CrowdStrike-Erkennungsprotokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie CrowdStrike-Erkennungsprotokolle über den Google Security Operations-Feed in Google Security Operations exportieren und wie CrowdStrike-Erkennungsfelder den UDM-Feldern (Unified Data Model) von Google Security Operations zugeordnet werden.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Eine typische Bereitstellung besteht aus CrowdStrike und dem Google Security Operations-Feed, der so konfiguriert ist, dass Logs an Google Security Operations gesendet werden. Jede Kundenimplementierung kann sich unterscheiden und möglicherweise komplexer sein.

Die Bereitstellung umfasst die folgenden Komponenten:

  • CrowdStrike Falcon Intelligence: Das CrowdStrike-Produkt, von dem Sie Protokolle erfassen.

  • CrowdStrike-Feed Der CrowdStrike-Feed, der Protokolle von CrowdStrike abholt und in Google SecOps schreibt.

  • Google Security Operations: Hier werden die CrowdStrike-Erkennungslogs aufbewahrt und analysiert.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel CS_DETECTS.

Hinweise

  • Sie benötigen Administratorrechte für die CrowdStrike-Instanz, um den CrowdStrike Falcon-Host-Sensor zu installieren.

  • Alle Systeme in der Bereitstellungsarchitektur müssen in der Zeitzone UTC konfiguriert sein.

  • Achten Sie darauf, dass auf dem Gerät ein unterstütztes Betriebssystem ausgeführt wird.

    • Das Betriebssystem muss auf einem 64-Bit-Server ausgeführt werden. Microsoft Windows Server 2008 R2 SP1 wird für CrowdStrike Falcon-Hostsensorversionen 6.51 oder höher unterstützt.
    • Auf Systemen mit älteren Betriebssystemversionen (z. B. Windows 7 SP1) muss die SHA-2-Codesignatur unterstützt werden.

  • Wenden Sie sich an das Google Security Operations-Supportteam, um die Datei des Google Security Operations-Dienstkontos und Ihre Kundennummer zu erhalten.

CrowdStrike für die Aufnahme von Protokollen konfigurieren

So richten Sie einen Datenaufnahmefeed ein:

  1. Erstellen Sie ein neues API-Client-Schlüsselpaar in CrowdStrike Falcon. Dieses Schlüsselpaar liest Ereignisse und zusätzliche Informationen aus CrowdStrike Falcon.
  2. Weisen Sie READ beim Erstellen des Schlüsselpaars die Berechtigung Detections zu.

Feed in Google Security Operations für die Aufnahme von CrowdStrike-Erkennungsprotokollen konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
  3. Geben Sie einen eindeutigen Namen für das Feld ein.
  4. Wählen Sie API von Drittanbietern als Quelltyp aus.
  5. Wählen Sie CrowdStrike Detection Monitoring als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • OAuth-Token-Endpunkt: Geben Sie den Endpunkt an.
    • OAuth-Client-ID: Geben Sie die Client-ID an, die Sie zuvor abgerufen haben.
    • OAuth-Clientschlüssel: Geben Sie den zuvor abgerufenen Clientschlüssel an.
    • Basis-URL: Geben Sie die Basis-URL an.
  8. Klicken Sie auf Weiter und dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten