Raccogliere i log di CrowdStrike Falcon

Questo documento fornisce indicazioni su come importare i log di CrowdStrike Falcon in Google Security Operations come segue:

  • Raccogli i log di CrowdStrike Falcon configurando un feed di Google Security Operations.
  • Mappa i campi dei log di CrowdStrike Falcon ai campi del modello UDM (Unified Data Model) di Google SecOps.
  • Scopri i tipi di log e di evento supportati da CrowdStrike Falcon.

Per ulteriori informazioni, consulta la panoramica dell'importazione dei dati in Google SecOps.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Diritti di amministratore sull'istanza CrowdStrike per installare il sensore host CrowdStrike Falcon
  • Tutti i sistemi nell'architettura di deployment sono configurati nel fuso orario UTC.
  • Il dispositivo di destinazione è in esecuzione su un sistema operativo supportato
    • Deve essere un server a 64 bit
    • Microsoft Windows Server 2008 R2 SP1 è supportato per il sensore CrowdStrike Falcon Host versione 6.51 o successive.
    • Le versioni precedenti del sistema operativo devono supportare la firma del codice SHA-2.
  • File dell'account di servizio Google SecOps e ID cliente dal team di assistenza di Google SecOps

Esegui il deployment di CrowdStrike Falcon con l'integrazione del feed di Google SecOps

Un deployment tipico è costituito da CrowdStrike Falcon, che invia i log, e dal feed Google SecOps, che li recupera. Il deployment potrebbe variare leggermente in base alla configurazione.

Il deployment in genere include i seguenti componenti:

  • CrowdStrike Falcon Intelligence: il prodotto CrowdStrike da cui raccogli i log.
  • Feed di CrowdStrike. Il feed di CrowdStrike che recupera i log da CrowdStrike e li scrive in Google SecOps.
  • CrowdStrike Intel Bridge: il prodotto CrowdStrike che raccoglie gli indicatori di minaccia dall'origine dati e li inoltra a Google SecOps.
  • Google SecOps: la piattaforma che conserva, normalizza e analizza i log di rilevamento di CrowdStrike.
  • Un parser delle etichette di importazione che normalizza i dati dei log non elaborati nel formato UDM. Le informazioni contenute in questo documento si applicano ai parser di CrowdStrike Falcon con le seguenti etichette di importazione:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC Il parser di indicatori di compromissione (IoC) di CrowdStrike supporta i seguenti tipi di indicatori:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

Configura un feed Google SecOps per i log EDR di CrowdStrike

Per configurare il feed sono necessarie le seguenti procedure.

Come configurare CrowdStrike

Per configurare un feed di Falcon Data Replicator:

  1. Accedi alla console CrowdStrike Falcon.
  2. Vai ad App di assistenza > Falcon Data Replicator.
  3. Fai clic su Aggiungi per creare un nuovo feed di Falcon Data Replicator e generare i seguenti valori:
    • Feed
    • Identificatore S3,
    • URL di SQS
  4. Client secret. Mantieni questi valori per configurare un feed in Google SecOps.

Per ulteriori informazioni, vedi Come configurare il feed del replicatore di dati Falcon.

Configurare i feed

Esistono due diversi punti di contatto per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Content Hub > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare più feed per tipi di log diversi all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Per configurare un singolo feed:

Configurare un feed di importazione con Amazon SQS

Puoi utilizzare Amazon SQS (opzione preferita) o Amazon S3 per configurare il feed di importazione in Google SecOps.

Per configurare un feed di importazione con Amazon SQS:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Crowdstrike Falcon.
  5. In Tipo di origine, seleziona Amazon SQS.
  6. In Tipo di log, seleziona CrowdStrike Falcon.
  7. In base all'account di servizio e alla configurazione di Amazon SQS che hai creato, specifica i valori per i seguenti campi:
    Campo Descrizione
    region Regione associata alla coda SQS.
    QUEUE NAME Nome della coda SQS da cui leggere.
    ACCOUNT NUMBER Numero dell'account proprietario della coda SQS.
    source deletion option Opzione per eliminare file e directory dopo il trasferimento dei dati.
    QUEUE ACCESS KEY ID ID chiave di accesso di 20 caratteri. Ad esempio, AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Chiave di accesso segreta di 40 caratteri. Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    asset namespace Spazio dei nomi associato al feed.
    submit Invia e salva la configurazione del feed in Google SecOps.

In caso di problemi, contatta il team di assistenza di Google SecOps.

Configurare un feed di importazione con il bucket Amazon S3

Per configurare un feed di importazione utilizzando un bucket S3:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Crowdstrike Falcon.
  5. In Tipo di origine, seleziona Amazon SQS.
  6. In Tipo di origine, seleziona Amazon S3.
  7. In Tipo di log, seleziona CrowdStrike Falcon.
  8. In base all'account di servizio e alla configurazione del bucket Amazon S3 che hai creato, specifica i valori per i seguenti campi:
    Campo Descrizione
    region URI della regione S3.
    S3 uri URI di origine del bucket S3.
    uri is a Tipo di oggetto a cui rimanda l'URI (ad esempio file o cartella).
    source deletion option Opzione per eliminare file e directory dopo il trasferimento dei dati.
    access key id Chiave di accesso (stringa alfanumerica di 20 caratteri). Ad esempio, AKIAOSFOODNN7EXAMPLE.
    secret access key Chiave di accesso segreta (stringa alfanumerica di 40 caratteri). Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id ID client OAuth pubblico.
    oauth client secret Client secret OAuth 2.0.
    oauth secret refresh uri URI di aggiornamento del client secret OAuth 2.0.
    asset namespace Spazio dei nomi associato al feed.

Configurare i feed da Content Hub

Puoi configurare il feed di importazione in Google SecOps utilizzando Amazon SQS (opzione preferita) o Amazon S3.

Specifica i valori per i seguenti campi:

  • Regione: la regione in cui è ospitato il bucket S3 o la coda SQS.
  • Nome coda: il nome della coda SQS da cui leggere i dati dei log.
  • Numero account: il numero dell'account proprietario della coda SQS.
  • ID chiave di accesso alla coda: ID chiave di accesso all'account di 20 caratteri. Ad esempio, AKIAOSFOODNN7EXAMPLE.
  • Chiave di accesso segreta coda: chiave di accesso segreta di 40 caratteri. Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
  • Opzione di eliminazione dell'origine: opzione per eliminare file e directory dopo il trasferimento dei dati.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Configurare un feed Google SecOps per i log di CrowdStrike

Per inoltrare i log di monitoraggio dei rilevamenti di CrowdStrike:

  1. Accedi alla console CrowdStrike Falcon.
  2. Vai ad Support Apps (Supporta le app) > API Clients and Keys (Client e chiavi API).
  3. Crea una nuova coppia di chiavi client API in CrowdStrike Falcon. Questa coppia di chiavi deve avere autorizzazioni READ sia per Detections che per Alerts di CrowdStrike Falcon.

Per ricevere i log di monitoraggio dei rilevamenti di CrowdStrike:

  1. Accedi all'istanza Google SecOps.
  2. Vai a Impostazioni SIEM > Feed.
  3. Fai clic su Aggiungi nuovo feed.
  4. Nella pagina successiva, fai clic su Configura un singolo feed.
  5. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Crowdstrike Falcon.
  6. In Tipo di origine, seleziona Amazon SQS.
  7. In Tipo di origine, seleziona API di terze parti.
  8. In Tipo di log, seleziona Monitoraggio del rilevamento di CrowdStrike.

In caso di problemi, contatta il team di assistenza di Google SecOps.

Importa i log IOC di CrowdStrike in Google SecOps

Per configurare l'importazione dei log da CrowdStrike in Google SecOps per i log IoC:

  1. Crea una nuova coppia di chiavi client API nella console CrowdStrike Falcon. Questa coppia di chiavi consente a Google SecOps Intel Bridge di accedere e leggere gli eventi e le informazioni supplementari di CrowdStrike Falcon. Per le istruzioni di configurazione, consulta CrowdStrike to Google SecOps Intel Bridge.
  2. Fornisci l'autorizzazione READ a Indicators (Falcon Intelligence) quando crei la coppia di chiavi.
  3. Configura Google SecOps Intel Bridge seguendo i passaggi descritti in CrowdStrike to Google SecOps Intel Bridge.

  4. Esegui i seguenti comandi Docker per inviare i log da CrowdStrike a Google SecOps, dove sa.json è il file dell'account di servizio Google SecOps:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. Una volta eseguito correttamente il contenitore, i log IoC inizieranno a essere trasmessi in streaming a Google SecOps.

Formati dei log di CrowdStrike supportati

Il parser di CrowdStrike supporta i log in formato JSON.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.