Mengumpulkan log Deteksi CrowdStrike
Dokumen ini menjelaskan cara mengekspor log Deteksi CrowdStrike ke Google Security Operations melalui feed Google Security Operations, dan cara kolom Deteksi CrowdStrike dipetakan ke kolom Unified Data Model (UDM) Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.
Deployment standar terdiri dari CrowdStrike dan feed Google Security Operations yang dikonfigurasi untuk mengirim log ke Google Security Operations. Setiap deployment pelanggan dapat berbeda dan mungkin lebih kompleks.
Deployment berisi komponen berikut:
CrowdStrike Falcon Intelligence: Produk CrowdStrike tempat Anda mengumpulkan log.
Feed CrowdStrike. Feed CrowdStrike yang mengambil log dari CrowdStrike dan menulis log ke Google SecOps.
Google Security Operations: Menyimpan dan menganalisis log Deteksi CrowdStrike.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer CS_DETECTS
.
Sebelum memulai
Pastikan Anda memiliki hak administrator di instance CrowdStrike untuk menginstal sensor Host CrowdStrike Falcon.
Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC
Pastikan perangkat berjalan di sistem operasi yang didukung.
- OS harus berjalan di server 64-bit. Microsoft Windows server 2008 R2 SP1 didukung untuk sensor Host CrowdStrike Falcon versi 6.51 atau yang lebih baru.
- Sistem yang menjalankan versi OS lama (misalnya, Windows 7 SP1) memerlukan dukungan penandatanganan kode SHA-2 yang diinstal di perangkatnya.
Dapatkan file akun layanan Google Security Operations dan ID pelanggan Anda dari tim dukungan Google Security Operations.
Mengonfigurasi CrowdStrike untuk menyerap log
Untuk menyiapkan feed transfer, ikuti langkah-langkah berikut:
- Buat pasangan kunci klien API baru di CrowdStrike Falcon. Pasangan kunci ini membaca peristiwa dan informasi tambahan dari CrowdStrike Falcon.
- Berikan izin
READ
keDetections
saat membuat pasangan kunci.
Mengonfigurasi feed di Google Security Operations untuk menyerap log Deteksi CrowdStrike
- Buka Setelan SIEM > Feed.
- Klik Add New.
- Masukkan nama unik untuk Nama Kolom.
- Pilih API pihak ketiga sebagai Jenis Sumber.
- Pilih CrowdStrike Detection Monitoring sebagai Log Type.
- Klik Berikutnya.
- Konfigurasikan parameter input wajib berikut:
- Endpoint Token OAuth: tentukan endpoint.
- Client ID OAuth: tentukan client ID yang Anda peroleh sebelumnya.
- Rahasia Klien OAuth: tentukan rahasia klien yang Anda dapatkan sebelumnya.
- Base URL: tentukan Base URL.
- Klik Berikutnya, lalu klik Kirim.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.