收集 CrowdStrike Falcon 記錄

本文將說明如何將 CrowdStrike Falcon 記錄擷取至 Google Security Operations,步驟如下:

  • 設定 Google Security Operations 動態饋給,收集 CrowdStrike Falcon 記錄。
  • 將 CrowdStrike Falcon 記錄欄位對應至 Google SecOps 統合資料模型 (UDM) 欄位。
  • 瞭解 CrowdStrike Falcon 支援的記錄類型和事件類型。

詳情請參閱「將資料匯入 Google SecOps 總覽」。

事前準備

請確認您已完成下列事前準備:

  • CrowdStrike 執行個體的管理員權限,以便安裝 CrowdStrike Falcon 主機感應器
  • 部署架構中的所有系統都以世界標準時間 (UTC) 為準。
  • 目標裝置在支援的作業系統上執行
    • 必須是 64 位元伺服器
    • CrowdStrike Falcon 主機感應器 6.51 以上版本支援 Microsoft Windows Server 2008 R2 SP1。
    • 舊版作業系統必須支援 SHA-2 程式碼簽署。
  • Google SecOps 支援團隊提供的 Google SecOps 服務帳戶檔案和客戶 ID

部署 CrowdStrike Falcon 並整合 Google SecOps 動態饋給

一般部署作業包括傳送記錄的 CrowdStrike Falcon,以及擷取記錄的 Google SecOps 動態饋給。實際部署作業可能會因設定而略有不同。

部署作業通常包含下列元件:

  • CrowdStrike Falcon Intelligence:您收集記錄的 CrowdStrike 產品。
  • CrowdStrike 動態饋給。CrowdStrike 動態饋給,可從 CrowdStrike 擷取記錄,並將記錄寫入 Google SecOps。
  • CrowdStrike Intel Bridge:CrowdStrike 產品,可從資料來源收集威脅指標,並轉送至 Google SecOps。
  • Google SecOps:這個平台可保留、正規化及分析 CrowdStrike 偵測記錄。
  • 擷取標籤剖析器,將原始記錄資料正規化為 UDM 格式。本文中的資訊適用於使用下列攝入標籤的 CrowdStrike Falcon 剖析器:
    • CS_EDR
    • CS_DETECTS
    • CS_IOC CrowdStrike 入侵指標 (IoC) 剖析器支援下列指標類型:
      • domain
      • email_address
      • file_name
      • file_path
      • hash_md5
      • hash_sha1
      • hash_sha256
      • ip_address
      • mutex_name
      • url

為 CrowdStrike EDR 記錄設定 Google SecOps 動態饋給

如要設定動態饋給,請按照下列步驟操作。

如何設定 CrowdStrike

如要設定 Falcon Data Replicator 動態饋給,請按照下列步驟操作:

  1. 登入 CrowdStrike Falcon 控制台。
  2. 依序前往「支援的應用程式」 >「Falcon Data Replicator」
  3. 按一下「Add」建立新的 Falcon Data Replicator 動態饋給,並產生下列值:
    • 動態消息
    • S3 ID
    • SQS 網址
  4. 用戶端密鑰。請保留這些值,以便在 Google SecOps 中設定動態饋給。

詳情請參閱「如何設定 Falcon Data 複製器動態饋給」。

設定動態饋給

在 Google SecOps 平台中,有兩個不同的入口可用來設定動態消息:

  • SIEM 設定 > 動態饋給
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態」設定動態

如要針對這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

如要設定單一動態饋給,請按照下列步驟操作:

使用 Amazon SQS 設定擷取動態饋給

您可以使用 Amazon SQS (建議) 或 Amazon S3 在 Google SecOps 中設定擷取動態饋給。

如要使用 Amazon SQS 設定擷取動態饋給,請完成下列步驟:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一頁中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給的名稱,例如「Crowdstrike Falcon Logs」
  5. 在「Source type」(來源類型) 中,選取「Amazon SQS」
  6. 在「記錄類型」中,選取「CrowdStrike Falcon」
  7. 根據您建立的服務帳戶和 Amazon SQS 設定,指定下列欄位的值:
    欄位 說明
    region 與 SQS 佇列相關聯的區域。
    QUEUE NAME 要讀取的 SQS 佇列名稱。
    ACCOUNT NUMBER 擁有 SQS 佇列的帳號。
    source deletion option 在資料移轉後刪除檔案和目錄的選項。
    QUEUE ACCESS KEY ID 20 個字元的存取金鑰 ID。例如 AKIAOSFOODNN7EXAMPLE
    QUEUE SECRET ACCESS KEY 40 個字元的私密存取金鑰。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    asset namespace 與動態饋給相關聯的命名空間。
    submit 提交並儲存動態饋給設定至 Google SecOps。

如果遇到問題,請與 Google SecOps 支援團隊聯絡。

使用 Amazon S3 儲存貯體設定擷取動態饋給

如要使用 S3 值區設定擷取動態饋給,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一頁中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給的名稱,例如「Crowdstrike Falcon Logs」
  5. 在「Source type」(來源類型) 中,選取「Amazon SQS」
  6. 在「Source type」(來源類型) 中,選取「Amazon S3」
  7. 在「記錄類型」中,選取「CrowdStrike Falcon」
  8. 根據您建立的服務帳戶和 Amazon S3 值區設定,指定下列欄位的值:
    欄位 說明
    region S3 區域 URI。
    S3 uri S3 值區來源 URI。
    uri is a URI 指向的物件類型 (例如檔案或資料夾)。
    source deletion option 在資料移轉後刪除檔案和目錄的選項。
    access key id 存取金鑰 (20 個英數字元的字串)。例如 AKIAOSFOODNN7EXAMPLE
    secret access key 存取密鑰 (40 個英數字元的字串)。例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    oauth client id 公開的 OAuth 用戶端 ID。
    oauth client secret OAuth 2.0 用戶端密鑰。
    oauth secret refresh uri OAuth 2.0 用戶端密鑰重新整理 URI。
    asset namespace 與動態饋給相關聯的命名空間。

透過內容中心設定動態饋給

您可以使用 Amazon SQS (建議) 或 Amazon S3,在 Google SecOps 中設定擷取動態饋給。

指定下列欄位的值:

  • 區域:S3 值區或 SQS 佇列的託管區域。
  • 佇列名稱:要讀取記錄資料的 SQS 佇列名稱。
  • 帳號:擁有 SQS 佇列的帳號。
  • 佇列存取金鑰 ID:20 個字元的帳戶存取金鑰 ID。例如:AKIAOSFOODNN7EXAMPLE
  • 佇列存取密鑰:40 個字元的存取密鑰。例如:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
  • 來源刪除選項:在資料移轉後刪除檔案和目錄的選項。

進階選項

  • 動態饋給名稱:預先填入的值,用於識別動態饋給。
  • 來源類型:用於收集記錄並匯入 Google SecOps 的方法。
  • 資產命名空間與動態饋給相關聯的命名空間
  • 擷取標籤:套用至這個動態饋給中所有事件的標籤。

為 CrowdStrike 記錄設定 Google SecOps 動態饋給

如要轉送 CrowdStrike 偵測監控記錄,請按照下列步驟操作:

  1. 登入 CrowdStrike Falcon 控制台。
  2. 依序前往「支援的應用程式」 >「API 用戶端和金鑰」
  3. 在 CrowdStrike Falcon 中建立新的 API 用戶端金鑰組。這個金鑰組合必須具備 CrowdStrike Falcon 的 DetectionsAlertsREAD 權限。

如要接收 CrowdStrike 偵測監控記錄,請按照下列步驟操作:

  1. 登入 Google SecOps 執行個體。
  2. 依序前往「SIEM 設定」>「動態饋給」
  3. 按一下「新增動態消息」
  4. 在下一頁中,按一下「設定單一動態饋給」
  5. 在「動態饋給名稱」欄位中輸入動態饋給的名稱,例如「Crowdstrike Falcon Logs」
  6. 在「Source type」(來源類型) 中,選取「Amazon SQS」
  7. 在「Source type」(來源類型) 中,選取「Third Party API」
  8. 在「Log type」(記錄類型) 中,選取「CrowdStrike Detection Monitoring」(CrowdStrike Detection Monitoring)

如果遇到問題,請與 Google SecOps 支援團隊聯絡。

將 CrowdStrike IoC 記錄擷取至 Google SecOps

如要將 CrowdStrike 記錄匯入 Google SecOps 以便記錄 IoC,請完成下列步驟:

  1. 在 CrowdStrike Falcon 控制台中建立新的 API 用戶端金鑰組。這個金鑰組可讓 Google SecOps Intel Bridge 存取及讀取 CrowdStrike Falcon 的事件和附加資訊。如需設定操作說明,請參閱「CrowdStrike 與 Google SecOps Intel Bridge」。
  2. 建立金鑰組時,請將 READ 權限提供給 Indicators (Falcon Intelligence)
  3. 按照「CrowdStrike 到 Google SecOps Intel Bridge」中的步驟設定 Google SecOps Intel Bridge。

  4. 執行下列 Docker 指令,將 CrowdStrike 的記錄傳送至 Google SecOps,其中 sa.json 是 Google SecOps 服務帳戶檔案:

    docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

  5. 容器順利執行後,系統就會開始將 IoC 記錄串流處理至 Google SecOps。

支援的 CrowdStrike 記錄格式

CrowdStrike 剖析器支援 JSON 格式的記錄。

還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。