Recopila registros de CrowdStrike Falcon

En este documento, se proporciona orientación sobre cómo transferir registros de CrowdStrike Falcon a Google Security Operations de la siguiente manera:

  • Para recopilar registros de CrowdStrike Falcon, configura un feed de Google Security Operations.
  • Asigna los campos de registro de CrowdStrike Falcon a los campos del modelo de datos unificado (UDM) de Google SecOps.
  • Comprende los tipos de eventos y registros admitidos de CrowdStrike Falcon.

Para obtener más información, consulta la descripción general de la transferencia de datos a Google SecOps.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Derechos de administrador en la instancia de CrowdStrike para instalar el sensor de host de CrowdStrike Falcon
  • Todos los sistemas de la arquitectura de implementación se configuran en la zona horaria UTC.
  • El dispositivo de destino se ejecuta en un sistema operativo compatible.
    • Debe ser un servidor de 64 bits
    • Microsoft Windows Server 2008 R2 SP1 es compatible con la versión 6.51 o posterior del sensor de host de CrowdStrike Falcon.
    • Las versiones heredadas del SO deben admitir la firma de código SHA-2.
  • El archivo de la cuenta de servicio de Google SecOps y tu ID de cliente del equipo de asistencia al cliente de Google SecOps

Implementa CrowdStrike Falcon con la integración del feed de Google SecOps

Una implementación típica consiste en CrowdStrike Falcon, que envía los registros, y el feed de Google SecOps, que recupera los registros. La implementación puede diferir ligeramente según tu configuración.

Por lo general, la implementación incluye los siguientes componentes:

  • CrowdStrike Falcon Intelligence: Es el producto de CrowdStrike del que recopilas registros.
  • Feed de CrowdStrike. El feed de CrowdStrike que recupera registros de CrowdStrike y los escribe en Google SecOps.
  • CrowdStrike Intel Bridge: Es el producto de CrowdStrike que recopila indicadores de amenazas de la fuente de datos y los reenvía a Google SecOps.
  • SecOps de Google: La plataforma que retiene, normaliza y analiza los registros de detección de CrowdStrike.
  • Un analizador de etiquetas de transferencia que normaliza los datos de registro sin procesar en el formato UDM. La información de este documento se aplica a los analizadores de CrowdStrike Falcon con las siguientes etiquetas de transferencia:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC El analizador de indicadores de compromiso (IoC) de CrowdStrike admite los siguientes tipos de indicadores:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configura un feed de Google SecOps para los registros de EDR de CrowdStrike

Para configurar el feed, debes seguir los siguientes procedimientos.

Cómo configurar CrowdStrike

Para configurar un feed de Falcon Data Replicator, sigue estos pasos:

  1. Accede a la consola de CrowdStrike Falcon.
  2. Ve a Apps de asistencia > Falcon Data Replicator.
  3. Haz clic en Agregar para crear un nuevo feed de Falcon Data Replicator y generar los siguientes valores:
    • Feed
    • Identificador de S3
    • URL de SQS
  4. Secreto del cliente: Conserva estos valores para configurar un feed en Google SecOps.

Para obtener más información, consulta Cómo configurar el feed del replicador de datos de Falcon.

Cómo configurar feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds desde Configuración de SIEM > Feeds.

Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.

Para configurar un solo feed, sigue estos pasos:

Configura un feed de transferencia con Amazon SQS

Puedes usar Amazon SQS (preferido) o Amazon S3 para configurar el feed de transferencia en Google SecOps.

Para configurar un feed de transferencia con Amazon SQS, completa lo siguiente:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la página siguiente, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed; por ejemplo, Registros de Crowdstrike Falcon.
  5. En Tipo de fuente, selecciona Amazon SQS.
  6. En Tipo de registro, selecciona CrowdStrike Falcon.
  7. Según la cuenta de servicio y la configuración de Amazon SQS que creaste, especifica los valores para los siguientes campos:
    Campo Descripción
    region Es la región asociada con la fila de SQS.
    QUEUE NAME Es el nombre de la cola de SQS de la que se leerá.
    ACCOUNT NUMBER Es el número de cuenta al que pertenece la cola de SQS.
    source deletion option Es la opción para borrar archivos y directorios después de transferir los datos.
    QUEUE ACCESS KEY ID ID de clave de acceso de 20 caracteres. Por ejemplo, AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Clave de acceso secreta de 40 caracteres. Por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    asset namespace Es el espacio de nombres asociado con el feed.
    submit Envía y guarda la configuración del feed en Google SecOps.

Si tienes problemas, comunícate con el equipo de asistencia de SecOps de Google.

Configura un feed de transferencia con el bucket de Amazon S3

Para configurar un feed de transferencia con un bucket de S3, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la página siguiente, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed; por ejemplo, Registros de Crowdstrike Falcon.
  5. En Tipo de fuente, selecciona Amazon SQS.
  6. En Tipo de fuente, selecciona Amazon S3.
  7. En Tipo de registro, selecciona CrowdStrike Falcon.
  8. Según la cuenta de servicio y la configuración del bucket de Amazon S3 que creaste, especifica los valores de los siguientes campos:
    Campo Descripción
    region Es el URI de la región de S3.
    S3 uri Es el URI de origen del bucket de S3.
    uri is a Es el tipo de objeto al que apunta el URI (por ejemplo, archivo o carpeta).
    source deletion option Es la opción para borrar archivos y directorios después de transferir los datos.
    access key id Clave de acceso (cadena alfanumérica de 20 caracteres) Por ejemplo, AKIAOSFOODNN7EXAMPLE.
    secret access key Clave de acceso secreta (cadena alfanumérica de 40 caracteres) Por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID de cliente de OAuth público.
    oauth client secret Secreto del cliente de OAuth 2.0.
    oauth secret refresh uri URI de actualización del secreto del cliente de OAuth 2.0.
    asset namespace Es el espacio de nombres asociado con el feed.

Cómo configurar feeds desde el Content Hub

Puedes configurar el feed de transferencia en Google SecOps con Amazon SQS (preferido) o Amazon S3.

Especifica valores para los siguientes campos:

  • Región: Es la región en la que se aloja el bucket de S3 o la cola de SQS.
  • Nombre de la cola: Es el nombre de la cola de SQS desde la que se leen los datos de registro.
  • Número de cuenta: Es el número de cuenta al que pertenece la cola de SQS.
  • ID de clave de acceso de la cola: Es el ID de clave de acceso de la cuenta de 20 caracteres. Por ejemplo, AKIAOSFOODNN7EXAMPLE
  • Clave de acceso secreta de la cola: Es una clave de acceso secreta de 40 caracteres. Por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
  • Opción de eliminación de la fuente: Es la opción para borrar archivos y directorios después de transferir los datos.

Opciones avanzadas

  • Nombre del feed: Es un valor prepropagado que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del recurso: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son etiquetas que se aplican a todos los eventos de este feed.

Configura un feed de Google SecOps para los registros de CrowdStrike

Para reenviar los registros de supervisión de detección de CrowdStrike, sigue estos pasos:

  1. Accede a la consola de CrowdStrike Falcon.
  2. Ve a Apps de asistencia > Clientes y claves de API .
  3. Crea un nuevo par de claves de cliente de API en CrowdStrike Falcon. Este par de claves debe tener permisos READ para Detections y Alerts de CrowdStrike Falcon.

Para recibir registros de supervisión de detección de CrowdStrike, sigue estos pasos:

  1. Accede a tu instancia de Google SecOps.
  2. Ve a Configuración de SIEM > Feeds.
  3. Haz clic en Agregar feed nuevo.
  4. En la página siguiente, haz clic en Configurar un solo feed.
  5. En el campo Nombre del feed, ingresa un nombre para el feed; por ejemplo, Registros de Crowdstrike Falcon.
  6. En Tipo de fuente, selecciona Amazon SQS.
  7. En Tipo de fuente, selecciona API de terceros.
  8. En Tipo de registro, selecciona CrowdStrike Detection Monitoring.

Si tienes problemas, comunícate con el equipo de asistencia de SecOps de Google.

Transfiere registros de IoC de CrowdStrike a Google SecOps

Para configurar la transferencia de registros de CrowdStrike a Google SecOps para los registros de IoC, completa los siguientes pasos:

  1. Crea un nuevo par de claves de cliente de API en la consola de CrowdStrike Falcon. Este par de claves permite que Google SecOps Intel Bridge acceda a eventos y a información complementaria de CrowdStrike Falcon, y los lea. Para obtener instrucciones de configuración, consulta Puente de Intel de CrowdStrike a SecOps de Google.
  2. Proporciona permiso READ a Indicators (Falcon Intelligence) cuando crees el par de claves.
  3. Para configurar el puente de Intel de Google SecOps, sigue los pasos que se indican en CrowdStrike al puente de Intel de Google SecOps.

  4. Ejecuta los siguientes comandos de Docker para enviar los registros de CrowdStrike a Google SecOps, donde sa.json es el archivo de la cuenta de servicio de Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Después de que el contenedor se ejecute correctamente, los registros de IoC comenzarán a transmitirse a Google SecOps.

Formatos de registro de CrowdStrike admitidos

El analizador de CrowdStrike admite registros en formato JSON.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.