Recopila registros de detección de CrowdStrike

Compatible con:

En este documento, se describe cómo puedes exportar registros de CrowdStrike Detection a Google Security Operations mediante el feed de Google Security Operations y cómo los campos de CrowdStrike Detection se asignan a los campos del modelo de datos unificados (UDM) de Google Security Operations.

Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.

Una implementación típica consiste en CrowdStrike y el feed de Google Security Operations configurado para enviar registros a Google Security Operations. Cada implementación de cliente puede diferir y ser más compleja.

La implementación contiene los siguientes componentes:

  • CrowdStrike Falcon Intelligence: Es el producto de CrowdStrike desde el que recopilas registros.

  • Feed de CrowdStrike. El feed de CrowdStrike que recupera registros de CrowdStrike y escribe registros en Google SecOps.

  • Google Security Operations: Retiene y analiza los registros de detección de CrowdStrike.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia CS_DETECTS.

Antes de comenzar

  • Asegúrate de tener derechos de administrador en la instancia de CrowdStrike para instalar el sensor de host de CrowdStrike Falcon.

  • Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

  • Asegúrate de que el dispositivo se ejecute en un sistema operativo compatible.

    • El SO debe ejecutarse en un servidor de 64 bits. Microsoft Windows Server 2008 R2 SP1 es compatible con las versiones 6.51 o posteriores del sensor de host de CrowdStrike Falcon.
    • Los sistemas que ejecutan versiones heredadas del SO (por ejemplo, Windows 7 SP1) requieren la compatibilidad con la firma de código SHA-2 instalada en sus dispositivos.

  • Obtén el archivo de la cuenta de servicio de Google Security Operations y tu ID de cliente del equipo de asistencia al cliente de Google Security Operations.

Configura CrowdStrike para transferir registros

Para configurar un feed de transferencia, sigue estos pasos:

  1. Crea un nuevo par de claves de cliente de API en CrowdStrike Falcon. Este par de claves lee eventos y información complementaria de CrowdStrike Falcon.
  2. Proporciona permiso READ a Detections mientras creas el par de claves.

Configura un feed en Google Security Operations para transferir registros de detección de CrowdStrike

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. Ingresa un nombre único para el Nombre del campo.
  4. Selecciona API de terceros como el Tipo de fuente.
  5. Selecciona CrowdStrike Detection Monitoring como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Configura los siguientes parámetros de entrada obligatorios:
    • Extremo de tokens de OAuth: Especifica el extremo.
    • ID de cliente de OAuth: Especifica el ID de cliente que obtuviste antes.
    • Secreto de cliente de OAuth: Especifica el secreto de cliente que obtuviste anteriormente.
    • URL base: Especifica la URL base.
  8. Haz clic en Siguiente y, luego, en Enviar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.