Raccogliere i log di rilevamento di CrowdStrike

Supportato in:

Questo documento descrive come esportare i log di rilevamento di CrowdStrike in Google Security Operations tramite il feed di Google Security Operations e come i campi di rilevamento di CrowdStrike vengono mappati ai campi del modello di dati unificato (UDM) di Google Security Operations.

Per ulteriori informazioni, consulta la Panoramica dell'importazione dei dati in Google Security Operations.

Un deployment tipico è costituito da CrowdStrike e dal feed di Google Security Operations configurato per inviare i log a Google Security Operations. Ogni implementazione del cliente può essere diversa e potrebbe essere più complessa.

Il deployment contiene i seguenti componenti:

  • CrowdStrike Falcon Intelligence: il prodotto CrowdStrike da cui raccogliete i log.

  • Feed di CrowdStrike. Il feed di CrowdStrike che recupera i log da CrowdStrike e li scrive in Google SecOps.

  • Google Security Operations: conserva e analizza i log di rilevamento di CrowdStrike.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione CS_DETECTS.

Prima di iniziare

  • Assicurati di disporre dei diritti di amministratore sull'istanza CrowdStrike per installare il sensore host CrowdStrike Falcon.

  • Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC

  • Assicurati che il dispositivo sia in esecuzione su un sistema operativo supportato.

    • Il sistema operativo deve essere in esecuzione su un server a 64 bit. Microsoft Windows Server 2008 R2 SP1 è supportato per le versioni 6.51 o successive del sensore CrowdStrike Falcon Host.
    • I sistemi con versioni precedenti del sistema operativo (ad esempio Windows 7 SP1) richiedono la presenza sul dispositivo del supporto per la firma del codice SHA-2.

  • Ottieni il file dell'account di servizio Google Security Operations e il tuo ID cliente dal team di assistenza di Google Security Operations.

Configura CrowdStrike per importare i log

Per configurare un feed di importazione:

  1. Crea una nuova coppia di chiavi client API in CrowdStrike Falcon. Questa coppia di chiavi legge gli eventi e le informazioni supplementari di CrowdStrike Falcon.
  2. Fornisci l'autorizzazione READ a Detections durante la creazione della coppia di chiavi.

Configura un feed in Google Security Operations per importare i log di rilevamento di CrowdStrike

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Add New (Aggiungi nuovo).
  3. Inserisci un nome univoco per il nome del campo.
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Monitoraggio del rilevamento di CrowdStrike come Tipo di log.
  6. Fai clic su Avanti.
  7. Configura i seguenti parametri di input obbligatori:
    • Endpoint del token OAuth: specifica l'endpoint.
    • ID client OAuth: specifica l'ID client ottenuto in precedenza.
    • Client secret OAuth: specifica il client secret ottenuto in precedenza.
    • URL di base: specifica l'URL di base.
  8. Fai clic su Avanti e poi su Invia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.