CrowdStrike Detection ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フィードを使用して CrowdStrike Detection のログを Google Security Operations にエクスポートする方法と、CrowdStrike Detection フィールドが Google Security Operations の統合データモデル(UDM)フィールドにマッピングされる方法について説明します。

詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

一般的なデプロイは、CrowdStrike と、Google Security Operations にログを送信するように構成された Google Security Operations フィードで構成されます。お客様のデプロイはそれぞれ異なり、より複雑になる場合もあります。

デプロイには次のコンポーネントが含まれます。

  • CrowdStrike Falcon Intelligence: ログを収集する CrowdStrike プロダクト。

  • CrowdStrike フィード: CrowdStrike からログを取得して Google SecOps に書き込む CrowdStrike フィード。

  • Google Security Operations: CrowdStrike Detection ログを保持して分析します。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CS_DETECTS が付加されたパーサーに適用されます。

始める前に

  • CrowdStrike Falcon ホストセンサーをインストールするために、CrowdStrike インスタンスに対する管理者権限があることを確認します。

  • デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。

  • デバイスがサポートされているオペレーティング システムで実行されていることを確認します。

    • OS は 64 ビット サーバーで実行されている必要があります。Microsoft Windows Server 2008 R2 SP1 は、CrowdStrike Falcon ホスト センサー バージョン 6.51 以降でサポートされています。
    • 以前の OS バージョン(Windows 7 SP1 など)を実行しているシステムでは、デバイスに SHA-2 コード署名サポートがインストールされている必要があります。

  • Google Security Operations サポートチームから、Google Security Operations サービス アカウント ファイルとお客様 ID を取得します。

ログを取り込むように CrowdStrike を構成する

取り込みフィードを設定する手順は次のとおりです。

  1. CrowdStrike Falcon で新しい API クライアント キーペアを作成します。このキーペアは、CrowdStrike Falcon からイベントと補足情報を読み取ります。
  2. 認証鍵ペアを作成するときに、DetectionsREAD 権限を付与します。

Google Security Operations でフィードを構成して、CrowdStrike 検出ログを取り込む

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New] をクリックします。
  3. [フィールド名] に一意の名前を入力します。
  4. [ソースタイプ] として [サードパーティ API] を選択します。
  5. [Log Type] で [CrowdStrike Detection Monitoring] を選択します。
  6. [次へ] をクリックします。
  7. 次の必須入力パラメータを構成します。
    • OAuth トークン エンドポイント: エンドポイントを指定します。
    • OAuth クライアント ID: 前の手順で取得したクライアント ID を指定します。
    • OAuth クライアント シークレット: 前の手順で取得したクライアント シークレットを指定します。
    • Base URL: ベース URL を指定します。
  8. [次へ] をクリックし、[送信] をクリックします。