Collecter les journaux de détection CrowdStrike

Compatible avec:

Ce document explique comment exporter les journaux de détection CrowdStrike vers Google Security Operations via le flux Google Security Operations, et comment les champs de détection CrowdStrike sont mappés sur les champs du modèle de données unifié (UDM) de Google Security Operations.

Pour en savoir plus, consultez la section Présentation de l'ingestion de données dans Google Security Operations.

Un déploiement typique consiste en CrowdStrike et le flux Google Security Operations configuré pour envoyer des journaux à Google Security Operations. Chaque déploiement client peut être différent et plus complexe.

Le déploiement contient les composants suivants:

  • CrowdStrike Falcon Intelligence: produit CrowdStrike à partir duquel vous collectez les journaux.

  • Flux CrowdStrike Flux CrowdStrike qui extrait les journaux de CrowdStrike et les écrit dans Google SecOps.

  • Google Security Operations: conserve et analyse les journaux de détection CrowdStrike.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion CS_DETECTS.

Avant de commencer

  • Assurez-vous de disposer des droits d'administrateur sur l'instance CrowdStrike pour installer le capteur d'hôte CrowdStrike Falcon.

  • Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.

  • Assurez-vous que l'appareil fonctionne sur un système d'exploitation compatible.

    • Le système d'exploitation doit s'exécuter sur un serveur 64 bits. Microsoft Windows Server 2008 R2 SP1 est compatible avec les versions 6.51 ou ultérieures du capteur hôte CrowdStrike Falcon.
    • Les systèmes exécutant d'anciennes versions de système d'exploitation (par exemple, Windows 7 SP1) nécessitent la prise en charge de la signature de code SHA-2 sur leurs appareils.

  • Obtenez le fichier du compte de service Google Security Operations et votre numéro client auprès de l'équipe d'assistance Google Security Operations.

Configurer CrowdStrike pour ingérer des journaux

Pour configurer un flux d'ingestion, procédez comme suit:

  1. Créez une paire de clés client API dans CrowdStrike Falcon. Cette paire de clés lit les événements et les informations supplémentaires de CrowdStrike Falcon.
  2. Accordez l'autorisation READ à Detections lors de la création de la paire de clés.

Configurer un flux dans Google Security Operations pour ingérer les journaux de détection CrowdStrike

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Add New (Ajouter nouveau).
  3. Saisissez un nom unique dans le champ Nom du champ.
  4. Sélectionnez API tierce comme Type de source.
  5. Sélectionnez Surveillance de la détection CrowdStrike comme Type de journal.
  6. Cliquez sur Suivant.
  7. Configurez les paramètres d'entrée obligatoires suivants :
    • Point de terminaison du jeton OAuth: spécifiez le point de terminaison.
    • ID client OAuth: spécifiez l'ID client que vous avez obtenu précédemment.
    • Code secret client OAuth: spécifiez le code secret client que vous avez obtenu précédemment.
    • URL de base: indiquez l'URL de base.
  8. Cliquez sur Suivant, puis sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.