Raccogliere i log di CrowdStrike Falcon
Questo documento fornisce indicazioni su come importare i log di CrowdStrike Falcon in Google Security Operations come segue:
- Raccogli i log di CrowdStrike Falcon configurando un feed di Google Security Operations.
- Mappa i campi dei log di CrowdStrike Falcon ai campi del modello UDM (Unified Data Model) di Google SecOps.
- Scopri i tipi di log e di evento supportati da CrowdStrike Falcon.
Per ulteriori informazioni, consulta la panoramica dell'importazione dei dati in Google SecOps.
Prima di iniziare
Assicurati di disporre dei seguenti prerequisiti:
- Diritti di amministratore sull'istanza CrowdStrike per installare il sensore host CrowdStrike Falcon
- Tutti i sistemi nell'architettura di deployment sono configurati nel fuso orario UTC.
- Il dispositivo di destinazione è in esecuzione su un sistema operativo supportato
- Deve essere un server a 64 bit
- Microsoft Windows Server 2008 R2 SP1 è supportato per il sensore CrowdStrike Falcon Host versione 6.51 o successive.
- Le versioni precedenti del sistema operativo devono supportare la firma del codice SHA-2.
- File dell'account di servizio Google SecOps e ID cliente dal team di assistenza di Google SecOps
Esegui il deployment di CrowdStrike Falcon con l'integrazione del feed di Google SecOps
Un deployment tipico è costituito da CrowdStrike Falcon, che invia i log, e dal feed Google SecOps, che li recupera. Il deployment potrebbe variare leggermente in base alla configurazione.
Il deployment in genere include i seguenti componenti:
- CrowdStrike Falcon Intelligence: il prodotto CrowdStrike da cui raccogli i log.
- Feed di CrowdStrike. Il feed di CrowdStrike che recupera i log da CrowdStrike e li scrive in Google SecOps.
- CrowdStrike Intel Bridge: il prodotto CrowdStrike che raccoglie gli indicatori di minaccia dall'origine dati e li inoltra a Google SecOps.
- Google SecOps: la piattaforma che conserva, normalizza e analizza i log di rilevamento di CrowdStrike.
- Un parser delle etichette di importazione che normalizza i dati dei log non elaborati nel formato UDM. Le informazioni contenute in questo documento si applicano ai parser di CrowdStrike Falcon con le seguenti etichette di importazione:
CS_EDR
CS_DETECTS
CS_IOC
Il parser di indicatori di compromissione (IoC) di CrowdStrike supporta i seguenti tipi di indicatori:domain
email_address
file_name
file_path
hash_md5
hash_sha1
hash_sha256
ip_address
mutex_name
url
Configura un feed Google SecOps per i log EDR di CrowdStrike
Per configurare il feed sono necessarie le seguenti procedure.
Come configurare CrowdStrike
Per configurare un feed di Falcon Data Replicator:
- Accedi alla console CrowdStrike Falcon.
- Vai ad App di assistenza > Falcon Data Replicator.
- Fai clic su Aggiungi per creare un nuovo feed di Falcon Data Replicator e generare i seguenti valori:
- Feed
- Identificatore S3,
- URL di SQS
- Client secret. Mantieni questi valori per configurare un feed in Google SecOps.
Per ulteriori informazioni, vedi Come configurare il feed del replicatore di dati Falcon.
Configurare i feed
Esistono due diversi punti di contatto per configurare i feed nella piattaforma Google SecOps:
- Impostazioni SIEM > Feed
- Content Hub > Pacchetti di contenuti
Configura i feed da Impostazioni SIEM > Feed
Per configurare più feed per tipi di log diversi all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.
Per configurare un singolo feed:
Configurare un feed di importazione con Amazon SQS
Puoi utilizzare Amazon SQS (opzione preferita) o Amazon S3 per configurare il feed di importazione in Google SecOps.
Per configurare un feed di importazione con Amazon SQS:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Crowdstrike Falcon.
- In Tipo di origine, seleziona Amazon SQS.
- In Tipo di log, seleziona CrowdStrike Falcon.
- In base all'account di servizio e alla configurazione di Amazon SQS che hai creato, specifica i valori per i seguenti campi:
Campo Descrizione region
Regione associata alla coda SQS. QUEUE NAME
Nome della coda SQS da cui leggere. ACCOUNT NUMBER
Numero dell'account proprietario della coda SQS. source deletion option
Opzione per eliminare file e directory dopo il trasferimento dei dati. QUEUE ACCESS KEY ID
ID chiave di accesso di 20 caratteri. Ad esempio, AKIAOSFOODNN7EXAMPLE
.QUEUE SECRET ACCESS KEY
Chiave di accesso segreta di 40 caratteri. Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
.asset namespace
Spazio dei nomi associato al feed. submit
Invia e salva la configurazione del feed in Google SecOps.
In caso di problemi, contatta il team di assistenza di Google SecOps.
Configurare un feed di importazione con il bucket Amazon S3
Per configurare un feed di importazione utilizzando un bucket S3:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Crowdstrike Falcon.
- In Tipo di origine, seleziona Amazon SQS.
- In Tipo di origine, seleziona Amazon S3.
- In Tipo di log, seleziona CrowdStrike Falcon.
- In base all'account di servizio e alla configurazione del bucket Amazon S3 che hai creato, specifica i valori per i seguenti campi:
Campo Descrizione region
URI della regione S3. S3 uri
URI di origine del bucket S3. uri is a
Tipo di oggetto a cui rimanda l'URI (ad esempio file o cartella). source deletion option
Opzione per eliminare file e directory dopo il trasferimento dei dati. access key id
Chiave di accesso (stringa alfanumerica di 20 caratteri). Ad esempio, AKIAOSFOODNN7EXAMPLE
.secret access key
Chiave di accesso segreta (stringa alfanumerica di 40 caratteri). Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
.oauth client id
ID client OAuth pubblico. oauth client secret
Client secret OAuth 2.0. oauth secret refresh uri
URI di aggiornamento del client secret OAuth 2.0. asset namespace
Spazio dei nomi associato al feed.
Configurare i feed da Content Hub
Puoi configurare il feed di importazione in Google SecOps utilizzando Amazon SQS (opzione preferita) o Amazon S3.
Specifica i valori per i seguenti campi:
- Regione: la regione in cui è ospitato il bucket S3 o la coda SQS.
- Nome coda: il nome della coda SQS da cui leggere i dati dei log.
- Numero account: il numero dell'account proprietario della coda SQS.
- ID chiave di accesso alla coda: ID chiave di accesso all'account di 20 caratteri. Ad esempio,
AKIAOSFOODNN7EXAMPLE
. - Chiave di accesso segreta coda: chiave di accesso segreta di 40 caratteri. Ad esempio,
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
. - Opzione di eliminazione dell'origine: opzione per eliminare file e directory dopo il trasferimento dei dati.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
- Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Configurare un feed Google SecOps per i log di CrowdStrike
Per inoltrare i log di monitoraggio dei rilevamenti di CrowdStrike:
- Accedi alla console CrowdStrike Falcon.
- Vai ad Support Apps (Supporta le app) > API Clients and Keys (Client e chiavi API).
- Crea una nuova coppia di chiavi client API in CrowdStrike Falcon. Questa coppia di chiavi deve avere autorizzazioni
READ
sia perDetections
che perAlerts
di CrowdStrike Falcon.
Per ricevere i log di monitoraggio dei rilevamenti di CrowdStrike:
- Accedi all'istanza Google SecOps.
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Crowdstrike Falcon.
- In Tipo di origine, seleziona Amazon SQS.
- In Tipo di origine, seleziona API di terze parti.
- In Tipo di log, seleziona Monitoraggio del rilevamento di CrowdStrike.
In caso di problemi, contatta il team di assistenza di Google SecOps.
Importa i log IOC di CrowdStrike in Google SecOps
Per configurare l'importazione dei log da CrowdStrike in Google SecOps per i log IoC:
- Crea una nuova coppia di chiavi client API nella console CrowdStrike Falcon. Questa coppia di chiavi consente a Google SecOps Intel Bridge di accedere e leggere gli eventi e le informazioni supplementari di CrowdStrike Falcon. Per le istruzioni di configurazione, consulta CrowdStrike to Google SecOps Intel Bridge.
- Fornisci l'autorizzazione
READ
aIndicators (Falcon Intelligence)
quando crei la coppia di chiavi. - Configura Google SecOps Intel Bridge seguendo i passaggi descritti in CrowdStrike to Google SecOps Intel Bridge.
Esegui i seguenti comandi Docker per inviare i log da CrowdStrike a Google SecOps, dove
sa.json
è il file dell'account di servizio Google SecOps:docker build . -t ccib:latest docker run -it --rm \ -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID" \ -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET" \ -e FALCON_CLOUD_REGION="$FALCON_CLOUD" \ -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID" \ -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json \ -v ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json \ ccib:latest
Una volta eseguito correttamente il contenitore, i log IoC inizieranno a essere trasmessi in streaming a Google SecOps.
Formati dei log di CrowdStrike supportati
Il parser di CrowdStrike supporta i log in formato JSON.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.