CrowdStrike Falcon-Protokolle erfassen
In diesem Dokument finden Sie eine Anleitung zum Aufnehmen von CrowdStrike Falcon-Logs in Google Security Operations:
- Richten Sie einen Google Security Operations-Feed ein, um CrowdStrike Falcon-Logs zu erfassen.
- Ordnen Sie CrowdStrike Falcon-Logfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google SecOps zu.
- Informationen zu den unterstützten CrowdStrike Falcon-Log- und Ereignistypen
Weitere Informationen finden Sie in der Übersicht zur Datenaufnahme in Google SecOps.
Hinweise
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Administratorrechte für die CrowdStrike-Instanz zum Installieren des CrowdStrike Falcon-Host-Sensors
- Alle Systeme in der Bereitstellungsarchitektur sind in der Zeitzone UTC konfiguriert.
- Auf dem Zielgerät wird ein unterstütztes Betriebssystem ausgeführt.
- Es muss ein 64-Bit-Server sein.
- Microsoft Windows Server 2008 R2 SP1 wird für die CrowdStrike Falcon-Hostsensorversion 6.51 oder höher unterstützt.
- Ältere Betriebssystemversionen müssen die SHA-2-Codesignatur unterstützen.
- Datei des Google SecOps-Dienstkontos und Ihre Kundennummer vom Google SecOps-Supportteam
CrowdStrike Falcon mit Google SecOps-Feed-Integration bereitstellen
Eine typische Bereitstellung besteht aus CrowdStrike Falcon, das die Protokolle sendet, und dem Google SecOps-Feed, über den die Protokolle abgerufen werden. Die Bereitstellung kann je nach Konfiguration leicht variieren.
Die Bereitstellung umfasst in der Regel die folgenden Komponenten:
- CrowdStrike Falcon Intelligence: Das CrowdStrike-Produkt, von dem Sie Protokolle erfassen.
- CrowdStrike-Feed Der CrowdStrike-Feed, der Protokolle von CrowdStrike abholt und in Google SecOps schreibt.
- CrowdStrike Intel Bridge: Das CrowdStrike-Produkt, das Bedrohungskennungen aus der Datenquelle erfasst und an Google SecOps weiterleitet.
- Google SecOps: Die Plattform, auf der die CrowdStrike-Erkennungsprotokolle aufbewahrt, normalisiert und analysiert werden.
- Ein Parser für Datenaufnahmelabels, der Roh-Logdaten in das UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf CrowdStrike Falcon-Parser mit den folgenden Datenaufnahmelabels:
CS_EDR
CS_DETECTS
CS_IOC
Der CrowdStrike-IoC-Parser (Indicator of Compromise) unterstützt die folgenden Indikatortypen:domain
email_address
file_name
file_path
hash_md5
hash_sha1
hash_sha256
ip_address
mutex_name
url
Google SecOps-Feed für CrowdStrike-EDR-Protokolle konfigurieren
Führen Sie die folgenden Schritte aus, um den Feed zu konfigurieren.
CrowdStrike konfigurieren
So richten Sie einen Falcon Data Replicator-Feed ein:
- Melden Sie sich in der CrowdStrike Falcon Console an.
- Klicken Sie auf Support-Apps > Falcon Data Replicator.
- Klicken Sie auf Hinzufügen, um einen neuen Falcon Data Replicator-Feed zu erstellen, und generieren Sie die folgenden Werte:
- Feed
- S3-ID,
- SQS-URL
- Client-Secret Behalten Sie diese Werte im Hinterkopf, wenn Sie einen Feed in Google SecOps einrichten.
Weitere Informationen finden Sie unter Falcon Data-Replikatorfeed einrichten.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds auf der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub > Content-Pakete
Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten
Informationen zum Konfigurieren mehrerer Feeds für unterschiedliche Protokolltypen innerhalb dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.
So konfigurieren Sie einen einzelnen Feed:
Datenaufnahmefeed mit Amazon SQS einrichten
Sie können entweder Amazon SQS (bevorzugt) oder Amazon S3 verwenden, um den Datenaufnahmefeed in Google SecOps einzurichten.
So richten Sie einen Datenaufnahmefeed mit Amazon SQS ein:
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Crowdstrike Falcon-Protokolle.
- Wählen Sie unter Quelltyp die Option Amazon SQS aus.
- Wählen Sie unter Log-Typ die Option CrowdStrike Falcon aus.
- Geben Sie basierend auf dem Dienstkonto und der von Ihnen erstellten Amazon SQS-Konfiguration Werte für die folgenden Felder an:
Feld Beschreibung region
Region, die mit der SQS-Warteschlange verknüpft ist. QUEUE NAME
Name der SQS-Warteschlange, aus der gelesen werden soll. ACCOUNT NUMBER
Kontonummer des SQS-Queue-Inhabers. source deletion option
Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung. QUEUE ACCESS KEY ID
20-stellige Zugriffsschlüssel-ID. Beispiel: AKIAOSFOODNN7EXAMPLE
.QUEUE SECRET ACCESS KEY
Geheimer Zugriffsschlüssel mit 40 Zeichen. Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
.asset namespace
Der Namespace, der mit dem Feed verknüpft ist. submit
Reichen Sie die Feedkonfiguration in Google SecOps ein und speichern Sie sie dort.
Bei Problemen wenden Sie sich an das Google SecOps-Supportteam.
Datenaufnahmefeed mit Amazon S3-Bucket einrichten
So richten Sie einen Datenaufnahmefeed mit einem S3-Bucket ein:
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Crowdstrike Falcon-Protokolle.
- Wählen Sie unter Quelltyp die Option Amazon SQS aus.
- Wählen Sie unter Quelltyp die Option Amazon S3 aus.
- Wählen Sie unter Log-Typ die Option CrowdStrike Falcon aus.
- Geben Sie basierend auf dem Dienstkonto und der von Ihnen erstellten Amazon S3-Bucket-Konfiguration Werte für die folgenden Felder an:
Feld Beschreibung region
URI der S3-Region. S3 uri
S3-Bucket-Quell-URI. uri is a
Der Typ des Objekts, auf das der URI verweist (z. B. Datei oder Ordner). source deletion option
Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung. access key id
Zugriffsschlüssel (20-stelliger alphanumerischer String) Beispiel: AKIAOSFOODNN7EXAMPLE
.secret access key
Geheimer Zugriffsschlüssel (40-stelliger alphanumerischer String). Beispiel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
.oauth client id
Öffentliche OAuth-Client-ID. oauth client secret
OAuth 2.0-Clientschlüssel oauth secret refresh uri
URI zum Aktualisieren des OAuth 2.0-Clientschlüssels. asset namespace
Der Namespace, der mit dem Feed verknüpft ist.
Feeds über den Content Hub einrichten
Sie können den Datenaufnahmefeed in Google SecOps entweder mit Amazon SQS (bevorzugt) oder Amazon S3 konfigurieren.
Geben Sie Werte für die folgenden Felder an:
- Region: Region, in der der S3-Bucket oder die SQS-Warteschlange gehostet wird.
- Queue-Name: Name der SQS-Warteschlange, aus der Protokolldaten gelesen werden sollen.
- Kontonummer: Kontonummer des Inhabers der SQS-Warteschlange.
- Queue Access Key ID: 20-stellige Kontozugriffsschlüssel-ID. Beispiel:
AKIAOSFOODNN7EXAMPLE
. - Queue Secret Access Key: Geheimer Zugriffsschlüssel mit 40 Zeichen. Beispiel:
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
. - Option zum Löschen der Quelle: Option zum Löschen von Dateien und Verzeichnissen nach der Datenübertragung.
Erweiterte Optionen
- Feedname: Ein vordefinierter Wert, der den Feed identifiziert.
- Quelltyp: Methode, mit der Protokolle in Google SecOps erfasst werden.
- Asset-Namespace: Dem Feed zugeordneter Namespace.
- Labels für Datenaufnahme: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Google SecOps-Feed für CrowdStrike-Protokolle konfigurieren
So leiten Sie Protokolle zur Überwachung von CrowdStrike-Erkennungen weiter:
- Melden Sie sich in der CrowdStrike Falcon Console an.
- Klicken Sie auf Apps unterstützen > API-Clients und ‑Schlüssel .
- Erstellen Sie ein neues API-Client-Schlüsselpaar in CrowdStrike Falcon. Dieses Schlüsselpaar muss
READ
-Berechtigungen sowohl fürDetections
als auch fürAlerts
von CrowdStrike Falcon haben.
So erhalten Sie Logs zur Erkennung von CrowdStrike:
- Melden Sie sich in Ihrer Google SecOps-Instanz an.
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Crowdstrike Falcon-Protokolle.
- Wählen Sie unter Quelltyp die Option Amazon SQS aus.
- Wählen Sie unter Quelltyp die Option Drittanbieter-API aus.
- Wählen Sie unter Logtyp die Option CrowdStrike Detection Monitoring aus.
Bei Problemen wenden Sie sich an das Google SecOps-Supportteam.
CrowdStrike-IoC-Logs in Google SecOps aufnehmen
So konfigurieren Sie die Logaufnahme von CrowdStrike in Google SecOps für IoC-Logs:
- Erstellen Sie in der CrowdStrike Falcon Console ein neues API-Client-Schlüsselpaar. Mit diesem Schlüsselpaar kann Google SecOps Intel Bridge auf Ereignisse und zusätzliche Informationen aus CrowdStrike Falcon zugreifen und diese lesen. Eine Anleitung zur Einrichtung finden Sie unter CrowdStrike to Google SecOps Intel Bridge.
- Gewähren Sie
READ
die BerechtigungIndicators (Falcon Intelligence)
, wenn Sie das Schlüsselpaar erstellen. - Richten Sie die Google SecOps Intel Bridge ein. Folgen Sie dazu der Anleitung unter CrowdStrike-zu-Google SecOps-Intel-Bridge.
Führen Sie die folgenden Docker-Befehle aus, um die Protokolle von CrowdStrike an Google SecOps zu senden. Dabei ist
sa.json
die Datei des Google SecOps-Dienstkontos:docker build . -t ccib:latest docker run -it --rm \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json \ -v ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json \ ccib:latest
Nachdem der Container erfolgreich ausgeführt wurde, werden IoC-Logs in Google SecOps gestreamt.
Unterstützte CrowdStrike-Protokollformate
Der CrowdStrike-Parser unterstützt Protokolle im JSON-Format.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten