이 페이지는 Cloud Translation API를 통해 번역되었습니다.

CrowdStrike Falcon 로그 수집

이 문서에서는 다음과 같이 CrowdStrike Falcon 로그를 Google Security Operations에 수집하는 방법을 안내합니다.

Google Security Operations 피드를 설정하여 CrowdStrike Falcon 로그를 수집합니다.
CrowdStrike Falcon 로그 필드를 Google SecOps 통합 데이터 모델 (UDM) 필드에 매핑합니다.
지원되는 CrowdStrike Falcon 로그 유형 및 이벤트 유형을 이해합니다.

자세한 내용은 Google SecOps에 데이터 수집 개요를 참고하세요.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

CrowdStrike Falcon 호스트 센서를 설치할 수 있는 CrowdStrike 인스턴스의 관리자 권한
배포 아키텍처의 모든 시스템은 UTC 시간대로 구성됩니다.
대상 기기가 지원되는 운영체제에서 실행됨
- 64비트 서버여야 합니다.
- Microsoft Windows Server 2008 R2 SP1은 CrowdStrike Falcon Host 센서 버전 6.51 이상에서 지원됩니다.
- 기존 OS 버전은 SHA-2 코드 서명을 지원해야 합니다.
Google SecOps 서비스 계정 파일 및 Google SecOps 지원팀의 고객 ID

Google SecOps 피드 통합으로 CrowdStrike Falcon 배포

일반적인 배포는 로그를 전송하는 CrowdStrike Falcon과 로그를 가져오는 Google SecOps 피드로 구성됩니다. 배포는 설정에 따라 약간 다를 수 있습니다.

배포에는 일반적으로 다음 구성요소가 포함됩니다.

CrowdStrike Falcon Intelligence: 로그를 수집하는 CrowdStrike 제품입니다.
CrowdStrike 피드 CrowdStrike에서 로그를 가져와 Google SecOps에 작성하는 CrowdStrike 피드입니다.
CrowdStrike Intel Bridge: 데이터 소스에서 위협 지표를 수집하여 Google SecOps로 전달하는 CrowdStrike 제품입니다.
Google SecOps: CrowdStrike 감지 로그를 보관, 정규화, 분석하는 플랫폼입니다.
원시 로그 데이터를 UDM 형식으로 정규화하는 수집 라벨 파서입니다. 이 문서의 정보는 다음 수집 라벨이 있는 CrowdStrike Falcon 파서에 적용됩니다.
- CS_EDR
- CS_DETECTS
- CS_IOC CrowdStrike 침해 지표 (IoC) 파서는 다음과 같은 지표 유형을 지원합니다.
  - domain
  - email_address
  - file_name
  - file_path
  - hash_md5
  - hash_sha1
  - hash_sha256
  - ip_address
  - mutex_name
  - url

CrowdStrike EDR 로그용 Google SecOps 피드 구성

피드를 구성하려면 다음 절차가 필요합니다.

CrowdStrike 구성 방법

Falcon Data Replicator 피드를 설정하려면 다음 단계를 따르세요.

CrowdStrike Falcon Console에 로그인합니다.
앱 지원 > Falcon Data Replicator로 이동합니다.
추가를 클릭하여 새 Falcon Data Replicator 피드를 만들고 다음 값을 생성합니다.
- 피드
- S3 식별자
- SQS URL
클라이언트 보안 비밀번호 Google SecOps에서 피드를 설정하려면 이 값을 유지합니다.

자세한 내용은 Falcon Data Replicator 피드를 설정하는 방법을 참고하세요.

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 두 가지 진입점이 있습니다.

SIEM 설정 > 피드
콘텐츠 허브 > 콘텐츠 팩

SIEM 설정 > 피드에서 피드 설정

이 제품군 내에서 여러 로그 유형에 대해 여러 피드를 구성하려면 제품별 피드 구성을 참고하세요.

단일 피드를 구성하려면 다음 단계를 따르세요.

Amazon SQS로 수집 피드 설정

Amazon SQS (권장) 또는 Amazon S3를 사용하여 Google SecOps에서 수집 피드를 설정할 수 있습니다.

Amazon SQS로 처리 피드를 설정하려면 다음 단계를 완료하세요.

SIEM 설정 > 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: Crowdstrike Falcon Logs).
소스 유형에서 Amazon SQS를 선택합니다.
로그 유형에서 CrowdStrike Falcon을 선택합니다.

만든 서비스 계정 및 Amazon SQS 구성에 따라 다음 필드의 값을 지정합니다.

필드	설명
`region`	SQS 대기열과 연결된 리전입니다.
`QUEUE NAME`	읽어올 SQS 큐의 이름입니다.
`ACCOUNT NUMBER`	SQS 대기열을 소유한 계정 번호입니다.
`source deletion option`	데이터를 전송한 후 파일 및 디렉터리를 삭제하는 옵션입니다.
`QUEUE ACCESS KEY ID`	20자 길이의 액세스 키 ID입니다. 예를 들면 `AKIAOSFOODNN7EXAMPLE`입니다.
`QUEUE SECRET ACCESS KEY`	40자 길이의 보안 비밀 액세스 키입니다. 예를 들면 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`입니다.
`asset namespace`	피드와 연결된 네임스페이스입니다.
`submit`	피드 구성을 Google SecOps에 제출하고 저장합니다.

문제가 발생하면 Google SecOps 지원팀에 문의하세요.

Amazon S3 버킷으로 수집 피드 설정

S3 버킷을 사용하여 처리 피드를 설정하려면 다음 단계를 따르세요.

SIEM 설정 > 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: Crowdstrike Falcon Logs).
소스 유형에서 Amazon SQS를 선택합니다.
소스 유형에서 Amazon S3를 선택합니다.
로그 유형에서 CrowdStrike Falcon을 선택합니다.

내가 만든 서비스 계정 및 Amazon S3 버킷 구성에 따라 다음 필드의 값을 지정합니다.

필드	설명
`region`	S3 리전 URI입니다.
`S3 uri`	S3 버킷 소스 URI입니다.
`uri is a`	URI가 가리키는 객체 유형 (예: 파일 또는 폴더)입니다.
`source deletion option`	데이터를 전송한 후 파일 및 디렉터리를 삭제하는 옵션입니다.
`access key id`	액세스 키 (20자리 영숫자 문자열) 예를 들면 `AKIAOSFOODNN7EXAMPLE`입니다.
`secret access key`	보안 비밀 액세스 키 (40자 영숫자 문자열) 예를 들면 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`입니다.
`oauth client id`	공개 OAuth 클라이언트 ID입니다.
`oauth client secret`	OAuth 2.0 클라이언트 보안 비밀번호
`oauth secret refresh uri`	OAuth 2.0 클라이언트 보안 비밀번호 새로고침 URI입니다.
`asset namespace`	피드와 연결된 네임스페이스입니다.

Content Hub에서 피드 설정하기

Google SecOps에서 Amazon SQS (권장) 또는 Amazon S3를 사용하여 수집 피드를 구성할 수 있습니다.

다음 필드의 값을 지정합니다.

리전: S3 버킷 또는 SQS 대기열이 호스팅되는 리전입니다.
큐 이름: 로그 데이터를 읽을 SQS 큐의 이름입니다.
계정 번호: SQS 대기열을 소유한 계정 번호입니다.
대기열 액세스 키 ID: 20자 길이의 계정 액세스 키 ID입니다. 예를 들면 AKIAOSFOODNN7EXAMPLE입니다.
대기열 보안 비밀 액세스 키: 40자 길이의 보안 비밀 액세스 키입니다. 예를 들면 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY입니다.
소스 삭제 옵션: 데이터를 전송한 후 파일과 디렉터리를 삭제하는 옵션입니다.

고급 옵션

피드 이름: 피드를 식별하는 미리 입력된 값입니다.
소스 유형: Google SecOps로 로그를 수집하는 데 사용되는 방법입니다.
애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.

CrowdStrike 로그용 Google SecOps 피드 구성

CrowdStrike 감지 모니터링 로그를 전달하려면 다음 단계를 따르세요.

CrowdStrike Falcon Console에 로그인합니다.
앱 지원 > API 클라이언트 및 키로 이동합니다 .
CrowdStrike Falcon에서 새 API 클라이언트 키 쌍을 만듭니다. 이 키 쌍에는 CrowdStrike Falcon의 Detections 및 Alerts에 대한 READ 권한이 있어야 합니다.

CrowdStrike 감지 모니터링 로그를 수신하려면 다음 단계를 따르세요.

Google SecOps 인스턴스에 로그인합니다.
SIEM 설정 > 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: Crowdstrike Falcon Logs).
소스 유형에서 Amazon SQS를 선택합니다.
소스 유형에서 서드 파티 API를 선택합니다.
로그 유형에서 CrowdStrike Detection Monitoring을 선택합니다.

문제가 발생하면 Google SecOps 지원팀에 문의하세요.

CrowdStrike IoC 로그를 Google SecOps로 수집

IoC 로그의 경우 CrowdStrike에서 Google SecOps로 로그를 수집하도록 구성하려면 다음 단계를 완료하세요.

CrowdStrike Falcon Console에서 새 API 클라이언트 키 쌍을 만듭니다. 이 키 쌍을 사용하면 Google SecOps Intel Bridge가 CrowdStrike Falcon의 이벤트 및 보충 정보에 액세스하여 읽을 수 있습니다. 설정 안내는 CrowdStrike to Google SecOps Intel Bridge를 참고하세요.
키 쌍을 만들 때 Indicators (Falcon Intelligence)에 READ 권한을 부여합니다.
CrowdStrike to Google SecOps Intel Bridge의 단계에 따라 Google SecOps Intel Bridge를 설정합니다.

다음 Docker 명령어를 실행하여 CrowdStrike에서 Google SecOps로 로그를 전송합니다. 여기서 sa.json는 Google SecOps 서비스 계정 파일입니다.

docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

컨테이너가 성공적으로 실행되면 IoC 로그가 Google SecOps로 스트리밍되기 시작합니다.

지원되는 CrowdStrike 로그 형식

CrowdStrike 파서는 JSON 형식의 로그를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.