Collecter les journaux CrowdStrike Falcon

Ce document explique comment ingérer les journaux CrowdStrike Falcon dans Google Security Operations comme suit:

  • Collectez les journaux CrowdStrike Falcon en configurant un flux Google Security Operations.
  • Mappez les champs de journal CrowdStrike Falcon sur les champs du modèle de données unifié (UDM) de Google SecOps.
  • Découvrez les types de journaux et d'événements CrowdStrike Falcon compatibles.

Pour en savoir plus, consultez la présentation de l'ingestion de données dans Google SecOps.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes:

  • Droits d'administrateur sur l'instance CrowdStrike pour installer le capteur d'hôte CrowdStrike Falcon
  • Tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
  • L'appareil cible exécute un système d'exploitation compatible.
    • Il doit s'agir d'un serveur 64 bits
    • Microsoft Windows Server 2008 R2 SP1 est compatible avec le capteur hôte CrowdStrike Falcon version 6.51 ou ultérieure.
    • Les anciennes versions de système d'exploitation doivent être compatibles avec la signature de code SHA-2.
  • Fichier du compte de service Google SecOps et votre ID client auprès de l'équipe d'assistance Google SecOps

Déployer CrowdStrike Falcon avec l'intégration du flux Google SecOps

Un déploiement typique comprend CrowdStrike Falcon, qui envoie les journaux, et le flux Google SecOps, qui les récupère. Votre déploiement peut légèrement varier en fonction de votre configuration.

Le déploiement comprend généralement les composants suivants:

  • CrowdStrike Falcon Intelligence: produit CrowdStrike à partir duquel vous collectez des journaux.
  • Flux CrowdStrike Flux CrowdStrike qui extrait les journaux de CrowdStrike et les écrit dans Google SecOps.
  • CrowdStrike Intel Bridge: produit CrowdStrike qui collecte les indicateurs de menace à partir de la source de données et les transfère à Google SecOps.
  • Google SecOps: plate-forme qui conserve, normalise et analyse les journaux de détection CrowdStrike.
  • Analyseur de libellé d'ingestion qui normalise les données de journal brutes au format UDM. Les informations de ce document s'appliquent aux analyseurs CrowdStrike Falcon avec les libellés d'ingestion suivants :
    • CS_EDR
    • CS_DETECTS
    • CS_IOC L'analyseur d'indicateurs de compromission (IoC) de CrowdStrike est compatible avec les types d'indicateurs suivants :
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configurer un flux Google SecOps pour les journaux EDR CrowdStrike

Les procédures suivantes sont nécessaires pour configurer le flux.

Configurer CrowdStrike

Pour configurer un flux Falcon Data Replicator, procédez comme suit:

  1. Connectez-vous à la console CrowdStrike Falcon.
  2. Accédez à Applications d'assistance > Falcon Data Replicator.
  3. Cliquez sur Ajouter pour créer un flux Falcon Data Replicator et générer les valeurs suivantes :
    • Flux
    • Identifiant S3
    • URL SQS
  4. Code secret du client Conservez ces valeurs pour configurer un flux dans Google SecOps.

Pour en savoir plus, consultez Configurer le flux du réplicateur de données Falcon.

Configurer des flux

Il existe deux points d'entrée différents pour configurer des flux dans la plate-forme Google SecOps:

  • Paramètres du SIEM > Flux
  • Hub de contenu > Packs de contenu

Configurez les flux dans Paramètres du SIEM > Flux.

Pour configurer plusieurs flux pour différents types de journaux au sein de cette famille de produits, consultez Configurer des flux par produit.

Pour configurer un seul flux, procédez comme suit:

Configurer un flux d'ingestion avec Amazon SQS

Vous pouvez utiliser Amazon SQS (recommandé) ou Amazon S3 pour configurer le flux d'ingestion dans Google SecOps.

Pour configurer un flux d'ingestion avec Amazon SQS, procédez comme suit:

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter un flux.
  3. Sur la page suivante, cliquez sur Configurer un flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Crowdstrike Falcon Logs).
  5. Dans Type de source, sélectionnez Amazon SQS.
  6. Dans Type de journal, sélectionnez CrowdStrike Falcon.
  7. En fonction du compte de service et de la configuration Amazon SQS que vous avez créés, spécifiez les valeurs des champs suivants:
    Champ Description
    region Région associée à la file d'attente SQS.
    QUEUE NAME Nom de la file d'attente SQS à lire.
    ACCOUNT NUMBER Numéro de compte propriétaire de la file d'attente SQS.
    source deletion option Possibilité de supprimer les fichiers et les répertoires après le transfert des données.
    QUEUE ACCESS KEY ID ID de clé d'accès à 20 caractères. Par exemple, AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Clé d'accès secrète de 40 caractères. Par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    asset namespace Espace de noms associé au flux.
    submit Envoyez et enregistrez la configuration du flux dans Google SecOps.

En cas de problème, contactez l'équipe d'assistance Google SecOps.

Configurer un flux d'ingestion avec un bucket Amazon S3

Pour configurer un flux d'ingestion à l'aide d'un bucket S3, procédez comme suit:

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter un flux.
  3. Sur la page suivante, cliquez sur Configurer un flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Crowdstrike Falcon Logs).
  5. Dans Type de source, sélectionnez Amazon SQS.
  6. Dans Type de source, sélectionnez Amazon S3.
  7. Dans Type de journal, sélectionnez CrowdStrike Falcon.
  8. En fonction du compte de service et de la configuration du bucket Amazon S3 que vous avez créés, spécifiez des valeurs pour les champs suivants:
    Champ Description
    region URI de la région S3.
    S3 uri URI source du bucket S3.
    uri is a Type d'objet auquel l'URI pointe (par exemple, fichier ou dossier).
    source deletion option Possibilité de supprimer les fichiers et les répertoires après le transfert des données.
    access key id Clé d'accès (chaîne alphanumérique de 20 caractères) Par exemple, AKIAOSFOODNN7EXAMPLE.
    secret access key Clé d'accès secrète (chaîne alphanumérique de 40 caractères). Par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID client OAuth public.
    oauth client secret Code secret du client OAuth 2.0.
    oauth secret refresh uri URI d'actualisation du code secret du client OAuth 2.0.
    asset namespace Espace de noms associé au flux.

Configurer des flux depuis le Centre de contenu

Vous pouvez configurer le flux d'ingestion dans Google SecOps à l'aide d'Amazon SQS (recommandé) ou d'Amazon S3.

Indiquez les valeurs des champs suivants:

  • Région: région où le bucket S3 ou la file d'attente SQS est hébergé.
  • Nom de la file d'attente: nom de la file d'attente SQS à partir de laquelle lire les données de journal.
  • Account Number (Numéro de compte) : numéro de compte auquel appartient la file d'attente SQS.
  • ID de clé d'accès de la file d'attente: ID de clé d'accès au compte de 20 caractères. Exemple :AKIAOSFOODNN7EXAMPLE
  • Clé d'accès secrète de la file d'attente: clé d'accès secrète de 40 caractères. Exemple :wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
  • Option de suppression de la source: option permettant de supprimer les fichiers et les répertoires après le transfert des données.

Options avancées

  • Nom du flux: valeur préremplie qui identifie le flux.
  • Source Type (Type de source) : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément: espace de noms associé au flux.
  • Étiquettes d'ingestion : étiquettes appliquées à tous les événements de ce flux.

Configurer un flux Google SecOps pour les journaux CrowdStrike

Pour transférer les journaux de surveillance de la détection CrowdStrike, procédez comme suit:

  1. Connectez-vous à la console CrowdStrike Falcon.
  2. Accédez à Support Apps (Applications d'assistance) > API Clients and Keys (Clients et clés API).
  3. Créez une paire de clés client API dans CrowdStrike Falcon. Cette paire de clés doit disposer d'autorisations READ pour Detections et Alerts de CrowdStrike Falcon.

Pour recevoir les journaux de surveillance de la détection CrowdStrike, procédez comme suit:

  1. Connectez-vous à votre instance Google SecOps.
  2. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  3. Cliquez sur Ajouter un flux.
  4. Sur la page suivante, cliquez sur Configurer un flux.
  5. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Crowdstrike Falcon Logs).
  6. Dans Type de source, sélectionnez Amazon SQS.
  7. Dans Type de source, sélectionnez API tierce.
  8. Dans Type de journal, sélectionnez CrowdStrike Detection Monitoring (Surveillance de la détection CrowdStrike).

En cas de problème, contactez l'équipe d'assistance Google SecOps.

Ingérer des journaux d'IOC CrowdStrike dans Google SecOps

Pour configurer l'ingestion des journaux de CrowdStrike dans Google SecOps pour les journaux d'IOC, procédez comme suit:

  1. Créez une paire de clés client API dans la console CrowdStrike Falcon. Cette paire de clés permet à Google SecOps Intel Bridge d'accéder et de lire les événements et les informations supplémentaires de CrowdStrike Falcon. Pour obtenir des instructions de configuration, consultez CrowdStrike vers Google SecOps Intel Bridge.
  2. Accordez l'autorisation READ à Indicators (Falcon Intelligence) lorsque vous créez la paire de clés.
  3. Configurez Google SecOps Intel Bridge en suivant les étapes de la section CrowdStrike vers Google SecOps Intel Bridge.

  4. Exécutez les commandes Docker suivantes pour envoyer les journaux de CrowdStrike à Google SecOps, où sa.json est le fichier du compte de service Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Une fois le conteneur exécuté, les journaux IoC commencent à être diffusés dans Google SecOps.

Formats de journaux CrowdStrike compatibles

L'analyseur CrowdStrike accepte les journaux au format JSON.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.