로그인합니다.
  2. 앱 지원 > Falcon Data Replicator로 이동합니다.
  3. 추가를 클릭하여 새 Falcon Data Replicator 피드를 만듭니다. 그러면 S3 식별자, SQS URL, 클라이언트 보안 비밀번호가 생성됩니다.
  4. 생성된 피드, S3 식별자, SQS URL, 클라이언트 비밀 값을 사용하여 Google SecOps에서 피드를 설정합니다.

자세한 내용은 Falcon Data Replicator 피드를 설정하는 방법을 참고하세요.

처리 피드 설정

Amazon SQS 또는 Amazon S3 버킷을 사용하여 Google SecOps에서 수집 피드를 설정할 수 있습니다. Amazon SQS가 선호되지만 Amazon S3도 지원됩니다.

S3 버킷으로 수집 피드 설정

S3 버킷을 사용하여 처리 피드를 설정하려면 다음 단계를 따르세요.

  1. Google SecOps 인스턴스에 로그인합니다.
  2. 애플리케이션 메뉴에서 설정 > 피드를 선택합니다.
  3. 새로 추가를 클릭합니다.
  4. 소스 유형에서 Amazon S3를 선택합니다.
  5. 로그 유형에서 CrowdStrike Falcon을 선택합니다.
  6. 만든 서비스 계정 및 Amazon S3 버킷 구성에 따라 다음 필드의 값을 지정합니다.
    필드 설명
    region URI와 연결된 S3 리전입니다.
    S3 uri S3 버킷 소스 URI입니다.
    uri is a URI가 가리키는 객체의 유형입니다.
    source deletion option 전송 후 파일 및 디렉터리를 삭제할지 여부입니다.
    access key id 20자리 영숫자 문자열인 계정 액세스 키(예: AKIAOSFOODNN7EXAMPLE)
    secret access key 40자리 영숫자 문자열인 계정 액세스 키(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)
    oauth client id 공개 클라이언트별 OAuth 식별자입니다.
    oauth client secret OAuth 2.0 클라이언트 보안 비밀번호입니다.
    oauth secret refresh uri OAuth 2.0 클라이언트 보안 비밀번호 갱신 URI입니다.
    asset namespace 피드가 연결될 네임스페이스입니다.

Amazon SQS로 수집 피드 설정

Amazon SQS로 처리 피드를 설정하려면 다음 단계를 완료하세요.

  1. 애플리케이션 메뉴에서 설정 > 피드를 선택합니다.
  2. 새로 추가를 클릭합니다.
  3. 소스 유형에서 Amazon SQS를 선택합니다.
  4. 로그 유형에서 CrowdStrike Falcon을 선택합니다.
  5. 만든 서비스 계정 및 Amazon SQS 구성에 따라 다음 필드의 값을 지정합니다.
    필드 설명
    region URI와 연결된 S3 리전입니다.
    QUEUE NAME 읽어올 SQS 큐 이름입니다.
    ACCOUNT NUMBER SQS 계정 번호입니다.
    source deletion option 전송 후 파일 및 디렉터리를 삭제할지 여부입니다.
    QUEUE ACCESS KEY ID 20자리 영숫자 문자열인 계정 액세스 키(예: AKIAOSFOODNN7EXAMPLE)
    QUEUE SECRET ACCESS KEY 40자리 영숫자 문자열인 계정 액세스 키(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)
    asset namespace 피드가 연결될 네임스페이스입니다.
    submit 피드를 제출하는 명령어입니다.

문제가 발생하면 Google SecOps 지원팀에 문의하세요.

CrowdStrike 로그용 Google SecOps 피드 구성

CrowdStrike 감지 모니터링 로그를 수집하도록 Google SecOps에서 처리 피드를 설정하려면 다음 단계를 따르세요.

  1. CrowdStrike Falcon Console에 로그인합니다.
  2. 앱 지원 > API 클라이언트 및 키로 이동합니다 .
  3. CrowdStrike Falcon에서 새 API 클라이언트 키 쌍을 만듭니다. 이 키 쌍은 CrowdStrike Falcon에서 이벤트와 보조 정보를 읽습니다.
  4. 키 쌍을 만들 때 DetectionsAlertsREAD 권한을 제공합니다.
  5. Google SecOps 인스턴스에 로그인합니다.
  6. 애플리케이션 메뉴에서 설정 > 피드를 선택합니다.
  7. 새로 추가를 클릭합니다.
  8. 소스 유형에서 서드 파티 API를 선택합니다.
  9. 로그 유형에서 CrowdStrike Detection Monitoring을 선택합니다.

문제가 발생하면 Google SecOps 지원팀에 문의하세요.

Google SecOps에 CrowdStrike IOC 로그 수집

CrowdStrike IOC 로그의 Google SecOps로 로그 처리를 구성하려면 다음 단계를 완료하세요.

  1. CrowdStrike Falcon에서 새 API 클라이언트 키 쌍을 만듭니다. Google SecOps Intel Bridge는 이 키 쌍을 사용하여 CrowdStrike Falcon에서 이벤트와 보충 정보를 읽습니다. 자세한 내용은 CrowdStrike에서 Google SecOps로의 정보 브리지를 참고하세요.
  2. 키 쌍을 만들 때 Indicators (Falcon Intelligence)READ 권한을 부여합니다.
  3. CrowdStrike to Google SecOps Intel Bridge의 단계에 따라 Google SecOps Intel Bridge를 설정합니다.

  4. 다음 명령어를 실행하여 CrowdStrike에서 Google SecOps로 로그를 전송합니다. 여기서 sa.json는 Google SecOps 서비스 계정 파일입니다.

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.