CrowdStrike 감지 로그 수집

이 문서에서는 Google Security Operations 피드를 통해 CrowdStrike 감지 로그를 Google Security Operations로 내보내는 방법과 CrowdStrike 감지 필드가 Google Security Operations 통합 데이터 모델 (UDM) 필드에 매핑되는 방식을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집 개요를 참조하세요.

일반적인 배포는 CrowdStrike와 Google Security Operations에 로그를 전송하도록 구성된 Google Security Operations 피드로 구성됩니다. 고객 배포마다 다를 수 있으며 더 복잡할 수도 있습니다.

배포에는 다음 구성요소가 포함됩니다.

• CrowdStrike Falcon Intelligence: 로그를 수집하는 CrowdStrike 제품입니다.

• CrowdStrike 피드 CrowdStrike에서 로그를 가져오고 로그를 Google SecOps에 작성하는 CrowdStrike 피드입니다.

• Google Security Operations: CrowdStrike 감지 로그를 보관하고 분석합니다.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CS_DETECTS 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

• CrowdStrike Falcon 호스트 센서를 설치할 수 있는 CrowdStrike 인스턴스 관리자 권한이 있는지 확인합니다.

• 배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.

• 기기가 지원되는 운영체제에서 실행 중인지 확인합니다.

  • OS가 64비트 서버에서 실행 중인 상태여야 합니다. Microsoft Windows Server 2008 R2 SP1은 CrowdStrike Falcon Host 센서 버전 6.51 이상에서 지원됩니다.
  • 기존 OS 버전 (예: Windows 7 SP1)을 실행하는 시스템에는 기기에 SHA-2 코드 서명 지원이 설치되어 있어야 합니다.

• Google Security Operations 지원팀에서 Google Security Operations 서비스 계정 파일과 고객 ID를 가져옵니다.

로그를 수집하도록 CrowdStrike 구성

처리 피드를 설정하려면 다음 단계를 따르세요.

1. CrowdStrike Falcon에서 새 API 클라이언트 키 쌍을 만듭니다. 이 키 쌍은 CrowdStrike Falcon에서 이벤트와 보조 정보를 읽습니다.
2. 키 쌍을 만들 때 Detections에 READ 권한을 부여합니다.

CrowdStrike 감지 로그를 수집하도록 Google Security Operations에서 피드 구성

1. SIEM 설정 > 피드로 이동합니다.
2. 새 항목 추가를 클릭합니다.
3. 필드 이름의 고유한 이름을 입력합니다.
4. 소스 유형으로 서드 파티 API를 선택합니다.
5. 로그 유형으로 CrowdStrike Detection Monitoring을 선택합니다.
6. 다음을 클릭합니다.
7. 다음 필수 입력 매개변수를 구성합니다.
   • OAuth 토큰 엔드포인트: 엔드포인트를 지정합니다.
   • OAuth 클라이언트 ID: 이전에 가져온 클라이언트 ID를 지정합니다.
   • OAuth 클라이언트 보안 비밀번호: 이전에 가져온 클라이언트 보안 비밀번호를 지정합니다.
   • 기본 URL: 기본 URL을 지정합니다.
8. 다음을 클릭한 후 제출을 클릭합니다.