收集 CrowdStrike Falcon 日志

本文档提供了有关如何将 CrowdStrike Falcon 日志注入到 Google Security Operations 的指导,如下所示:

  • 通过设置 Google Security Operations Feed 来收集 CrowdStrike Falcon 日志。
  • 将 CrowdStrike Falcon 日志字段映射到 Google SecOps 统一数据模型 (UDM) 字段。
  • 了解支持的 CrowdStrike Falcon 日志类型和事件类型。

如需了解详情,请参阅将数据提取到 Google SecOps 概览

准备工作

确保您满足以下前提条件:

  • 对 CrowdStrike 实例的管理员权限,用于安装 CrowdStrike Falcon 主机传感器
  • 部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。
  • 目标设备搭载受支持的操作系统
    • 必须是 64 位服务器
    • CrowdStrike Falcon Host 传感器版本 6.51 或更高版本支持 Microsoft Windows Server 2008 R2 SP1。
    • 旧版操作系统版本必须支持 SHA-2 代码签名。
  • Google SecOps 支持团队提供的 Google SecOps 服务账号文件和您的客户 ID

部署集成了 Google SecOps Feed 的 CrowdStrike Falcon

典型的部署包括发送日志的 CrowdStrike Falcon,以及提取日志的 Google SecOps Feed。您的部署可能会因您的设置而略有不同。

该部署通常包含以下组件:

  • CrowdStrike Falcon Intelligence:您要从中收集日志的 CrowdStrike 产品。
  • CrowdStrike Feed。CrowdStrike Feed,用于从 CrowdStrike 提取日志并将其写入 Google SecOps。
  • CrowdStrike Intel Bridge:CrowdStrike 产品,用于从数据源收集威胁指标并将其转发给 Google SecOps。
  • Google SecOps:用于保留、标准化和分析 CrowdStrike 检测日志的平台。
  • 一种注入标签解析器,用于将原始日志数据标准化为 UDM 格式。本文档中的信息适用于具有以下提取标签的 CrowdStrike Falcon 解析器:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike 失陷指标 (IoC) 解析器支持以下指标类型:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

为 CrowdStrike EDR 日志配置 Google SecOps Feed

您需要执行以下步骤来配置 Feed。

如何配置 CrowdStrike

如需设置 Falcon Data Replicator Feed,请按以下步骤操作:

  1. 登录 CrowdStrike Falcon 控制台。
  2. 依次选择支持的应用 > Falcon Data Replicator
  3. 点击添加以创建新的 Falcon Data Replicator Feed,并生成以下值:
    • Feed
    • S3 标识符
    • SQS 网址
  4. 客户端密钥。 记下这些值,以便在 Google SecOps 中设置 Feed。

如需了解详情,请参阅如何设置 Falcon Data Replicator Feed

设置 Feed

您可以通过以下两个不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

依次选择 SIEM 设置 > Feed,设置 Feed

如需为此产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

如需配置单个 Feed,请按以下步骤操作:

使用 Amazon SQS 设置提取 Feed

您可以使用 Amazon SQS(首选)或 Amazon S3 在 Google SecOps 中设置提取 Feed。

如需使用 Amazon SQS 设置提取 Feed,请完成以下操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称;例如 Crowdstrike Falcon 日志
  5. 来源类型中,选择 Amazon SQS
  6. 日志类型中,选择 CrowdStrike Falcon
  7. 根据您创建的服务账号和 Amazon SQS 配置,为以下字段指定值:
    字段 说明
    region 与 SQS 队列关联的区域。
    QUEUE NAME 要从中读取数据的 SQS 队列的名称。
    ACCOUNT NUMBER 拥有 SQS 队列的账号编号。
    source deletion option 用于在转移数据后删除文件和目录的选项。
    QUEUE ACCESS KEY ID 20 位字符的访问密钥 ID。例如 AKIAOSFOODNN7EXAMPLE
    QUEUE SECRET ACCESS KEY 40 个字符的私有访问密钥。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    asset namespace 与 Feed 关联的命名空间。
    submit 将 Feed 配置提交并保存到 Google SecOps。

如果您遇到问题,请与 Google SecOps 支持团队联系。

使用 Amazon S3 存储桶设置提取 Feed

如需使用 S3 存储桶设置提取 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称;例如 Crowdstrike Falcon 日志
  5. 来源类型中,选择 Amazon SQS
  6. 来源类型中,选择 Amazon S3
  7. 日志类型中,选择 CrowdStrike Falcon
  8. 根据您创建的服务账号和 Amazon S3 存储桶配置,为以下字段指定值:
    字段 说明
    region S3 区域 URI。
    S3 uri S3 存储桶来源 URI。
    uri is a URI 指向的对象类型(例如文件或文件夹)。
    source deletion option 用于在转移数据后删除文件和目录的选项。
    access key id 访问密钥(20 个字符的字母数字字符串)。例如 AKIAOSFOODNN7EXAMPLE
    secret access key 私有访问密钥(40 个字符的字母数字字符串)。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id 公开 OAuth 客户端 ID。
    oauth client secret OAuth 2.0 客户端密钥。
    oauth secret refresh uri OAuth 2.0 客户端密钥刷新 URI。
    asset namespace 与 Feed 关联的命名空间。

通过内容中心设置 Feed

您可以在 Google SecOps 中使用 Amazon SQS(首选)或 Amazon S3 配置提取 Feed。

为以下字段指定值:

  • 区域:托管 S3 存储桶或 SQS 队列的区域。
  • 队列名称:要从中读取日志数据的 SQS 队列的名称。
  • 账号:拥有 SQS 队列的账号。
  • 队列访问密钥 ID:包含 20 个字符的账号访问密钥 ID。例如 AKIAOSFOODNN7EXAMPLE
  • 队列私有访问密钥:40 个字符的私有访问密钥。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
  • 源删除选项:用于在转移数据后删除文件和目录的选项。

高级选项

  • Feed 名称:用于标识 Feed 的预先填充值。
  • 来源类型:用于将日志收集到 Google SecOps 的方法。
  • 资产命名空间与 Feed 关联的命名空间
  • 提取标签 - 应用于此 Feed 中的所有事件的标签。

为 CrowdStrike 日志配置 Google SecOps Feed

如需转发 CrowdStrike 检测监控日志,请按以下步骤操作:

  1. 登录 CrowdStrike Falcon 控制台。
  2. 依次前往支持应用 > API 客户端和密钥
  3. 在 CrowdStrike Falcon 中创建新的 API 客户端密钥对。此密钥对必须对 CrowdStrike Falcon 中的 DetectionsAlerts 具有 READ 权限。

如需接收 CrowdStrike 检测监控日志,请按以下步骤操作:

  1. 登录您的 Google SecOps 实例。
  2. 依次前往 SIEM 设置 > Feed
  3. 点击添加新 Feed
  4. 在下一页上,点击配置单个 Feed
  5. Feed 名称字段中,输入 Feed 的名称;例如 Crowdstrike Falcon 日志
  6. 来源类型中,选择 Amazon SQS
  7. 来源类型中,选择第三方 API
  8. 日志类型中,选择 CrowdStrike Detection Monitoring

如果您遇到问题,请与 Google SecOps 支持团队联系。

将 CrowdStrike IoC 日志注入到 Google SecOps

如需将日志从 CrowdStrike 提取到 Google SecOps 以获取 IoC 日志,请完成以下步骤:

  1. 在 CrowdStrike Falcon 控制台中创建新的 API 客户端密钥对。借助此密钥对,Google SecOps Intel Bridge 可以访问和读取 CrowdStrike Falcon 中的事件和补充信息。如需查看设置说明,请参阅 CrowdStrike 到 Google SecOps 情报桥接
  2. 创建密钥对时,向 Indicators (Falcon Intelligence) 提供 READ 权限。
  3. 按照 CrowdStrike 到 Google SecOps 情报桥接中的步骤设置 Google SecOps 情报桥接。

  4. 运行以下 Docker 命令,将 CrowdStrike 中的日志发送到 Google SecOps,其中 sa.json 是 Google SecOps 服务账号文件:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. 容器成功运行后,IoC 日志将开始流式传输到 Google SecOps。

支持的 CrowdStrike 日志格式

CrowdStrike 解析器支持 JSON 格式的日志。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。